威胁情报网关(Threat Intelligence Gateway, TIG)作为网络安全的新生代产品,与我们熟知的其他安全解决方案的怎样做到优势互补?

威胁情报网关是什么?

威胁情报网关Threat Intelligence Gateway(TIG),是一种集威胁情报检测+响应处置一体化的产品形态,通过使用大量威胁指示器对网络流量进行检测,并由该设备对检测到的威胁进行线速阻断处理;TIG参与组织的安全事件应急响应流程,且针对实例(use case)利用能自动进行处置。

  • TIG + TIP,最佳拍档

威胁情报平台支持多源情报落地聚合、资产发现、漏洞扫描、流量分析、威胁检测等多种本地化情报应用场。支持情报在用户本地的明文落地和基于情报的安全管理,本地化威胁情报应用。构建基于情报的内部共享机制,支持安全设备联动,通过API接口获取情报。

威胁情报平台生产及共享威胁情报,这些已经验证的威胁情报可以直接作用于TIG威胁情报网关,直接阻断或者过滤。同专业的威胁情报平台进行协同工作,威胁情报网关成为威胁情报的消费者和使用者。

  • TIG + SIEM,侦察兵与参谋部

SIEM( Security Information and Event Management) 安全信息和事件处理 ,通过进行日志及流的关联分析,发现安全事件的潜在联系。SIEM可以广泛使用FW、NGFW、IDS、IPS等安全设备的日志,TIG和以上设备一样,可以作为SIEM的输入。

同时,SIEM平台在集成威胁情报能力之后,可以快速验证和生产威胁情报。这些已经验证的威胁情报可以利用TIG威胁情报网关进行威胁阻断和实时响应。

  • TIG + SOAR,尖兵与指挥部

SOAR 解决方案支持将安全运营相关的团队、工具和事件处理流程通过安全编排和自动化技术集成,最终完成安全事件的响应及处置。

TIG是执行单元之一。经过验证的情报通过SOAR的编排与调度, 可分发至TIG进行威胁阻断和实时响应。

  • TIG + Situational Awareness,侦察兵与“水晶球”

态势感知解决方案体现组织的综合安全运营能力,提供风险实时感知、安全合规评估和脆弱性威胁管理。采用流量分析技术对全网流量实现威胁可视化,利用大数据技术进行关联分析,利用机器学习能力进行行为分析建模,并通过日志和网络流量汇总结合威胁情报对。掌握网络安全整体运行状况,并能够精准预测网络安全形势的发展趋势。

TIG威胁情报网关支持海量威胁情报直接消费,来自态势感知系统产生和确认的威胁情报可以直接用于威胁情报网关进行自动化阻断网络攻击。针对组织当前面临的威胁态势,动态进行自动化阻断和防护。快速响应威胁态势发展,在脆弱性威胁发生时,阻断网络攻击降低网络安全风险。

  • TIG + SOC,前哨部队与统帅部

SOC(安全运营中心)作为组织的安全大脑,体现了组织的综合安全运营能力,从安全运维到安全运营。安全管理中心提供组织全方位的安全策略及运营情况管理,实现安全运营闭环管理。

安全运营过程中,威胁情报能够结合威胁检测,支持响应、溯源、部署调整(修复,优化)等系列过程。威胁情报网关能够执行预案和脚本,支持人工干预,和自动化部署,可以作为企业网络安全的纵深防御体系中重要的一环。

  • TIG + XDR,跨兵种协同模范

扩展后的检测和响应能力,极大扩展组织的威胁检测能力,结合威胁情报及检测手段,可以更快的发现那些攻击和安全事件。XDR包含专业的调查工具,提供网络安全可视化,让组织更加清楚发现安全事件的全貌。XDR工具中内置和可操作的支持响应和处置能力,一体化的检测和响应解决方案,提升响应能力,带来更可靠的安全体系。

MDR ,XDR ,EDR 将检测和响应解决方案更加完善,还可充分利用威胁情报的能力。威胁情报网关将在威胁情报消费和安全事件响应中,发挥巨大作用。

TIG 可以直接利用XDR安全分析的结果,利用威胁情报平台的输出能力,对接这些安全威胁的响应过程,直接采用这些海量威胁情报,阻断网络攻击行为 。

写在最后:

网络安全弹性能力建设,任重道远。我们永远不知道下一个面临的对手是谁,网络安全架构的自适应,需要各安全设备在统一指挥下的协同,而TIG是这些设备之一,形成基于差异能力的协同。

相关文章:

威胁情报网关 (TIG):主动防御建设的第一道防线

声明:本文来自互联网安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。