情报探索

天际友盟杨大路:TI Inside生态和模式让威胁情报呈

 

2021年6月18日,以“万象新IN Power”为主题的TI Inside威胁情报应用生态协作峰会在北京举行。本次大会主办方天机友盟CEO杨大路发表了“TI Inside安全生态与协作”的主题演讲,与大家分享了天机友门如何看待威胁情报生态协同的概念,以及如何通过TI Inside这个创新模式让威胁情报创造更大价值。

杨大路提到,如果威胁情报想要做得更好,那么生态合作是最好的办法。 “生态协同”不仅是天机联盟一直坚守的价值观,也是真正实现威胁情报共享的信念,已经深深植根于天机联盟的产品理念、技术理念、理念一致传达给业界。一种态度。在运营方面,我们可以看到,自2015年开始接触威胁情报以来,天机联盟一直致力于与行业和客户共享威胁情报。

杨大路认为,与大多数网络安全技术领域相比,我国与西方国家在威胁情报方面的差距并不大,而这一成就应该归功于所有TI Inside生态系统的联合成员的努力。

天津联盟探索威胁情报生态协调的道路从未停止

关于生态协调,杨大路在我也是分享我在现场的一些感受。 2015年至2016年,西方国家在威胁情报方面逐渐催生了生态联盟和生态合作的模式。不过,当时国内很多厂商普遍持不认同生态模式的态度,觉得这个模式更重要。就像一句口号,不是脚踏实地能做到的。不过,他和他的团队坚信,这种模式一定会在中国生根发芽,帮助各厂商和用户群体更好地应对网络攻击,防止网络犯罪的发生。

演讲中,杨大路带我们回顾了天机联盟在威胁情报生态协同领域的探索历程。首先,天际联盟在2015年成立后,为了成为威胁情报生态系统,参与成立了Parllay威胁情报联盟,这也是中国第一个威胁情报联盟。进入2016年,天机友盟开始与大型综合网络安全厂商合作,在态势感知等部分平台接入其威胁情报能力。时间到了2018年,天机联盟开始向业界公开一些免费使用威胁情报的方法。之后,天际联盟开始逐步制定如何将威胁情报与业界各种安全产品相结合的方法论。

关于TI Inside,杨大路直言,这其实是参考了Intel提出的Intel Inside模型。 TI Inside于2019年上线,2020年正式发布商业版。虽然时间似乎不长,但天机友盟在这期间也经历了很多探索,做了很多大事来推动这种模式的发展。例如,通过与行业公司的广泛开放测试或试用工作来测试天际联盟的威胁情报数据在各个方面的性能。结果是各方面的成熟度表现都非常令人满意;另一个例子是统一。威胁情报标准。在此期间,地平线联盟作为协助起草单位与业??内多家厂商共同编制了国内首个威胁情报国家标准(GB/T-2018)。该标准的引入为威胁情报的共享和赋能提供了基础。 .这些通过不断努力取得的成果,极大地推动了TI Inside的发展,加速了其商业版的诞生。

杨大路随后介绍,截至目前,已有60多家安全公司的安全产品在使用天机联合威胁情报解决方案服务于其广泛的客户群。这是一个值得欣喜的阶段性成就。

打造全面、可靠、有效、易用、适应性强的威胁情报解决方案

杨大路指出,天佑萌是威胁情报的分析师、处理者和传输者。除了自有产品生成的威胁情报外,它还实时收集全球200多个情报源。这些数据包括开源数据、商业数据和其他合法渠道。获取、处理、分析和整理数据。

面对如此海量的威胁情报数据,很多产品和用户很难直接应用这些数据。因此,天机幽梦在如何利用这些数据上也做了很多创新。并尝试。

首先,天机友盟会生产符合国家标准的威胁情报,以Feed的形式向厂商输出威胁情报数据。需要指出的是,这些数据以明文而非加密形式提供,并且还支持在线和离线模式,这使得网络安全厂商在使用层面上更加简洁高效。

其次,为保证生态伙伴获取的威胁情报数据具有较强的可靠性和有效性,天机友盟专门设计了一套完整的数据信誉评价体系,实现威胁情报动态跟踪评价,避免无效信息库中长期存在的数据和老化数据。

第三,天机友盟针对处置、分析、EDR三个典型应用集筛选出适用的威胁情报数据,满足不同的安全产品和威胁情报。快速有效的集成需求。

第四,如上所述,天翼联盟的威胁情报数据来源非常广泛。除了自身的情报来源外,还有IBM、网宿等众多情报来源。天佑盟根据不同的情报来源和威胁类型建立了一套情报卡系统。用户可以根据自己的需要明确选择自己需要的情报数据采集。据介绍,目前该系统的卡片数量已超过40张。