2022年,Gartner在**《快速回答:EASM、DRPS和SRS有什么区别?》**报告中首次提出XTI(Extended Threat Intelligence)扩展威胁情报的概念。Gartner认为,传统CTI(Cyber Threat Intelligence)存在一定的局限性,主要面向的是事中和事后的安全分析。在数据采集层面上,更多是被动地、反应式的收集,准确性低,几乎无法描述威胁事件的全面情况。传统威胁情报领域正面临一次“思维革命”,XTI扩展威胁情报将安全思维从防御者思维调整到融合攻击者思维,将大大缩小安全团队与黑客之间的“不对称鸿沟”,也是安全情报发展的必然趋势。
**斗象扩展威胁情报XTIP平台(简称斗象XTIP)**应运而生,斗象XTIP平台整合多源情报源,包括来自公共情报源、联合防御情报源,以及斗象旗下独有的平台社区情报源、攻击面情报源、漏洞情报库和漏洞利用情报库。
斗象XTIP平台依托多源信息数据融合技术,充分应用AI大模型技术抽取情报信息中的知识实体、关联关系等要素,并进行智能纠错、补全,同时运用知识图谱技术来增强时空关系、语义关系,构建出一个综合全面的情报视图。
定期给用户提供**“人读”情报报告,以及“机读”**的恶意IP、恶意域名、白名单域名、恶意URL、远控C&C、恶意钓鱼URL、黑白文件Hash、SSL数字证书等IOCs列表,为企业日常安全监控运营提供基础。
斗象VIP漏洞生产运营平台融合了多源漏洞情报数据,内置适用于中国企业客户的资产风险评级模型,包含漏洞评分、披露时间、CVE-ID、Exploit是否已公开、武器化利⽤、是否被勒索软件利⽤、是否被botnet利⽤、时间线信息(最早利⽤时间、国家漏洞库收录时间、更新时间等维度)、趋势(Github等)、exploit的url地址(Github、各类博客等)、漏洞利⽤相关的事件报告、供应商建议等。
漏洞情报为组织提供及时精准的漏洞情报资讯,快速定位受影响产品或系统,并给出修复方案和缓解方案。结合系统的组件及版本进行漏洞识别是比较有效快速的方式,并优先针对最关键的漏洞(即那些在野外被积极利用的漏洞)推进修复工作。
有价值的漏洞会被进一步利用,斗象为此提供漏洞利用检测能力,包括IDS签名规则、YARA规则、Pcap包、私有PoC/EXP等,检测漏洞利⽤⾏为,有效提升组织在攻击者获得初始据点阶段的检测防护能力。【还有首次漏洞利用的攻击者IP等信息】
提供资产侦察、影子资产识别、企业敏感信息、数字资产指纹、证书信息、仿冒信息、IT资产等识别能力,为企业提供互联网侧攻击面安全巡航,及时发现在互联网侧的可利用漏洞信息、泄露的敏感信息等,提供数字品牌保护,为企业提供主动防护,收缩攻击面的能力。
斗象依托漏洞盒子平台14万+安全白帽,累计为企业提供漏洞230W+,白帽群体是安全世界中最活跃的漏洞猎手,对实战化的漏洞情报信息保持高度敏感和关注,如国内外最新爆发漏洞、验证方式、利用方式、补丁绕过方法等。在社区中,充分利用了社区信息交换的优势,达到群策群力的效果。还包括监控暗网、深网、匿名社交软件、勒索团伙站点上的与组织相关的敏感数据泄露、违法黑产交易、黑产舆情等信息,并提取相关情报,以确保情报的时效性和实用性,帮助企业更早获得信息做出安全决策。
斗象科技通过与网安科研机构、大型企业紧密合作,通过全网布置的高仿业务环境(蜜罐),模拟真实业务和数据流动。同时采用新一代沙箱、EDR等安全监控设备对目标进行深度观察、追踪和分析。通过捕获恶意样本和分析APT行为,提取关键的行为特征,并转化为联合防御情报,如IOA规则、Yara规则等。基于联合防御形成高质量APT情报,增强行业客户对高级别安全威胁识别和对抗能力。
从CTI到XTI的转变,不仅是视角的切换,更是对安全防护理念的革新。传统威胁情报通常以公开的黑客活动和恶意软件样本等为主要来源,主要依赖于外部的情报源,如公共情报提供商和第三方威胁情报服务。受限于单一的数据来源,并往往以人工方式进行分析和评估,性能瓶颈明显,输出滞后于最新威胁动态,最终在情报输出质量上呈现出静态、被动的特点。
斗象XTIP平台的革新之路,在于它从不仅涵盖传统威胁情报,更从攻击者的角度出发,扩展并融合至更广泛的威胁情报,如资产暴露、未知资产识别、安全漏洞、密码脆弱性、敏感资料外泄、以及供应链潜在风险等,进而映射出具有“预见性”的IT风险轮廓和威胁信息。
—END—