幻阵真人攻击情报赋能金融行业：从业务中来，到业务中去

网络威胁形势所迫

网络安全公司Fortinet发布的《2024年网络威胁趋势预测报告》中指出，APT攻击、0day漏洞攻击趋势持续上升、攻击者将继续扩大其用以入侵目标的策略、技术和战术集 （TTPs） ；同时，攻击者将更加聚焦于关键产业，如金融业、医疗保健、公用事业、制造业等，寻找那些一旦被成功破坏，将对社会产生重大不利影响的目标。这些趋势意味着攻击者将采取更多样化、更复杂的攻击手段和策略，对金融行业等关基单位来说将会是一个巨大的挑战，而威胁情报作为安全运营中重要的组成部分，其作用不容忽视。

监管与攻防演练的需求

早在2019年，央行就提出要加快建设金融业网络安全态势感知和信息共享平台。 2023年5月1日正式实施的GB/T 39204-2022《信息安全技术 关键信息基础设施安全保护要求》标准，要求建立威胁情报收集、加工、共享、处置、协同联动等工作。2023年8月6日正式实施的GB/T 42708-2023《金融网络安全威胁信息共享指南》标准，提出威胁信息共享的方式、流程、质量管理、保障机制和安全管理等方面的建议。

在全国实战攻防演练常态化的趋势下，通过纯人工进行威胁 情报的 研判与分析成本过高，实时、精准、全面、可闭环的情报更能够发挥作用，也更受防守方青睐。

情报数据面临挑战

近年来，国内网络安全威胁情报平台及服务发展迅速，大多数平台能提供较丰富的攻击IP情报、漏洞情报等类型数据，但由于 攻击者会不断改变战术、技术和程序来规避检测，所以 这类情报的时效性相对较短，需要频繁更新。此外，随着新的攻击手法和技术的出现，这类情报可能无法及时覆盖所有新的威胁，存在一定的滞后性。

通过访问行为可以筛选出攻击流量

正常员工的网络访问一般具有针对性，极少触碰到仿真业务和虚假接口服务，而攻击者的踩点、扫描、入侵等行为有极大可能踩中沙箱，所以踩中沙箱的流量或者访问者，基本可以被打上“攻击”的标签。

通过对攻击的多方研判确定真人攻击

幻阵内置基于ATT&CK框架的18种攻击手法、1000+种攻击战术，安全专家针对攻击行为提供危害定级，辅助用户研判和处置攻击。

真人攻击情报持续发现和上报

幻阵可以长期稳定地挖掘真人攻击情报，并积累诸如攻击者画像、攻击性质、攻击事件线、执行命令、基于ATT&CK的攻击战法等情报信息。 同时，幻阵提供开放的API接口，可以通过Syslog方式向行业态感平台上报攻击行为和真人社交信息，辅助威胁情报上报工作的开展。

贴合业务的威胁情报自生成

目前的威胁情报以“泛情报”为主，主要问题在于没有业务针对性，需耗费人工筛查和验证，命中率不高。金融机构在自建威胁情报平台时，将日常安全运营数据、幻阵真人攻击情报、第三方情报等融合分析，并基于自身需求进行情报二次加工，形成多维度TTPs情报，再反哺到日常安全运营体系中。

实战攻防演练防护

实战攻防演练期间，金融机构通过使用幻阵+联动工具，能快速绑定主流品牌防火墙，实现真人攻击的精准发现和快速阻断。

日常安全运营保护

在日常网络安全运营中，针对诸如非上班时间段发生的攻击、APT攻击、勒索/挖矿病毒攻击等，幻阵也能够提供精准的情报。

弥补当前情报的缺失

金融机构可通过幻阵实现 真人攻击情报的 采集和积累 ，此类情报不仅是 目前 行业比较缺乏的TTPs情报信息 ，也天然具有金融行业属性，能够满足自防或情报上报的需求。

从业务中来，到业务中去

幻阵帮助金融机构自行积累业务中反馈出的最新情报，应用在平时/战时安全运营工作中，并通过合理编排实现联动阻断。

有效提高情报分析效率