落实威胁情报,实时应对网络威胁
Centripetal 公司创建了 CleanINTERNET 服务,以防止网络犯罪分子进行网络渗透和造成数据泄露等。它利用关键网络威胁情报的实时订阅源,包括高置信度的 IBM® Security X-Force® Exchange 商业应用程序编程接口 (API) 解决方案,实时防御最高风险的威胁。
Centripetal Networks Inc. 使用 IBM Security X-Force Exchange Commercial API 解决方案,将数百万个威胁指标输入其 CleanINTERNET 服务,实时双向防御恶意攻击。
如今,没有强大的网络安全,任何公司都无法运营。尽管公司投入资源来应对可能的网络威胁,但他们的网络团队面临沉重的负担,花费宝贵的时间研究已经过去的威胁,而不是专注于实时预防。尽管他们付出了努力,但在实时网络上收集、处理和实施威胁情报仍然极其困难。
Centripetal 安全运营副总裁 Jess Parnell 表示:“拥有大量信息库,唯一的作用是生成报告供其他人阅读,这对于战略决策者了解其行业面临的威胁很有用,但不一定是战术上的最佳方法。” 。“产生情报非常有价值,但不主动、及时地利用情报来保卫网络,历来是一个严重的错误。”
随着网络威胁的发展,威胁情报领域也在不断发展。如今,已有足够多的情报来检测和阻止几乎所有网络攻击。但直到最近,还没有有效的方法来汇总所有这些情报,并自动加以运用来实时防止威胁。
为了解决这个问题,Centripetal 设计了其专有的 RuleGATE 威胁情报网关,以在零信任的基础上自动根据威胁情报采取操作。Centripetal 可在网络攻击渗透到网络或从网络中泄露数据之前,阻止双向网络攻击。该公司创建了这个过滤引擎,可以实时摄取数十亿个威胁指标,对其应用动态规则并采取行动。利用所有可用的情报,并检查每个网络数据包,可提供最高级的零信任安全性。
Centripetal 从多个来源接收威胁情报,但其网关需要一个可靠、准确且经常更新的威胁情报来源,以成功阻止网络威胁。为了加强和完善其网关技术,并向客户提供服务,该公司需要寻求新的网络威胁情报来源。
“我们实际上并不制作威胁情报,”Parnell 说。 “我们称之为给发动机——我们的 RuleGATE——的汽油。它需要情报来查明网络内的恶意活动,并主动保护网络。”
2018 年,Centripetal 和 IBM Security X-Force 的团队通过一家共同客户建立了联系。Centripetal 测试了 IBM Security X-Force Exchange Commercial API 软件即服务 (SaaS) 解决方案,并决定使用它,但使用率远远高于任何其他客户。很多时候,IBM Security X-Force 客户每月订阅一个或多个包含 10,000 条记录的服务包。而 Centripetal 希望在记录可用时立即使用,这相当于每月 1700 万条记录。IBM 团队能够提供满足 Centripetal 需求的解决方案。
针对希望主动而非被动地保护其网络的客户,Centripetal 提供了 CleanINTERNET 服务。该公司使用 IBM Security X-Force Exchange Commercial API 订阅源,作为其威胁情报的主要来源之一,使情报通过其服务具备可操作性。得益于 RuleGATE 网关,所有这一切都在没有明显网络流量延迟的情况下发生,并且没有防火墙或其他安全堆栈设备的参与。Centripetal 可以通过 CleanINTERNET 服务定制最终用户对威胁情报洞察的使用,该服务通过 RESTful API 访问基于云的 IBM Security X-Force Exchange 平台。
“我们实时提取 X-Force 数据,”Centripetal 首席架构师兼副总裁 Dave Ahn 说道。“所有数据——不仅仅是一个子集,而是全部。我们在这一领域是独一无二的,因为大多数解决方案都无法利用接近这一数量的情报,并使其具有可操作性。”事实上,Centripetal 解决方案每天利用来自多个威胁情报源(包括 IBM Security X-Force 解决方案)的数十亿个威胁指标。
Centripetal 将 IBM Security X-Force 威胁情报(包括 IBM 分析师指定的威胁指标)引入其分析平台,其中明显的“全风险”威胁由 RuleGATE 威胁情报网关指定为立即屏蔽。CleanINTERNET 服务主动屏蔽这些事件,以便实时进行精细、详细的二次检查分类。
在屏蔽事件负载减少后,Centripetal 然后使用这些二次检查技术,沿着风险梯度,主动分析所有其他威胁事件。此时出现第二类“值得监控”的流量,可以对其进行解密、分析和捕获有效内容。最后,一些流量立即被评分为“低可信度”或“提供信息”,并且不采取任何行动。分类因客户的风险状况而异,并随着新威胁的出现而不断演变。正如 Ahn 指出的,“我们的分析平台和分析师与情报和客户合作,将情报映射到每个客户可操作的行动上。”
Centripetal 团队对 IBM Security X-Force 的威胁情报指标非常有信心。“我们的分析师……对 IBM X-Force 指标集非常有信心,而且许多指标都值得屏蔽,”Parnell 说。 “IBM 的评分和 X-Force 提供情报的方式都非常可靠。对于我们获得的所有不同种类的情报而言,情况并非总是如此。”
Centripetal CleanINTERNET 服务也是动态的,随着 IBM 威胁指标的变化,自动将“值得监控”的情报升级为“值得屏蔽”的情报。“中间的大灰色区域确实是你们为我们提供的大量价值,”Parnell 说。 “这对我们如此有价值的原因是,我们对数据进行了二次检查。”
在二次检查中,Centripetal RuleGATE 使用“值得监控”的情报指示器,通过深度数据包分析引擎(例如基于内容的入侵检测系统和无签名检查技术)来转向和传递潜在的恶意流量,这些技术可能会在目标的一个子集上“开火”,例如指挥和控制基础设施。该分析丰富了 Centripetal 对威胁的实时决策和主动响应。该公司的方法利用原始情报指标,添加了有关流量的有价值的背景信息。“这使得该指标真正具有可操作性,”Parnell 说。 “最终的结果是更大程度的屏蔽,可以减轻风险。”
通过运用从 IBM Security X-Force Exchange Commercial API 解决方案中提取的威胁情报,Centripetal 为其客户提供了一个网络威胁防御解决方案,可实时主动屏蔽最高风险的流量。Centripetal 选择 IBM 解决方案,是因为其高质量和可靠性。IBM Security X-Force Exchange Commercial API 并不是一种万能的情报源。Centripetal 根据各个客户的需求,在其检测架构中动态利用原始数据。
“IBM 非常及时地提供了非常好的妥协指标,”Parnell 说。 “我们引入了这些指标,几分钟之内这些指标就全面保护了我们的客户。”高置信度的指标集加上低误报率,使得 IBM Security X-Force 解决方案对 Centripetal 非常有价值。
该公司的 CleanINTERNET 服务可自动执行威胁防护并抵御威胁,而由于 Centripetal 每项专利检查技术的性能,对网络性能的影响可以忽略不计。Parnell 表示,这是传统的手动安全措施与 CleanINTERNET 服务之间区别的关键。“向传统安全堆栈人员展示这一切是如何在没有任何用户干预的情况下发生的,这真的很酷,”他说。“我们使用机器对机器,我们使用高质量的数据,我们动态响应数十亿个威胁,所有这些都没有对 IT 产生负面影响。但它确实有效地保护你免受攻击。”
IBM Security X-Force 的自动化与高质量威胁情报的结合,为客户创造了其他间接益处。例如,当 Centripetal 使用 IBM Security X-Force 和其他威胁情报数据,为东北部一家大型医院系统防范恶意活动时,团队发现需要调查和解决的攻击减少了 70%,这有助于提高分析师效率并降低成本。这使得他们的团队能够专注于关键任务风险,从而显著提高他们的网络安全态势。而且,Centripetal 报告称,IBM Security X-Force 服务始终跻身顶级解决方案之列,可最大程度地减少攻击。
Ahn 表示,IBM Security X-Force 解决方案和 Centripetal CleanINTERNET 服务是一个制胜组合。“IBM 威胁研究的可靠性和一致性,以及我们应用情报方法的加持,带来了主动保护,”他说。“而且,IBM的研究比一些临时开发的情报要有分量得多。”
Centripetal 的客户通过 Centripetal 使用 IBM Security X-Force Exchange Commercial API 服务,受益于来自 IBM Security X-Force Exchange 的高度可靠的情报。“通过 Centripetal 解决方案,我们的客户可以从 IBM 分析师的实时意见中受益,保护自己免受威胁,”Parnell 说。 “这非常强大。”
订阅 IBM Security X-Force Exchange Commercial API 解决方案后,Centripetal 可以通过 IBM Security X-Force Exchange 平台门户访问更广泛的情报集合。这包括有关特定安全调查或收集的信息,其中包括非结构化和结构化数据、事件描述和与事件相关的可观察内容,以及有关新兴威胁指标及其背景的综合情报。“我们可以访问门户网站并获取足够的信息,以便我们可以快速决定向客户告知什么内容,以及如何针对威胁采取补救措施,”Parnell 说。
IBM Security X-Force 和 Centripetal 正在展望未来的合作,不断改进威胁情报。凭借在 Centripetal 的经验,IBM 已经创建了 IBM Security X-Force Exchange 情报订阅源的企业 API 版本,专为类似于 Centripetal 利用的大规模线程而设计。“我们 [与 IBM Security X-Force] 合作已有多年历史,我们认为可以开展更多合作,”Parnell 总结道。“我们对此感到非常兴奋,也很高兴能探索未来的举措。”
Centripetal (链接位于 ibm.com 外部)成立于 2009 年,总部位于弗吉尼亚州赫恩登,提供情报驱动的安全性。Centripetal 发明了”威胁情报网关”,并利用其技术提供 CleanINTERNET,这是一项以情报为主导的综合网络服务。借助 Centripetal,各个垂直领域、各种规模的客户都可以通过提前应用情报,持续阻止 90% 以上的已知威胁。Centripetal 的技术受到 50 多项美国和国际专利的保护,并在全球范围内部署以保护关键网络。
法律
© Copyright IBM Corporation 2021. IBM Corporation, Security, New Orchard Road, Armonk, NY 10504
美国出品,2021 年 1 月
IBM、IBM 徽标,ibm.com 以及 X-Force 是 International Business Machines Corp. 在世界各地司法辖区的注册商标。其他产品和服务名称可能是 IBM 或其他公司的商标。以下网站上的“Copyright and trademark information”部分中包含了 IBM 商标的最新列表:ibm.com/trademark。
本文档为自最初公布日期起的最新版本,IBM 可能随时对其进行更改。IBM 并不一定在开展业务的所有国家或地区提供所有产品或服务。
文中引用的性能数据和客户实例仅作说明之用。实际性能结果可能因具体配置和操作条件而异。本文档内的信息“按现状”提供,不附有任何种类的(无论是明示的还是默示的)保证,包括不附有关于适销性、适用于某种特定用途的任何保证以及非侵权的任何保证或条件。IBM 产品根据其提供时所依据的协议条款和条件获得保证。
良好安全实践声明:IT 系统安全涉及通过预防、检测和响应企业内部和外部的不当访问来保护系统和信息。不正当访问可导致信息被更改、破坏、盗用或滥用,也可能导致系统被损坏或滥用,包括用于攻击他人。任何 IT 系统或产品都不应被视为完全安全,任何单一产品、服务或安全措施都不能完全有效防止不正当使用或访问。IBM 系统、产品和服务旨在成为合法、全面的安全措施的一部分,这必然涉及其他操作程序,且可能需要借助其他系统、产品或服务才能发挥最大作用。IBM 不保证任何系统、产品或服务可免于或使您的企业免于受到任何一方恶意或非法行为的影响。