微步威胁情报平台NGTIP正式发布:三维IP画像,平均降噪80%

全文1838字,阅读约需6分钟,帮我划重点

划重点

01微步在线发布下一代威胁情报平台NGTIP,提供威胁情报、漏洞情报和态势情报三重服务。

02NGTIP可帮助企业解决漏洞运营、安全态势感知和威胁情报告警噪音难题。

03针对漏洞风险评估难题,NGTIP提供从漏洞获取到发现、评估、处置、验证的闭环全流程服务。

04此外,NGTIP还推出行业首个态势情报,实时掌握全网威胁态势和黑客画像。

05最后,NGTIP对IP情报进行三维升级,提高告警降噪效果,平均降噪可达80%。

以上内容由腾讯混元大模型生成,仅供参考

【环球网科技综合报道】11月14日,微步在线基于近十年威胁情报技术积累、企业应用需求与行业发展走向,正式发布“下一代威胁情报平台NGTIP”,以高质量精准的“威胁情报、漏洞情报、态势情报”三重情报为核心,进一步将企业安全左移,把关注视角从“威胁”到“风险”前置,帮助企业解决漏洞运营、安全态势感知、威胁情报告警噪音难题,实现更高效、主动、全面的安全防御。

对此,微步在线方面认为,下一代威胁情报也将扩展威胁情报边界,通过更丰富、实时、立体的下一代威胁情报能力,赋能企业威胁和风险的高效运营。

图片

针对0day未知漏洞难防,漏洞告警“噪音”大,漏洞风险评估难,漏洞信息不完整,漏洞修复无从下手及漏洞影响产品梳理难等问题,下一代威胁情报平台NGTIP提供从漏洞获取-发现-评估-处置-验证闭环的全流程漏洞运营,也是国内首款真正意义上可闭环的漏洞情报产品。

通过NGTIP, 企业可获取更全的一手漏洞威胁信息,及时掌握0day、1day漏洞;有效识别企业内部资产漏洞风险,NGTIP支持自动对接资产平台,能持续匹配漏洞影响厂商、产品及版本范围;帮助企业进行科学可靠漏洞评估,针对不同漏洞,企业可基于利用条件、影响范围、牵连影响、威胁情报等维度进行VPT漏洞科学分级;获得可落地处置建议,NGTIP提供漏洞补丁下载链接、临时缓解措施、漏洞利用攻击IP及漏洞攻击payload,供企业及时进行漏洞处置。 

验证闭环环节,NGTIP具备完善的漏洞验证工具库与强大的互联网扫描能力。微步提供自研无损PoC,不影响业务即可高效排查及验证,也提供全网公开漏洞PoC,无需企业额外临时收集。同时,基于微步情报云对企业外部互联网侧暴露面进行PoC验证扫描,可帮助企业及时梳理外部攻击面。最终,只需通过接口对接工单系统,企业内即可进行高效漏洞信息同步与处置闭环。

网络攻防“知己”更要“知彼”,针对外部最新攻击技战法获取难、行业安全事件感知难、缺少知识库积累的问题,此次微步发布的下一代威胁情报平台NGTIP,在行业率先推出态势情报。基于全网测绘、推特等社交媒体及自有数千渠道等公开数据采集,结合自有情报研究成果、各类应急事件等高质量分析结果,同时通过微步安全大模型XGPT融合分析,NGTIP可生成结构化、高质量的全网威胁态势、最新安全事件、黑客画像、重点行业攻击工具与攻击手法等全网态势情报。

通过NGTIP态势情报,企业不仅可以快速获取最新APT、勒索以及数据泄露等安全事件,实时掌握最新黑客组织画像信息,行业威胁态势。同时,基于XGPT自动化处理提取的攻击工具、攻击手法及攻击IoC情报,企业可进行快速排查及检测防御,也可针对性订阅与自身相关的重点行业、黑客组织、攻击工具,建立企业自己的重点风险画像,有针对性地加强安全防御。

针对告警噪音严重的问题,微步下一代威胁情报平台NGTIP对IP情报全新升级,从单一维度升级为具备深度、广度、活跃度的三维IP画像,可为企业安全运营团队提供更深入的分析与信息支持。原本一维的漏洞利用、扫描等属性,丰富后可查看IP背后的攻击路径、攻击应用、反连地址等深度攻击链信息,从而更好判定IP攻击目的;广度上,基于微步全网部署量最大的蜜罐HFish集群的1.2万多个节点,每天探测日志信息上亿,全球累计跟踪平均2000多万活跃攻击IP,可精准掌握测绘、僵尸网络、蠕虫、爬虫等不同IP;活跃度上,全新IP情报提供IP蜜罐出现频率、时间维度等信息,可支撑判断该IP是否为针对性攻击,最终整体从三个维度对IP进行更丰富立体的分析。 

图片

基于对IP的多维分析判定与信息掌握,NGTIP内置随机扫描识别、攻击行为与属性识别、地理位置识别三种策略,能更高效、直接地识别IP目的,企业可针对不同情况,实现自动封禁、自动拦截或由人工研判分析,从而实现告警降噪。根据企业实测,入站IP告警平均降噪可达80%。

对于当前企业面临的威胁情报运营门槛高的问题,NGTIP提供从日志接入、内置情报分析场景及策略、联动处置闭环的“一站式”、自动、灵活、高效的情报运营能力。NGTIP不仅支持SIEM、SOC等日志类设备,同时可接入其他数十种安全设备、DNS及应用的原始日志Syslog,部署位置灵活。针对入站攻击检测及失陷检测两大主要应用场景,NGTIP内置多种情报应用落地场景及其默认情报分析策略,无需企业额外研发或研究应用场景,简化情报运营。基于分析结果,NGTIP不仅能联动SIEM、SOC平台,同样也支持数十种安全设备封禁及IM通知,支持更好地融入企业安全运营流程。

“无论是首发态势情报、首款真正可闭环的漏洞情报,还是威胁情报能力大幅增强,我们希望通过下一代威胁情报平台NGTIP,为企业提供一个更场景化、更易用、更闭环的运营、生产情报中心,更好地满足当前企业对于威胁发现、风险识别的迫切需求,让情报应用与漏洞发现及运营真正自动化闭环起来。”微步技术合伙人、微步情报局负责人樊兴华表示。