第一道防線是什麼

關注我們

帶你讀懂網路安全

自Gartner提出威脅情報的概念，轉眼已經5、6年了。這些年情報技術相關的分析報告出了不少，但真需要威脅情報落地應用時，各種帶有威脅情報功能的安全產品功能有些跨界，往往還是容易令人混淆。

作為最純粹的威脅情報落地應用形態，威脅情報閘道器（Threat Intelligence Gateway， TIG）與我們熟知的其他安全產品形態，在使用場景上到底有什麼區別？

什麼是TIG？

威脅情報閘道器Threat Intelligence Gateway（TIG），是一種集威脅情報檢測+響應處置一體化的產品形態，透過使用大量威脅指示器對網路流量進行檢測，並由該裝置對檢測到的威脅進行線速阻斷處理；TIG參與組織的安全事件應急響應流程，且針對例項（use case）利用能自動進行處置。

TIG vs FW&NGFW

防火牆的優勢

在於快速的資料包過濾、地址轉換、資料包狀態檢測，但可用規則數量受限。NGFW下一代防火牆支援業務流量識別，基於狀態的深度包狀態檢測，結合了基於特徵的入侵檢測能力（IDS），支援利用威脅情報進行安全防護，深度整合威脅情報（機讀），但依然受到可用規則數量受限的挑戰。

TIG的優勢

在於海量威脅情報直接消費，直接作用於網路流量。那些已經確認和驗證有效的威脅情報，可以直接使用進行網路攻擊阻斷，減少到達防火牆的網路攻擊流量，緩解防火牆效能壓力。

專業的裝置做專業的事

：TIG對於防火牆是一種有益補充，可以有針對性的利用威脅情報資料進行網路攻擊阻斷。應當將威脅情報閘道器部署於組織的網路防禦第一道防線，部署在防火牆之前，阻斷大部分的已知（已驗證的威脅情報）網路攻擊，減少到達和經過防火牆的流量，讓專業的裝置完成更專業的事情。

（TIG部署在防火牆之前）

TIG vs WAF

WAF的優勢

在於針對http及https訪問進行協議檢查，防禦SQL注入、跨站指令碼攻擊、cookie竊取、網頁篡改等應用層網路安全攻擊。區別於防火牆的4-7層防護能力，WAF更專注於web應用安全。

TIG 的優勢

在於利用海量威脅情報優勢，可以補充WAF在網路層對威脅的識別和阻斷能力。威脅情報閘道器可以高效利用威脅情報指示器，阻斷已知威脅攻擊來源。

專業的裝置做專業的事

：WAF可以同時生產和消耗（消費）威脅情報，可以根據訪問特徵指紋提取產生的威脅情報指示器，系統聯動並錄入威脅情報平臺及推送至威脅情報閘道器。TIG可以利用已驗證的威脅情報能力，自動化處置進行攔截或者阻斷。尤其在零日漏洞發生以及面對新型攻擊手段時，威脅情報閘道器的威脅情報能力帶來的快速響應，阻斷效果尤為突出。

TIG vs DDoS防護

DDoS防護裝置的優勢

在於提供自動化的檢測和阻斷，有些時候，企業還需要依賴於運營商的高防清洗和雲服務提供商的CDN流量淨化服務，共同面對大規模DDoS行為。

TIG 的優勢

在於海量威脅情報直接消費，更多惡意攻擊被阻斷在網路之外。TIG針對殭屍網路失陷主機、失陷網路、失陷地址域名等動態威脅情報識別更加精確，透過多源威脅情報綜合利用，可以做到更快響應和實時處理，提高阻斷效率，減少誤報和快速緩解攻擊。

專業的裝置做專業的事

：DDoS攻擊變得越來越複雜，依賴於演算法分析和機器學習模型的DDoS防禦，在網際網路出現大量失陷主機和失陷網路的背景下， DDoS的識別和防禦更加困難。整合機讀威脅情報可以幫助針對性的防禦惡意域名和失陷的IP地址，針對CC攻擊（Challenge Collapsar）攻擊、http 慢速DDoS攻擊，包括 DNS flood及Http flood攻擊、TCP反射及UDP反射攻擊等攻擊手段，TIG可以利用威脅情報識別和阻斷。

TIG vs APT&NTA&NDR

APT的優勢

在於此類產品大多被用於檢測那些未知的攻擊手段和惡意軟體，發現那些高度隱蔽和持續攻擊的網路攻擊。APT可以使用沙箱和蜜罐類的威脅情報收集方法，也有網路流量分析類別的網路視覺化方法。由於加密流量的不可識讀性，APT在針對加密流量的威脅監測能力上，需要威脅情報提供支撐。

NTA的優勢

在於流量採集和流量分析能力，擁有網路流量中的五元組（源地址、源埠、目的地址、目的埠、協議）， 主要功能在發現和分析，可以理解為只看不管。

NDR的優勢

在於可以提供更高可見度的視覺化能力，針對網路安全事件進行實時檢測，實時分析，結合威脅情報進行安全事件現狀分析和快速處置。NDR還可以結合SIEM平臺進行關聯分析，檢測IOC（威脅情報指示器），利用IOC進行關聯分析和特徵搜尋。

TIG 的優勢

在於海量威脅情報直接消費，同時威脅情報閘道器解決方案擁有更靈活的部署位置，組織可以同時關注南北及東西各個方向的威脅流量。TIG可以使用APT&NDR系統已驗證及生產的威脅情報，對比威脅情報進行C&C連線地址的行為阻斷，最終利用TIG快速自動化阻斷攻擊。

專業的裝置做專業的事

：APT&NDR透過特徵比對、演算法模型研判、異常行為檢測等技術，有針對性的對網路威脅進行檢測和告警，在事件調查和取證階段，NDR更具有優勢和價值，威脅檢測之後的阻斷能力，需要藉助其它網路安全裝置完成。TIG具備自動化處理和阻斷能力，可以根據防禦需要，在網路中不同節點位置靈活部署，並協同其它安全解決方案進行實時聯動、動態防禦，建設完善的應急響應能力。特別是針對DGA惡意域名，情報閘道器採用機器學習的分類演算法對良性DNS請求和DNS隱蔽隧道進行有效判別，針對DGA域名採用深度學習方法的HMM模型和LTSM模型進行有效檢測，並結合DPI應用識別、威脅情報特徵檢測實現高效能、高精準的檢測輸出。

總結

我們將這幾種安全解決方案進行對比總結，看下每一類裝置面臨的困境、威脅情報技術帶來的改變以及TIG帶來的增強。

安全產品

當前困境

TI

的價值

TIG

應用增強

FW/NGFW

安全策略控制數量暴增，防火牆日誌警告疲勞

機讀威脅情報可以提升策略有效性

直接阻斷，緩解效能壓力

WAF

忽略網路層威脅處置

防護特徵更加精準

直接阻斷，緩解效能壓力

DDoS

失陷主機和被控肉雞等那些看似正常的攻擊

增加判斷和識別能力

直接阻斷，緩解效能壓力

NTA/NDR

檢測和響應手段單一

提供威脅特徵，提升檢測效率

直接阻斷，實現威脅響應及處置

APT

高階威脅發現依賴特徵

精準威脅特徵庫

準確阻斷已知攻擊

專業的事情，交給專業裝置去完成。

TIG在消費威脅情報方面

更加專業，組織可針對性的利用掌握已驗證威脅情報，自動化阻斷及防護。

TIG在組織中的定位，是基於海量威脅情報阻斷網路攻擊

，以威脅情報技術為驅動，構建威脅防禦體系。組織需要主動式安全，而不是被動式安全，在面對海量威脅情報中，自動化進行網路攻擊阻斷，是當前組織的首要目標。威脅情報閘道器將會成為組織網路安全防禦的第一道防線（入站方向），及最後一道防線（出站方向）。

end