记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

“连点成线,织线成网”,区域化云端威胁情报库如何布局

2021-09-01 19:03

随着政府电子政务数据公开的快速发展与应用,政府行业信息化程度的不断加深,行业内部面对的网络安全威胁愈加频繁,面临的经济损失风险不断加大。


基于此,威胁情报库这一概念,以其独特性逐渐被人们所关注。它能够收集海量数据、精准发现潜在威胁,可以用于识别和检测威胁的失陷标识,同时对威胁或危害的响应或处理决策提供信息支持。

威胁情报库,是针对安全威胁、威胁者、利用、恶意软件、漏洞和危害指标,所收集的用于评估和应用的数据集。


对于机构设置多,网络环境复杂的政府行业,威胁情报库有着针对性威胁发现、安全威胁预警、事件响应及时、为溯源追踪提供证据留存等实际作用,这也是越来越多的政府行业或机构青睐威胁情报库的主要原因。

政府行业威胁情报库如何布局


随着政府行业中信息共享、业务协同和数据开放水平大幅提升,如何在积极响应国家及主管机构的合规要求基础上,防止内部敏感数据及隐私信息泄露成为政府安全防护的重点,威胁情报库也就成为了政府行业安全建设首选目标之一。


安全防护面临的挑战


首先,政务数据流转于多个业务和应用场景中,跨部门、区域数据共享的同时,政府行业内部成员存在对自身敏感数据状况缺乏掌握的情况,这也使得外部的数据窃取攻击时有发生,却很难被察觉。

同时,企业内部的针对数据的误操作或者蓄意破坏与泄露,同样是数据安全防护的一大隐患。

区域威胁关联成为趋势


政府行业机构需要通过积累威胁情报不断增强其网络防御能力,来面对频率不断增长和程度愈加复杂的网络威胁。普适的威胁情报往往非常丰富,但针对性不强;自身分析数据难以收集统一;即使数据收集后也很难进行归并聚合再利用,这些因素都使得威胁情报库在具体场景中的应用效果大打折扣


例如,普适威胁情报库时常出现许多无意义的误报、漏报,情报价值无法彰显,又增加了研判的成本,往往很难满足客户的威胁情报精准采集、相关整合和关联需求。


且政府行业的目标不仅限于此,还需要在确定区域内“广泛撒网”,在关键节点做好充足准备,收集节点重点数据,并把这些点联系起来,组成区域级、城市级防护网,以维系一个没有威胁的环境。


针对这种现状,知道创宇「云蜜罐」从实际出发,建议政府行业应自建独属于自身的威胁情报库。有效的威胁关联是主动防护的关键要素,不仅可以防御已知威胁,而且还可以防御未知威胁。知道创宇相信,这就是政府行业在安全解决方案和数据安全系统中所寻找的。



“连点成线,织线成网”

云蜜罐支持自建威胁情报库


宏观层面的“云蜜网”


云蜜罐从客户角度出发,政府行业监管侧推进“从上到下”的自身专门威胁情报库的建设思路,以建设“智慧区域”、“智慧城市”的理念,在所属若干个有关单位或部门中,每个单位在对应流量关键节点部署多个云蜜罐,实现跨区域、跨行业的连通。

众多云蜜罐组成了“云蜜网”,云蜜罐们囊括了区域整体乃至城市整体,相当于在区域、城市内部全网部署“敏感探针”,任何一个云蜜罐被流量访问,都能够感知到。

云蜜罐由点及“网”,


辐射区域化云端威胁情报库


  • 攻击源发现核实


通过在一定区域中关键流量节点大规模部署云蜜罐,可以感知到对区域范围内发起的攻击。由于云蜜罐一般情况下不会被正常的外部流量访问到,因此可初步判定“网到”的流量IP为攻击源IP。   


由云蜜罐捕获到的威胁情报形成的“云端威胁情报库”会对攻击源记录,收集数据可以导出,与知道创宇黑客数据库“创宇安全智脑”中进行核实确定,确认生成威胁情报是否无误。同时,自建云端威胁情报库支持与“创宇安全智脑”进行数据汇总、融合


  • 攻击维度分析


云端威胁情报库,从攻击层面分析,会通过云蜜罐将源于外网的黑客攻击IP或者内网成为跳板机的内部失陷IP,进行攻击标记和汇总


目前的威胁情报库主要基于IP维度进行分析,同时可以基于IP关联数十个情报维度,提供流量分析、日志分析、关联分析、可视化等功能服务,在情报整合、应急响应以及后续追踪溯源中有着积极作用。接下来,威胁情报库基于域名、文件等攻击维度分析,也会陆续补充进来。




  • 攻击流量监控


随着云端威胁情报库的完善,会对威胁情报中已知恶意攻击者的流量进行监控,提供针对IP、攻击信息、虚拟身份信息等关联检索,有助于识别区域内恶意活动,大大降低数据泄露、安全业务风险等时事件发生。


同时,威胁情报库提供自建黑名单的功能设置,使区域内相关部门或单位都禁止被标注黑名单的攻击IP访问到,做到区域级安全防护。



云蜜罐应用于政府行业中,为政府机构管辖范围内的业务安全提供有效助力,协助完善网络安全体系建设,基于云端威胁情报库积极发现问题解决问题,确保管辖范围内安全,对特殊的溯源要求提供证据留存。


通过大范围部署云蜜罐,由独立蜜罐组成打造“个性化”区域级云端威胁情报库,从智慧城市的发展角度考虑,是利用极具创新性的信息技术与城市现代化深度融合,将城市间本没有交汇的系统和服务打通、集成,在提升资源运用的效率的同时,做到优化城市管理和服务。



知识来源: https://mp.weixin.qq.com/s?__biz=MjM5NzA3Nzg2MA==&mid=2649854551&idx=1&sn=382a4d3e0781cd36f0ce919190f89942

阅读:76945 | 评论:0 | 标签:云端 情报 威胁情报

想收藏或者和大家分享这篇好文章→复制链接地址

““连点成线,织线成网”,区域化云端威胁情报库如何布局”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

黑帝公告 📢

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

↓赞助商 🙇🧎

标签云 ☁