360威胁情报平台(360TIP)

需求分析
关键威胁难以发现

传统的安全防御和应对机制中,企业往往依赖:部署更多类型安全设备;优化安全业务流程;制定整体响应策略。但产品驱动的防御理念已无法定位正在发生或还未攻击的恶意行为。这些受害失陷事件,往往意味着高昂的代价和持续性的损失。

海量告警难以应对

当前安全体系建设过程中,企业会通过引入更多检测设备来增强威胁感知能力,但这带来的告警处置成本同样巨大,海量“噪音”级警报往往让安全运营人员不胜其烦。如何筛除误报告警,明确事件响应的优先级,是安全团队工作的重中之重。

多源情报难以抉择

在情报使用过程中,安全团队都会有类似的苦恼:情报来源多、范围广、对同一事件的评价不一致。情报的丰富度本应提升告警判断的准确性,而现状是安全人员疲于如何取用合适的情报。客观评估质量&便捷使用方式 ,是多源情报驱动威胁响应的关键指标。

安全运营难以决策

从针对告警的简单“黑”“白”判定开始,到冗余多样的上下文信息,都无法让安全团队的决策更有把握。针对安全管理人员的投资决策,安全分析团队的研判需要,应急响应团队的处置指导这三个角度提供情报,是当前安全运营的迫切所在。&便捷使用方式 ,是多源情报驱动威胁响应的关键指标。

产品概述

360威胁情报平台(简称:360TIP)是一款面向政府、企业用户推出的,支持软件或硬件部署的本地化安全情报平台。它以360云端安全大数据能力订阅为基础,支撑用户整合多源情报数据和安全应用服务,以多种协同方式联动其他安全产品,助力安全团队实现情报运营管理,告警检测分析,事件通告推送,多源模型研判。

同时,360TIP可以扩展升级为情报基础设施,提供情报生产、级联共享等高阶功能。

功能介绍
情报数据运营
360TIP支持百亿级情报数据的本地化存储管理和更新使用,提供多种情报数据类型的订阅和查询,包括千万级针对向外访问的失陷检测情报,覆盖全网的攻击来源IP画像情报,十亿级文件样本信誉研判情报,2000+恶意家族档案,400+攻击团伙档案,安全事件通告等。平台情报更新频率小于1小时,以保障数据的有效和及时。
多源评估研判
360TIP支持多源情报接入,并进行本地化存储和汇聚查询,内置多源评估引擎和综合研判模型,对各来源数据的检出率、独特性、及时性、准确率、上下文等维度进行持续监测,并提供一站式取用策略配置,以增强用户对情报应用的效果感知,和提升安全决策的便捷性。
告警检测分析
360TIP的核心能力是支撑关键威胁的发现。平台数据包含多种威胁类型的判断能力:APT、勒索、挖矿、木马、黑客攻击、僵尸网络、DDOS、漏洞利用、Web攻击、暴破、邮件攻击、恶意扫描。结合网络基础数据信息,TIP 还提供关联分析功能,使用户掌控全局信息,及时发现当前和潜在威胁。
智能模型研判
360TIP内置多套基于情报知识的分析模型,是基于360多年威胁分析师经验,从攻击来源和异常行为等分析角度,针对多种业务场景需要提供的自动化判断流程,在提供判断结果后会补充响应建议,以实现用户安全运营的简单化、自动化与智能化。
事件通告推送
360TIP支持推送作战级、战略级安全报告,以提升用户威胁预警能力。用户管理层可有效了解组织面对的外部网络威胁,及时调整安全投入决策;安全运营团队可及时了解、处理可能发生或正在发生重大威胁,并获取所需的关键指导信息。
平台协同联动
360TIP作为赋能安全运营体系的重要一环,支持多种协同联动功能,包括:查询API接口提供高速查询;日志富化模块提供威胁检测支撑;情报推送服务提供阻断情报;协同升级模块提供360产品一站式升级;扩展程序插件提供跨平台情报取用方式。

技术优势
数据基础优势

360威胁情报的产出是建立在运营、分析安全大数据的基础上的,而360在安全大数据领域拥有得天独厚的优势。经过十余年的积累和运营,360已积累超 300 亿个恶意样本,22 万亿安全日志、90 亿域名信息、2EB 以上的安全大数据。并以显著的安全数据优势和持续优化的检测能力守护着全球数以亿计的个人、企业终端设备和业务服务。

情报质量优势

360威胁情报以高质量自产情报数据为主,商业合作和开源情报为辅,具备多类型、广维度、快更新,高精准的特点,通过深入分析攻击行为背后隐藏的动机和原因,形成全面的、完整的威胁认知,搭建了“知其然,更知其所以然”的情报数据体系。自2014年开始, 360利用自有海量安全大数据,率先发现并追踪了50个APT组织及黑客团伙,并积累了大量的高价值威胁情报数据。+指纹特征,3000+国产化产品指纹,支持主流国产化厂商产品及其国产、开源属性。

分析模型优势

360致力于降低情报使用的技术门槛,助力用户实现自动化安全运营,故针对不同的安全场景,提供了多套业界独有的威胁分析模型。在情报富化,关联分析,决策制定等环节,大大缩减了安全团队的处理时间,有效提升威胁事件处置效率,并支持对接三方安全设备进行协同联动,实现从威胁发现到决策响应的智能化转变。

多源管理优势

对于多来源情报数据,360TIP基于360多年情报运营经验,提供一整套业界领先情报数据评价体系,从检出率、独特性、及时性、准确率、上下文五个维度协助用户对情报源进行持续评估,并在实际威胁分析中提供综合判定方案,可有效实现外部情报的便捷使用,以及安全投资决策的效果验证。

产品特点
部署方案
典型应用
场景举例:
  • 金融、能源、运营商等行业头部企业。
需求:
  • 采购多家情报数据统一使用;
  • 各类已部署安全设备需要接入情报;
  • 有行业、企业属性的情报数据需求;
  • 希望内外部情报数据及时同步。
解决方案:
  • 多源情报聚合方案,多源评估模型;
  • 多类型情报数据本地化应用;
  • 一套情报数据本地化生产运营方案;
  • 多级平台或行业中心情报共享。
场景举例:
  • 公安、CERT、网信类国家监管机构。
需求:
  • 地域属性、特定威胁类型的情报;
  • 攻击者画像需求;
  • 需要及时了解辖区内威胁事件;
  • 部分有情报上传下达对接需求。
解决方案:
  • 提供灵活的,专项情报数据包;
  • 提供IP攻击来源情报,恶意家族攻击团伙情报;
  • 对接云端监测能力和分析工具,下沉关联威胁事件数据本地呈现;
  • 建立情报共享机制。
场景举例:
  • 互联网业务较多的中型企业。
需求:
  • 快速易用的情报交互模式;
  • 免开发的跨平台调用本地情报数据;
  • 低运维,小成本的情报服务。
解决方案:
  • 安全设备直接通过日志对接,获取威胁富化和检测结果;
  • 通过浏览器插件、小程序等方式,多平台对本地情报数据随取随用;
  • SaaS情报平台部署交付模式,灵活使用平台Web、API服务。