目前能夠提供威脅情資的廠商,可說是比比皆是,而在臺灣資安市場上,今年多了不少新面孔,像是來自以色列的IntSights,現在又有一家美國矽谷新創公司Anomali,發布相關的解決方案,稱為Anomali Threat Platform,恰巧該公司在7月揭露勒索軟體eCh0raix鎖定威聯通NAS一事,而受到全球矚目。

Anomali原名為ThreatStream,成立於2013年,當時他們率先推出基於SaaS雲端服務營運模式的威脅情資平臺,名稱也叫做ThreatStream,它號稱是第一套運用群眾外包概念的網路安全情報解決方案,能夠匯聚數百萬筆威脅指標,並且整合到企業既有的資安基礎架構當中。

到了2016年2月,ThreatStream公司宣布改名,也就是我們現在看到的這個品牌Anomali。到了2018年9月,他們提出了Anomali Threat Platform的解決方案名稱,當中統合了逐年發展出來的5種威脅情報處理技術核心,也就是情資(Intelligence)、偵測(Detection)、調查(Investigation)、自動化(Automation)、協同合作(Collaboration),同時,還有支援延伸合作夥伴生態系的整合機制,例如,2015年開始提供的APP Store(這裡的APP是指Alliance Preferred Partner),以及此時新納入的3種軟體開發套件──Threat Intelligence Feeds SDK、Integration SDK、Enrichment SDK。。此外,從2017年起,Anomali也開始進駐亞太地區,先在澳洲、日本落腳,隔年開始布局臺灣市場,並成立辦公室,今年則是正式在臺發布Anomali Threat Platform的消息。

目前,ThreatStream可蒐集的情資來源超過100種,涵蓋範圍相當廣泛。例如,自家的Anomali Labs、其他資安廠商的威脅情報餵送服務、公開來源情報(Open-source intelligence)、符合STIX/TAXII情資共享格式標準的情報餵送服務,以及ISAC/ISAO等兩種情資共享組織所發布的資料,甚至是非結構化的威脅情報內容,像是PDF檔、CSV檔,以及電子郵件。

接收到這麼多類型的威脅情資之後,ThreatStream會運用機器學習技術,對每一筆情資予以評分,讓用戶不只了解嚴重性,還能掌握威脅程度,以及可信度(Confidence)。同時,這些經過統整後的情資,不只是讓機器能夠直接引用,也考量到資安人員分析研判相關內容的需求,當中已結合10餘種情報來源,而能列出發起攻擊的人士或團體(actor)、活動,以及採用的戰略、技倆與流程(TTP),以便提升威脅情資的可讀性。

           

           

既然能更清楚看見威脅的面貌,接下來,能否整合眾多網路與端點安全系統,也是企業評估威脅情報平臺的重點項目。ThreatStream目前可整合的資安解決方案類型很多,像是安全資訊事件管理系統(SIEM)、網路防火牆、入侵防禦系統,以及端點偵測與反應系統(EDR)。

而在這個平臺架構當中,負責執行整合相關工作的系統元件,主要是Anomali Integrator。它會從Anomali雲端服務取下威脅情資,再將這些資訊提供給位於企業內部網路的資安設備。

以SIEM、EDR的產品整合為例,ThreatStream能將事件記錄進行交互關聯,並將系統發出的各種警示,定出優先處理的次序。而在防火牆與入侵防禦系統的整合,則是能夠協助自動阻擋嚴重程度較高的威脅。

若要將這裡所發現的威脅情資,提供給其他企業參考,ThreatStream也內建了信任圈(Trusted Circles)的機制,能讓用戶執行雙向的情資共享。

除了仰賴ThreatStream提供威脅情報的彙整,Anomali Threat Platform還有另一個成員,專攻威脅情資與過往歷史事件記錄的分析比對,可用來挖掘企業內部環境的既存威脅,以及偵測新出現在此處的威脅,稱為Anomali Enterprise。

這套解決方案在2017年2月和9月,陸續發布了2.0和3.0版,分別著重資料外洩活動的分析(Breach Analytics),以及即時鑑識分析(Real Time Forensics)。

在Anomali Enterprise提供的功能當中,可整合與比對Anomali Labs發布的每週威脅簡報情資,以便探查企業內部環境是否出現資安威脅,同時,也能運用動態網域產生演算法(Domain Generation Algorithm,DGA),分析端點是否為了連接C&C網路,而產生網域名稱查詢的可疑舉動,進而找出那些被惡意軟體感染的主機。

 

產品資訊

Anomali Threat Platform
●原廠:Anomali
●建議售價:廠商未提供
●包含產品:威脅情報平臺ThreatStream、威脅鑑識與偵測平臺Anomali Enterprise
●可收集的外部威脅情資類型:付費Feeds、公開來源情報、STIX/TAXII、ISAC/ISAO
●可收集的內部威脅情資來源:SIEM、網路防火牆、IPS、EDR、API

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】


Advertisement

更多 iThome相關內容