近日,微步在線 (ThreatBook)宣布完成 A 輪融資,本輪投資由如山創投領投,北極光與華軟投資共同參與,投資規模達 3500 萬元。其中北極光為天使輪領投方,本輪繼續跟投。本輪投資將用于進一步加大研發投入,擴大在威脅情報領域的領先優勢。
“微步在線” 自 2015年6月 成立于北京, 定位以安全威脅情報 (Threat Intelligence) 服務為中心的安全公司。創始人兼 CEO 薛鋒曾任亞馬遜中國首席安全官,微軟中國互聯網安全戰略總監,是 Blackhat 歐洲安全大會和微軟藍帽子大會 Bluehat 上首位來自中國的演講者。團隊其他成員分別來自于來自亞馬遜、阿里巴巴、微軟、支付寶、京東、搜狗等。
微步方面告知,目前沒有一個實在的方法方式能保證企業的數據絕對不會泄漏,但還是有一套體系可以參考:
第一步,要有基礎的防御措施。如要有墻,要有足夠的工具和方法去偵測。
第二步,威脅感知。在第一時間知道和發現威脅,發現 “有誰在搞你,怎么搞你,為什么搞你,從哪里搞你,搞了哪些數據” 等。
第三步,加密算法。在數據即便被拿走的情況下,讓對方事后也沒法使用。
這時候企業就需要有自己自主可控的情報平臺。像是 IP、事實、訪問時間點等,這些就是原數據。經過情報的處理和分析,通過分析師、自動化和人工處理之后,它會變成情報。這些情報的獲取難度和破解難度也是呈金字塔型的。
第一層是 Hash Values,獲取和變換起來都很容易。逐層遞增,到最高層就是 TTPS——工具、技術和流程,也就是說攻擊者用的是什么戰術,用的什么技術和方法。這些東西獲取之后的變換成本非常高。
那么,檢測和響應就成了情報所帶來的最核心的價值。基于此,微步在線在全球范圍收集威脅情報,包括千萬級實時更新的全球失陷主機數據、數億 IDC 服務器及代理、數十億動態 IP、十億級存量域名和每日千萬新增域名等。每日處理樣本 300 萬以上,5 億白名單累積;時間跨度包括 5年 的 pDNS 數據,3年 以上的域名 whois 注冊信息數據。
產品形態上包括威脅分析平臺、IOCfeed、資產發現:
威脅分析平臺——可以提供鑒別分析(IP、域名、樣本等)、關聯數據拓展線索、掌握 IOC 上下文、溯源攻擊者身份等功能。
IOCfeed——以 C&C 控制服務器為主,可下發到 IPS、NGFW、SIEM 等設備中,及時發現失陷主機并阻斷控制通信,以控制實際危害發生。結合威脅分析平臺可以完成從檢測到響應再到溯源的閉環過程。
資產發現——通過逆向 whois 和子域名查詢功能,全面掌握黑客組織的所有對外業務,可結合漏洞掃描器以分析安全風險,并監控新上線業務。
最后,微步強調,情報落地一定要和業務關聯,形成一套體系。還有分析師是關鍵,在整個體系當中真正懂業務,懂情報,懂怎么來調用手頭工具的分析師是難求的。
京公網安備 11010502049343號