威胁情报平台_TIP_对攻击者进行画像

威胁情报平台TIP（Threat Intelligence Platform）是一套威胁情报运营管理分析平台，也是威胁情报的汇聚中心。一般用来聚合多源外来情报和本地化情报生产运营，可视化威胁分析，日志威胁检测等功能，为其他安全响应平台提供统一的威胁情报数据接口，能有效提升安全运营和应急响应效率。

威胁情报定义

关于已出现或新的资产威胁和危险的、基于证据的信息，包括情景、机制、指标、影响和可行建议，可用来通知企业针对相关威胁或危险做出决策。

威胁情报一般分为两类：机读情报和人读高级情报。

解决问题的逻辑

用确定性解决不确定性，使用有效的安全信息来增强安全分析、处置。

建设的必要性

应对复杂网络威胁

• 恶意攻击者攻击资源多，试探性攻击行为难以拦截
• 传统的安全防御方式在面对高级持续性威胁（APT）等新型攻击时显得捉襟见肘，高误报带来告警疲劳
• 云原生等技术带来更模糊的边界
• 开源产品带来的供应链风险
• 威胁情报平台TIP能够提供攻击者行为、工具、技术的相关指征，从而更好地预测和应对潜在威胁。
• 例如，攻击者拥有较长的准备时间、丰富的攻击工具和较低的攻击成本，传统基于特征检测的静态防御方法难以有效应对，而TIP可以通过多源情报聚合和分析，提前发现潜在威胁。
• 简而言之，威胁情报平台类似为生成攻击者画像，通过多源数据将攻击者聚类

提升安全运营效率

• 筛除误报告警，明确事件响应的优先级，减轻安全运营人员的负担
• 在安全体系建设中，引入更多检测设备会带来海量告警，TIP的多源评估研判功能可以对各来源数据的检出率、独特性、及时性、准确率、上下文等维度进行持续监测，将关联攻击合并降噪。

情报驱动的主动防御

• 威胁情报应用融入日常安全运营，构建点面结合的主动安全防御能力
• 汇聚各种来源的威胁情报数据，赋能包括防火墙、IDS/IPS、NDR、SIEM/SOC系统在内的各种检测设备和安全分析人员，实现情报驱动的行动，做到精准、全面、及时的威胁发现，快速定性、研判事件，对接用户本地安全设备实现联动管理，提早预防攻击。
• 生产本地情报，构建行业相关精准威胁数据，实现与外部共享互通，优化外部情报精准度

情报数据相关指标

• 情报数量指标：对向外访问的失陷检测情报，文件样本信誉研判情报、IP信誉等，越多越好。
• 情报质量指标：从检出率、独特性、及时性、准确率、上下文等维度的精确性和丰富程度
• 情报更新指标：衡量情报更新的频率和速度，高频率大概可以看作精准度的提升

收益

• 精准情报大幅度降低人工成本
• 前瞻预警大幅度提升MTTD效率
• 减少自身敏感数据泄露