奇安信天眼：威胁情报助力企业用户感知和看见威胁

边界只是网络安全的第一道关卡，单单依靠围堵是远远不够的。在围墙式的防御体系里，攻击者一旦采用0day、免杀等手段绕过边界防御后，就如入无人之境，没人知道威胁到底在哪里，做了哪些坏事儿。面对这样情况，受害者肯定特别希望能有一双洞悉一切的“天眼”，让威胁无所遁形。

幸运的是，奇安信已经具备了“天眼”的能力。奇安信天眼新一代威胁感知系统可对本地流量进行全量还原、存储与深度分析，同时结合威胁情报、规则引擎、场景化分析、机器学习和沙箱检测，从多个维度来发现高级威胁事件，并且以攻击链的视角重现整个攻击过程，从而为客户提供围绕高级威胁的检测、溯源和响应的完整解决方案。

对于企业用户而言，想要在攻击者入侵早期就把威胁抓住，必须得借助安全大数据的力量。显而易见的是，威胁情报至关重要。奇安信威胁情报中心可以将所有与攻击相关的信息，如攻击团体，恶意域名，受害者IP，恶意文件MD5等相关信息汇总，按照标准格式封装成威胁情报并通过加密通道统一下发到奇安信天眼系统内。鉴于威胁情报有着特别强的行业属性，奇安信天眼可以为客户提供定制化的专属威胁情报服务。

威胁情报做为天眼整个方案的核心内容承担了连接互联网信息和企业本地信息的重要作用，为APT事件在企业侧的最终定位提供了数据线索和定位依据。在这样一个过程中，威胁情报能够起到两个非常重要的作用：

第一，快速定位。天眼可以将来自威胁情报中心的威胁情报，与检测到的特定事件或者异常行为进行关联分析和数据挖掘，并且规则关联引擎+人工智能引擎+虚拟执行检测引擎的多引擎检测架构，从而快速对事件定性，并且锁定失陷主机、远控木马或者其他潜在的威胁。

第二，精准溯源。当天眼发现威胁后，安全人员可以利用本地全量的网络和主机行为日志，并且结合威胁情报进行深入的调查，并且利用搜索、统计、可视化关联等方法和技术，为企业客户呈现一次攻击的完整过程，覆盖攻击的源头、手段、目标、范围等相关信息。

另外，威胁情报在天眼系统中还有一项非常重要的作用，传统的防护体系在多台设备间进行联动往往需要通过特别开发的接口对一种或几种特殊类别的告警或信息进行分发和通知，这种设计往往会制约多种不同设备或系统之间的信息传递。

同时由于对消息接口缺乏一个系统化、规范化的描述，很难对复杂的攻击行为进行准确定义。天眼的一大创新点在于用威胁情报的形式对各种攻击中常出现的特点和背景信息进行记录和传输，而威胁情报将通过统一的规范化格式将攻击中出现的多种攻击特征进行标准化，可满足未来扩展攻击特征以及后续扩展联动设备的需要。

---------------------------------------------------------

免责声明：

1.本文援引自互联网，旨在传递更多网络信息，仅代表作者本人观点，与本网站无关。

2.本文仅供读者参考，本网站未对该内容进行证实，对其原创性、真实性、完整性、及时性不作任何保证。