网络安全威胁情报中心(TIS)
我们的 TIS 系统汇聚了开源、商业、行业和自产的多源威胁情报,通过自动化的情报聚合、去重、评估和分发,让企业安全设备从'盲人摸象'变成'知己知彼'。
威胁情报的价值不在于”知道得多”,而在于”用得上”。很多企业买了威胁情报 feed,但不知道怎么用、用在哪儿。TIS 要解决的就是”把情报变成行动”的问题。
1. 多源情报汇聚
- 开源情报:AlienVault OTX、MISP、Abuse.ch、URLhaus
- 商业情报:对接主流商业威胁情报厂商
- 行业情报:ISAC(行业信息共享和分析中心)
- 自产情报:蜜罐捕获的攻击 IP、安全事件中提取的 IOC
- 情报格式标准化:STIX/TAXII 标准格式统一管理
2. 情报处理
- 去重与合并:多个情报源中相同的 IOC 自动合并
- 情报评分:基于来源可信度、时效性、相关性的自动评分
- 过期管理:情报的 TTL(生存时间)管理
- 误报反馈:安全分析师可以标记误报,系统自动学习
3. 情报分析
- 关联分析:多个 IOC 之间的关联关系(同一攻击组织、同一攻击活动)
- 攻击者画像:基于 MITRE ATT&CK 的攻击组织分析
- 攻击活动追踪:同一攻击组织的持续活动追踪
- 行业威胁分析:我们所在行业当前面临的主要威胁
4. 情报消费
- SIEM/EDR/NDR 集成:IOC 自动推送到检测设备
- 防火墙联动:恶意 IP/域名自动加入黑名单
- 邮件网关联动:恶意发件人、恶意域名自动拦截
- API 接口:其他系统可以实时查询 IOC 信誉
5. 漏洞情报
- CVE 实时推送:新发布的漏洞自动通知
- 漏洞优先级(VPT):基于 CVSS + 是否在野利用 + 资产影响范围
- 资产匹配:这个漏洞影响我们的哪些资产?
- 漏洞预警:影响核心资产的高危漏洞即时预警
6. 情报可视化
- 威胁地图:全球攻击来源的地理分布
- 攻击趋势:近期攻击类型的趋势变化
- 攻击者关系图谱:攻击者、攻击工具、攻击目标的关联关系
- 情报简报:自动生成每日/每周威胁情报简报