大幅降低情报消费门槛 奇安信发布威胁情报检测引擎
釋出日期:2021-12-15 作者:奇安信集团
威脅情報數據是越多越好嗎?威脅情報檢測產生大量誤報怎麼辦?到底什麼樣的情報才最合適?安全運營團隊不足該怎麼辦?
作為威脅檢測的“良藥”,自威脅情報被提出以來,這些問題一直困擾着大量用户。由此可見,威脅情報的應用仍然具有較高的門檻。
為解決上述問題,奇安信威脅情報中心基於多年威脅情報技術積累,面向終端、網關、大數據平台等環境推出了威脅情報SDK檢測引擎(QTDE),提升相關產品基於威脅情報的檢測和發現能力,並且大幅降低了威脅情報的消費門檻。
1、 市場需求只增不減
能夠看到的是,在歷經了前期動盪的階段後,經過多方紮實有重點的試驗,對威脅情報的適用範圍及限制擁有客觀並實際的瞭解,市場規模逐漸成長。根據Gartner的最新預測,威脅情報支出預計將以15.8%的複合年增長率增長,到2025年將達到26億美元。
奇安信威脅情報中心認為,威脅情報本質上是威脅檢測能力在知識層面的打包輸出,基於威脅情報檢測能力已經成為新安全、新基建防禦的基礎和核心,在安全事件分析和應急響應中不可或缺。並且,未來威脅情報會進入垂直細分領域市場,情報內生(TIINSIDE)的模式將會成為主流。
但需要注意的是,威脅情報的應用並非一勞永逸,而是需要持續的運營。然而,由於缺乏專業的安全運營團隊,大多數組織的情報消費能力略有不足,根據Gartner的調研顯示,目前仍有大量用户未能很好的將威脅情報應用於威脅狩獵的過程,導致部分安全投資“打了水漂”。
2、 降低情報消費門檻
奇安信威脅情報中心認為,大幅簡化威脅情報應用的過程,同時保持高質量的威脅情報輸出,對於降低用户側威脅情報消費門檻至關重要。
為此,奇安信威脅情報中心推出的QTDE,實現了便捷生產、共享與消費威脅情報的閉環,能夠通過為不同形態的產品提供情報檢索、基於分析師的研判和關聯分析能力,定時分發熱點IOC數據,使各集成產品整合、應用接口傳遞結果,檢測威脅類型包括APT攻擊、遠控木馬、蠕蟲木馬、殭屍網絡、勒索軟件、挖礦、黑客利用EXP等。
該引擎整合了高價值情報數據和專業的檢測處理邏輯,一次集成完成,通過簡單的接口調用,就可以使設備或產品具有高精準、高性能、可定性、可攔截的威脅情報檢測能力。用户不需要任何威脅情報、安全對抗知識,也無需瞭解威脅情報研判和檢測邏輯,即可輕鬆具備產品的情報能力加持。
3、 生態共贏
Gartner調查發現,儘管威脅檢測能力取得了長足的進步,但攻擊者仍然能夠完成滲透目標,這在很大程度上是由於不同競爭對手和行業的不合作或不共享威脅信息。由此可見,生態合作是威脅情報市場發展的必由之路。
圖聯盟生態合作伙伴
奇安信威脅情報中心面向網絡安全威脅情報生態聯盟(CEATI)成員,提供不同等級的QTDE集成應用服務。該服務可通過集成威脅情報的SDK動態庫方式,讓聯盟合作伙伴的產品在短時間內具備基於威脅情報的檢測能力,共同推動產品、解決方案層面的情報深度融合的同時,也推動了威脅情報行業生態發展。
面對計算資源受限導致無法很好消費威脅情報數據的情況,奇安信威脅情報中心能夠提供定製化的QTDE分發規則,僅提供分析師運營過濾、確認的熱點情報數據和高價值情報數據(例如APT類數據);
而對於硬件性能、使用場景均適宜的產品,則提供全量的IOC數據和更豐富的上下文信息,充分滿足NGFW、UTM、終端防病毒、虛擬化終端、雲安全、SOC、態勢感知等多種網絡安全設備、主機應用和大數據平台的集成需求。
不僅如此,奇安信威脅情報中心推送的情報數據升級包頻率為小時級更新,極大程度上保證了威脅情報的時效性和準確性。
附網絡安全威脅情報生態聯盟
CEATI(CybersecurityEcologyAllianceofThreatIntelligence)網絡安全威脅情報生態聯盟,是由奇安信威脅情報中心聯手國內多個著名安全公司共同發起的共建威脅情報行業生態的的聯盟機構,旨在以威脅情報能力應用為核心,打造新生態圈模式,情報使能、共謀共策、開放合作、共贏未來。