快捷菜单
社交媒体
联系方式
业务咨询

400-816-1670

地址

北京市 海淀区 东北旺西路8号 中关村软件园9号楼2区306A

Email

contact@HanSight.com

Phone

(+86 10) 8282 6616

新闻 / News

瀚思大数据安全“三剑客”之HanSight TI

导语:本月21日凌晨安全牛正式发布《中国网络安全企业50强》榜单,HanSight瀚思入选安全新兴领域最具有发展潜力的20家初创企业推荐。最近陆续发布的产品中,HanSight TI引起了各界关注。作为HanSight瀚思大数据安全“三剑客”系列文章的第二篇,本文将对HanSight TI进行详解。
【本文系HanSight瀚思原创文章,如需转载,请注明出处!】

经过三个多月的调研、审核及评定工作之后,《中国网络安全企业50强》于本月21日凌晨正式发布。这是安全牛即2015年发布《50强》之后的第二次力作,特别值得一提的是,在本次发布的榜单最后还推荐了在各个安全新兴领域,最具有发展潜力的20家初创企业。而瀚思便被选入位列其中。成立不到三年的瀚思为何在这波创业大军中脱颖而出?技术是最关键的要素。

瀚思自成立之初便一直将技术实力视为根本,最近陆续发布的产品中,HanSight TI同样引起了各界的关注。

什么是TI?

TI即安全威胁情报,只是业内对于TI的定义却各有不同,例如Gartner认为:威胁情报是基于证据的知识,包括上下文、机制、指标、隐含和可操作的建议,针对一个现存的或新兴的威胁,可用于做出相应决定的知识。

SANS研究院定义:威胁情报是针对安全威胁、威胁者、利用、恶意软件、漏洞和危害指标,所收集的用于评估和应用的数据集。

其实简单来说,威胁情报就是帮助企业识别安全威胁并做出明智决定的知识,其核心要点是及时多样的安全相关数据来源,之所以称为”情报”而不是”信息”,则是为了强调它的价值,这也就是“actionable”的含义。

目前威胁情报数据来源包括可以想象的一切与安全相关的场景:IP、域名、网址、漏洞、执行文件、手机APP、QQ号、微博内容等等,现阶段大部分威胁情报厂商只负责提供情报,而如何使用情报各企业自己决定。

为什么需要TI?

当下,随着科技的快速发展和迭代,企业面临更快更多样化的攻击。在2015年Verizon的DBIR报告中估计,从7亿份危害纪录中,安全威胁造成了4亿美元的经济损失,而这些损失则是由79790起安全事件所导致的。

在大数据泛滥的今天,搜集任何海量信息的壁垒逐渐降低,早先依赖外部订阅生成的单一IP/网址等黑名单的防御方式已经不再有效,企业需要搜集更多样更大量的安全相关信息,以实现更及时更广泛的防御。当数据种类和量大到一定程度后,企业又会发现信息过载,内部没有足够的人力物力来一条条信息分析。最终导致信息无法产生价值。

HanSight TI——不一样的TI

前文提到现阶段大部分威胁情报厂商只负责提供情报,而如何使用情报各企业自己决定。然而在瀚思看来厂商需要可以直接解决如何使用情报的能力。

此外由于各行业对威胁情报类型需求不一样,因此情报来源不应该局限在各威胁情报提供商常有的漏洞库、各种常规安全需要的黑名单等。例如对于电商企业,最关心的是反欺诈类情报;银行类企业,关心更广泛的各种黑产相关情报,所谓差异化,便是如此。

另外厂商需要能够处理各种完全非结构化信息,比如从QQ群讨论内容中,抓出相关的安全信息。这在很多刑事案件中则大有可为。

我们是怎么做TI的?

瀚思安全威胁情报(HanSight TI)有别于传统的安全分析系统,而是通过从网络数据、主机数据,登录认证数据和威胁情报数据中形成联动分析,将这些用户环境中的所有行为足迹统一进行分析,直接将威胁情报和解决办法交付给最终用户。

我们通过使用自然语言处理,从各种信息中抽取安全事件汇总成情报,直接原生集成到瀚思产品线内。

瀚思致力于打造行业大数据安全体系,针对不同行业对威胁情报类型的特点,将威胁检测和关联一步到位,把检测到的安全事件并非原始粗糙的威胁情报显示给用户,而是再经过加工处理,根据用户行业业务场景,确定威胁可信性和关联性之后,推送和分享给同行业的其他用户。

本文介绍的HanSight TI,上周介绍的HanSight UBA都将与瀚思大数据安全分析平台(HanSight Enterprise)高度集成,最终为客户打造一套解决海量安全数据分析难题的系统解决方案。

而瀚思这种将采取主动的安全分析和实时态势感知的技术,已经成为一种飞跃,这种以大数据存储与分析的方法,终将实现真正针对安全大数据的长期有效存储与实时分析决策的结合。