整合威脅情資黑名單,實現資安聯防計劃

test

圖:N-Cloud執行來自行政單位/全球資安研究單位黑名單的防禦命令

為因應越來越多變的攻擊手段,全球政府、研究單位以及資訊安全開發商近年來開始朝向威脅情資的研究與分析領域發展,搭配建置於網路重要節點的防禦設備針對黑名單進行攔阻,提升安全保障。威脅情資的標的主要涵蓋IP Address與FQDN兩大類,集結可疑或是已確認的惡意來源資料成黑名單庫。


N-Partner公司提出威脅情資聯防的解決方案:使用者可以上傳黑名單到N-Cloud平台,N-Cloud能夠將黑名單派送到可支援的網路設備進行阻擋。現在已經有多所使用N-Cloud的教育用戶採用了這個方案,派送來自政府以及商業資安公司的威脅情資至出口閘道防火牆或是資安設備執行黑名單阻擋工作。N-Cloud允許設定阻擋的時間,並做成阻擋紀錄與統計報表,讓管理者了解威脅情資所發揮的實際效益。

test

圖:N-Cloud比對資料後,使用者可依阻擋類別(IP/FQDN)自訂派送至哪個設備

N-Cloud是維運中心可同時管理不同來源的威脅情資,使用者將自己建立的黑名單、已採購商業資安方案的訂閱式威脅情資等統一上傳至N-Cloud。N-Cloud會比對每份威脅情資的黑名單內容,將IP與FQDN分類,剔除重複,允許使用者規劃防禦分層負責架構,把IP與FQDN分別派送到不同的設備執行阻擋隔離。

能根據需求設定監控門檻,24小時不間斷持續掌握異常

使用者可以根據需求自行定義異常判定基準,超過門檻閥值時便將來源納入黑名單裡,例如某個IP短時間內觸發了多次高風險事件、資安設備發現某個使用者下載了異常檔案等。N-Cloud使用者可以依據公司的政策或管理的習慣設定異常門檻,自動化管控不當使用行為。


由於威脅情資所提供的是都是針對外網惡意來源的訊息,為同時強化內網的防禦,可運用N-Cloud維運平台內建的智慧學習功能,分析內部網路流量與各種日誌數據,即時產出內網的異常黑名單,加入上述威脅情資共同運作,獲得內外兼具的防禦效益。