回顾2022年,全球有组织的攻击事件仍然频发,每月都会有重大事件被披露。未知威胁持续加剧,影响着全球众多国家,同时涉及金融、政府等多个行业。
据悉,披露的重大攻击事件皆为有组织攻击团伙经过一定的筹划而发起,其中不乏高级可持续威胁组织的身影,例如Lapsus$,奇幻熊等。他们通常采用隐蔽性攻击手法和未披露0Day漏洞,潜伏期高达数月甚至更长时间,选择在目标关键时刻发作,其威胁性极高,基于签名检测、威胁情报等单一机制往往难以长期、全面捕捉。
攻击团伙画像图
针对此类安全问题,天融信推出面向威胁狩猎的大数据分析方案,以威胁狩猎为核心思路、大数据分析为基础,构建数据中台,结合丰富的分析模型及多方情报信息,对海量数据进行多维度智能关联分析,持续捕捉网络异常,挖掘潜在威胁团伙,助力客户有效应对数据中台构建、未知威胁识别、威胁狩猎等新的应用场景。
►汇聚多元数据,建立安全数据中台
方案对接网络、安全、业务系统、终端服务器等多种类型设备,建立数据中台并完成多元的数据采集、汇聚以及清洗转换,通过非编程方式横向扩展对接设备类型,采用多种大数据组件实现海量数据并行存储计算,提供友好交互式界面进行数据ETL处理。同时,开放接口还可将中台的数据根据其它平台的需要,实现多种方式数据共享。
►积累分析模型,实现未知威胁感知
针对未知威胁发现问题,方案将安全服务专家分析经验进行固化,建立面向未知威胁的安全数据分析模型,挖掘隐藏在海量数据背后的未知威胁线索。针对不同的分析场景提供三种分析引擎,关联分析引擎通过数据之间的关联关系来发现威胁、行为分析引擎依据历史行为基线发现当前数据的异常行为、深度分析引擎使用特定的AI算法来检测和识别未知威胁,三种引擎全面覆盖不同类型分析场景,让入侵者无处遁形。
►持续威胁狩猎,分析跟踪攻击团伙
方案通过IOC、安全事件、调查任务实现对攻击团伙的基础信息分析,预置丰富的攻击团伙信息,根据安全事件自动进行归类统计,及时发现团伙活跃度情况。通过团伙深度分析引擎,分析团伙技术特长、追踪攻击源分布、掌握受害者分布、识别攻击时间段分布、挖掘关系数量等信息,从而实现对攻击团伙的全面分析。
目前天融信面向威胁狩猎的大数据分析方案已经应用于政府、卫生、能源、交通等多个行业,助力客户极大提升海量安全数据采集、存储、分析等能力,深度发挥安全数据价值。未来,天融信将继续秉承开放、创新的研发理念持续深耕大数据分析领域,为客户持续提供灵活方便的分析工具、完善的安全服务。
领取专属 10元无门槛券
私享最新 技术干货