风声 与 暗算 如何在网络安全管理实践中利用威胁情报 远江盛邦（北京）网络安全科技股份有限公司 一个外国公司，一篇报告，把威胁情报带入前台 预测--新一代安全防御体系 双轮驱动的威胁预警体系 威胁： 基本无法控制，只能尽量去 了解，并做好防御准备。 漏洞： 基本属于可控制领域，没有 漏洞就没有攻击。 威胁情报的正式的定义与预测 威胁情报不是什么都能干 威胁情报给予了人们很多的想像空间，不过许多设想都过于飘渺。经过一段时期的验证， 下面四个价值还是比较靠谱的： 1.更加快速有效地发现和防御攻击（protection,detection） 2.对可能发生的攻击进行提前预警（prediction) 3.为安全管理和风险评估提供依据 4.为安全架构的调整与设计提供依据 两大类威胁情报 • 战略型情报 • • • • • 人写的 很贵 回答一些较长期的， 比较深刻的问题 不确定性较高 生产周期较长 • 战术型情报 • • • • • 机器生成，人工优化 比较便宜 回答眼下的一些技术 性问题 确定性很高 生产周期很短 首先聚焦于可机读威胁情报（MRTI) • • • • • • 按标准格式进行描述的威胁情报 可以被安全设备读取 为现有安全策略提供“context” 可以有政府，第三方组织，行业协会，商业机构发布 是在安全防御体系中落地威胁情报的技术途径 在国外已经成为主流产品的必备能力 威胁情报标准 • STIX/TAXII:事实上的行业标准 • STIX (Structured Threat Information eXpression ) • 用于描述威胁信息 • 现行标准1.2，2.0版本正在起草 • TAXII(Trusted Automated eXchange of Indicator Information) • 用于交换威胁信息 • 国标正在起草中 下一代安全平台的七种武器 体系结构 三步走威胁情报落地 3 威胁情报 的生产与交换 1 基于威胁情报 的分析与检测 2 基于威胁情报的 防御 在安全产品上配置情报源 情报概况分析 基于威胁情报的攻击侦测 基于威胁情报的防御策略 威胁情报的一般生产过程 数据收集 情报分析 数据处理 反馈与修正 情报分发 与利用 威胁情报治理模型 烽火台 TI ENGINE TI TI TI TI TI ENGINE logs TI ENGINE logs RayWAF TI ENGINE logs RayIDP TI ENGINE logs RayScan RayADS 专业、专心、专注，安全就在你身边 Thanks 远江盛邦（北京）网络安全科技股份有限公 司