安帝科技私有云威胁情报插件助推威胁检测能力提升

安帝科技私有云威胁情报插件助推威胁检测能力提升

时间:2021-07-13 作者:安帝科技

摘要

相对于传统威胁情报分析及检测功能比较单一,情报时效性不高,正常的威胁情报升级可能需要一周甚至更长时间,如一些紧急的威胁事件发生,不一定能及时响应,同时对一些特殊威胁,分析人员还需要去各大情报威胁网站进行搜索,使分析起来费时费力,效率不高。安帝科技针对以下几款国际上比较顶尖的威胁情报厂商产品进行调研,对其的产品进行合作集成提高自身产品时效性、完整性,大大提升了安帝科技自身产品威胁情报检测能力。

国外主流威胁情报厂商调研

1、Shodan
Flag:被称为互联网上最可怕的搜索引擎

Shodan是用于互联网连接设备的搜索引擎。它由John C. Matherly(@achillean)于2009年创建。
Shodan是一种工具,可让您浏览互联网,发现连接的设备或网络服务,监视网络安全性,进行全局统计等。Shodan的网站/数据库引用了Internet广泛端口扫描的结果。
Shodan在全球范围内拥有服务器,这些服务器对Internet 24/7进行爬网以提供最新的Internet智能。提供了公共API,允许其他工具访问Shodan的所有数据。集成可用于Nmap,Metasploit,Maltego,FOCA,Chrome,Firefox等。
Shodan探索类别分为工业控制系统、数据库、网络基础设施、视频游戏,我这里简述一下工业控制系统(ICS),Shodan这边支持近20多种厂商通信协议,像Modbus、S7(S7 通信)、DNP3、Fox、BACnet等等,这种类型信息查询时使用ics标签即可。

2、RiskIq
Flag:全球唯一拥有专利的平台:互联网情报图技术

RiskIQ社区拥有PB级的互联网情报,通过遍历攻击者基础结构数据来调查威胁,了解暴露在互联网中的数字资产,并绘制和监视外部攻击面。
RiskIQ安全情报和分析平台可发现Internet攻击面,并提供相关且可操作的情报为相关资产进行保护。
RiskIq主要功能在攻击面情报、安全运营情报、网络威胁情报、第三方情报、漏洞情报检测。目前支持DNSIQ、WHOISIQ、黑名单查询、主机属性、SSL证书、恶意软件、网络钓鱼等。

3、Virustotal
Flag:强大的分析可疑文件和、URL检测恶意软件和安全共享社区。

成立于2004年,是一项免费服务,可分析文件和URL中是否包含病毒,蠕虫,特洛伊木马和其他类型的恶意内容。财富500强公司,该社区已增长到超过500,000个注册用户。
通过多种反病毒引擎扫描文件。使用多种反病毒引擎对您所上传的文件进行检测, 以判断文件是否被病毒, 蠕虫, 木马, 以及各类恶意软件感染。
其主要功能文件检测、URL检测、IP、域名或者hash。

4、Censys
Flag:黑客和安全专家们拥有一款新型强大的分析工具。

Censys是ZMap的创建者和Internet范围内快速扫描的发明者在密歇根大学开始的一项研究项目。
Censys使用到了ZMap和ZGrab。ZMap是一款网络扫描器,它能够扫描特定机器,以寻找可能被利用的安全漏洞,它分析了40亿个IP地址,并每天搜集这些IP地址上设备的信息;ZGrab是一款应用层扫描器。对高级威胁行为者的调查需要对Internet主机和服务的全球视角,以发现和了解攻击者基础设施。
Censys从多个全球有利位置持续扫描2,500多个端口上的IPv4地址,并维护着世界上最大的可公开搜索的x.509证书存储库。

威胁情报检测功能和解决的问题

目前安帝私有云威胁情报检测插件已经集成以上威胁情报平台及其它一些国内外的顶尖威胁情报厂商的能力。专属打造的私有云威胁情报插件通过流式对数据进行威胁情报的富化补全,也可通过API的方式对外提供检测服务。平台可扩展性比较强,具备分布式大数据处理能力,支持多种数据检测模式。
通过对以上威胁情报厂商整合集成,解决了以往威胁情报信息单一来源、集成困难等问题,提高了安帝私有云平台威胁情报功能检测能力。同时通过与多家国内外威胁情报厂商集成,大大提升了威胁情报检测的时效性、准确性、完整性,同时增强了产品的综合竞争优势,使安帝科技的主流产品在同行业相关产品中处于领先地位。