360威胁情报平台(360TIP)
需求分析
传统的安全防御和应对机制中,企业往往依赖:部署更多类型安全设备;优化安全业务流程;制定整体响应策略。但产品驱动的防御理念已无法定位正在发生或还未攻击的恶意行为。这些受害失陷事件,往往意味着高昂的代价和持续性的损失。
当前安全体系建设过程中,企业会通过引入更多检测设备来增强威胁感知能力,但这带来的告警处置成本同样巨大,海量“噪音”级警报往往让安全运营人员不胜其烦。如何筛除误报告警,明确事件响应的优先级,是安全团队工作的重中之重。
在情报使用过程中,安全团队都会有类似的苦恼:情报来源多、范围广、对同一事件的评价不一致。情报的丰富度本应提升告警判断的准确性,而现状是安全人员疲于如何取用合适的情报。客观评估质量&便捷使用方式 ,是多源情报驱动威胁响应的关键指标。
从针对告警的简单“黑”“白”判定开始,到冗余多样的上下文信息,都无法让安全团队的决策更有把握。针对安全管理人员的投资决策,安全分析团队的研判需要,应急响应团队的处置指导这三个角度提供情报,是当前安全运营的迫切所在。&便捷使用方式 ,是多源情报驱动威胁响应的关键指标。
产品概述
360威胁情报平台(简称:360TIP)是一款面向政府、企业用户推出的,支持软件或硬件部署的本地化安全情报平台。它以360云端安全大数据能力订阅为基础,支撑用户整合多源情报数据和安全应用服务,以多种协同方式联动其他安全产品,助力安全团队实现情报运营管理,告警检测分析,事件通告推送,多源模型研判。
同时,360TIP可以扩展升级为情报基础设施,提供情报生产、级联共享等高阶功能。
功能介绍
技术优势
360威胁情报的产出是建立在运营、分析安全大数据的基础上的,而360在安全大数据领域拥有得天独厚的优势。经过十余年的积累和运营,360已积累超 300 亿个恶意样本,22 万亿安全日志、90 亿域名信息、2EB 以上的安全大数据。并以显著的安全数据优势和持续优化的检测能力守护着全球数以亿计的个人、企业终端设备和业务服务。
360威胁情报以高质量自产情报数据为主,商业合作和开源情报为辅,具备多类型、广维度、快更新,高精准的特点,通过深入分析攻击行为背后隐藏的动机和原因,形成全面的、完整的威胁认知,搭建了“知其然,更知其所以然”的情报数据体系。自2014年开始, 360利用自有海量安全大数据,率先发现并追踪了50个APT组织及黑客团伙,并积累了大量的高价值威胁情报数据。+指纹特征,3000+国产化产品指纹,支持主流国产化厂商产品及其国产、开源属性。
360致力于降低情报使用的技术门槛,助力用户实现自动化安全运营,故针对不同的安全场景,提供了多套业界独有的威胁分析模型。在情报富化,关联分析,决策制定等环节,大大缩减了安全团队的处理时间,有效提升威胁事件处置效率,并支持对接三方安全设备进行协同联动,实现从威胁发现到决策响应的智能化转变。
对于多来源情报数据,360TIP基于360多年情报运营经验,提供一整套业界领先情报数据评价体系,从检出率、独特性、及时性、准确率、上下文五个维度协助用户对情报源进行持续评估,并在实际威胁分析中提供综合判定方案,可有效实现外部情报的便捷使用,以及安全投资决策的效果验证。
产品特点
部署方案
典型应用
- 金融、能源、运营商等行业头部企业。
- 采购多家情报数据统一使用;
- 各类已部署安全设备需要接入情报;
- 有行业、企业属性的情报数据需求;
- 希望内外部情报数据及时同步。
- 多源情报聚合方案,多源评估模型;
- 多类型情报数据本地化应用;
- 一套情报数据本地化生产运营方案;
- 多级平台或行业中心情报共享。
- 公安、CERT、网信类国家监管机构。
- 地域属性、特定威胁类型的情报;
- 攻击者画像需求;
- 需要及时了解辖区内威胁事件;
- 部分有情报上传下达对接需求。
- 提供灵活的,专项情报数据包;
- 提供IP攻击来源情报,恶意家族攻击团伙情报;
- 对接云端监测能力和分析工具,下沉关联威胁事件数据本地呈现;
- 建立情报共享机制。
- 互联网业务较多的中型企业。
- 快速易用的情报交互模式;
- 免开发的跨平台调用本地情报数据;
- 低运维,小成本的情报服务。
- 安全设备直接通过日志对接,获取威胁富化和检测结果;
- 通过浏览器插件、小程序等方式,多平台对本地情报数据随取随用;
- SaaS情报平台部署交付模式,灵活使用平台Web、API服务。