CTO Plus技术服务栈

网络安全威胁情报中心(TIS)

我们的 TIS 系统汇聚了开源、商业、行业和自产的多源威胁情报,通过自动化的情报聚合、去重、评估和分发,让企业安全设备从'盲人摸象'变成'知己知彼'。

Created:

威胁情报的价值不在于”知道得多”,而在于”用得上”。很多企业买了威胁情报 feed,但不知道怎么用、用在哪儿。TIS 要解决的就是”把情报变成行动”的问题。

1. 多源情报汇聚

  • 开源情报:AlienVault OTX、MISP、Abuse.ch、URLhaus
  • 商业情报:对接主流商业威胁情报厂商
  • 行业情报:ISAC(行业信息共享和分析中心)
  • 自产情报:蜜罐捕获的攻击 IP、安全事件中提取的 IOC
  • 情报格式标准化:STIX/TAXII 标准格式统一管理

2. 情报处理

  • 去重与合并:多个情报源中相同的 IOC 自动合并
  • 情报评分:基于来源可信度、时效性、相关性的自动评分
  • 过期管理:情报的 TTL(生存时间)管理
  • 误报反馈:安全分析师可以标记误报,系统自动学习

3. 情报分析

  • 关联分析:多个 IOC 之间的关联关系(同一攻击组织、同一攻击活动)
  • 攻击者画像:基于 MITRE ATT&CK 的攻击组织分析
  • 攻击活动追踪:同一攻击组织的持续活动追踪
  • 行业威胁分析:我们所在行业当前面临的主要威胁

4. 情报消费

  • SIEM/EDR/NDR 集成:IOC 自动推送到检测设备
  • 防火墙联动:恶意 IP/域名自动加入黑名单
  • 邮件网关联动:恶意发件人、恶意域名自动拦截
  • API 接口:其他系统可以实时查询 IOC 信誉

5. 漏洞情报

  • CVE 实时推送:新发布的漏洞自动通知
  • 漏洞优先级(VPT):基于 CVSS + 是否在野利用 + 资产影响范围
  • 资产匹配:这个漏洞影响我们的哪些资产?
  • 漏洞预警:影响核心资产的高危漏洞即时预警

6. 情报可视化

  • 威胁地图:全球攻击来源的地理分布
  • 攻击趋势:近期攻击类型的趋势变化
  • 攻击者关系图谱:攻击者、攻击工具、攻击目标的关联关系
  • 情报简报:自动生成每日/每周威胁情报简报