压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

楊大路：大家好！下邊由我還有我們的伙伴都柯和我一塊兒來介紹下面一個(gè)議題。

前面的伙伴都講了，現(xiàn)在我們需要一個(gè)威脅情報(bào)要構(gòu)建情報(bào)的平臺(tái)或者是情報(bào)云，我們需要構(gòu)建怎樣的威脅情報(bào)云，我們認(rèn)為應(yīng)該具備這些能力，威脅在什么時(shí)間發(fā)生，攻擊者的手法是什么，攻擊從哪兒來，組織和個(gè)人使用了哪些工具，攻擊的目標(biāo)是什么？我們更想知道攻擊者的身份是什么，他是一個(gè)國(guó)家還是一個(gè)組織還是一個(gè)個(gè)人？是針對(duì)企業(yè)的黑色產(chǎn)業(yè)的團(tuán)體還是說針對(duì)更有真?zhèn)涡缘慕M織，可能在我們對(duì)攻擊者畫像的角度來說比較關(guān)鍵。

使用威脅情報(bào)云來檢測(cè)的目的是什么？其實(shí)我們認(rèn)為使用威脅情報(bào)的目的和真正的效益在于縮短攻擊者的自由攻擊時(shí)間，也可以說是增加了攻擊者使用成本，所以使用威脅情報(bào)的產(chǎn)品的原因是第一是生產(chǎn)威脅產(chǎn)品的速度提升了，我們發(fā)現(xiàn)威脅事件對(duì)安全產(chǎn)品規(guī)則上進(jìn)行了更新，速度會(huì)以月計(jì)，使用了威脅情報(bào)之后有可能就在小時(shí)甚至是分鐘級(jí)來實(shí)現(xiàn)規(guī)則的相應(yīng)。第二個(gè)方面是使用威脅情報(bào)還可以解決產(chǎn)品間的差異問題，因?yàn)椴煌膹S商、不同的設(shè)備對(duì)同一個(gè)事情的描述千差萬別，一個(gè)問題可能有多種問題的描述的方法。一個(gè)漏洞CVE對(duì)事件的描述在不同的時(shí)間都可以出現(xiàn)很多很多，描述的差異性在威脅情報(bào)里可以用標(biāo)準(zhǔn)化的方法來描述。最后是兩個(gè)特性，一個(gè)是以行動(dòng)為核心，我們?cè)诨ヂ?lián)網(wǎng)的任意一點(diǎn)發(fā)生了一件事證明了它的存在和分析清楚它的手法和價(jià)值以后，我們以這個(gè)證據(jù)鏈知識(shí)的傳遞給更多的用戶，更多的地方更好地來檢測(cè)事情、漏洞和脆弱性。最后是以有效性為目標(biāo)，已經(jīng)把證據(jù)以知識(shí)的方法傳遞給了更多的地方、更多的設(shè)備、更多的人，一旦發(fā)現(xiàn)關(guān)鍵路徑上的有效信息，它一定是一次和確定的安全事件，就不是說我們的疑似報(bào)警、疑似信息了，這是威脅情報(bào)使用的價(jià)值。

我們認(rèn)為威脅情報(bào)云應(yīng)該有一個(gè)中心，我們認(rèn)為首先構(gòu)建威脅情報(bào)云的第一步是需要做以溯源為中心的分析平臺(tái)，當(dāng)然這個(gè)平臺(tái)可以是在企業(yè)側(cè)也可以使用互聯(lián)網(wǎng)上的云服務(wù)，溯源平臺(tái)是經(jīng)過了把所有的互聯(lián)網(wǎng)上多元的威脅情報(bào)的數(shù)據(jù)進(jìn)行了整合，以可視化的方法，以可用性的數(shù)據(jù)特征、關(guān)聯(lián)方法進(jìn)行了關(guān)聯(lián)，可以便于快速地在界面上進(jìn)行搜索，甚至可以使用API的方式進(jìn)行有效的調(diào)用，目的就是告訴我們一個(gè)事件發(fā)生了以后，他是誰？什么時(shí)間發(fā)生？為什么發(fā)生？并且可以通過這個(gè)平臺(tái)最大程度地進(jìn)行事件的溯源，來輔助我們做一些決策甚至做一些法律上的行動(dòng)。

其實(shí)威脅情報(bào)是一個(gè)生態(tài)，威脅情報(bào)數(shù)量很多，來源很廣，而且它從生產(chǎn)到使用環(huán)節(jié)很長(zhǎng)、流程很長(zhǎng)，一家公司很難把它從頭到尾從原始數(shù)據(jù)搜集到分析到分發(fā)、到落地使用到響應(yīng)、應(yīng)急響應(yīng)都做完，所以我們認(rèn)為構(gòu)建一個(gè)情報(bào)的生態(tài)，可能是打造一個(gè)安全威脅情報(bào)云服務(wù)的關(guān)鍵點(diǎn)，所以我們可以看到一方面自己搜集一些原始的數(shù)據(jù)，利用機(jī)器學(xué)習(xí)和專家集中在一塊的方法，更好地生產(chǎn)自己發(fā)現(xiàn)或者是獨(dú)立發(fā)現(xiàn)的獨(dú)有的威脅情報(bào)。另一方面，我們也要和更多的具有威脅情報(bào)或者是廣泛的廠商進(jìn)行互補(bǔ)。比如說IBM? X-force這些數(shù)據(jù)，我們?cè)谇閳?bào)云平臺(tái)上進(jìn)行了整合，用戶直接使用了情報(bào)就避免了分析人員挨個(gè)云，不同的廠商的數(shù)據(jù)都去檢查一遍，這樣做的盡量多的數(shù)據(jù)整合的工作以后，這個(gè)情報(bào)工作的價(jià)值就會(huì)更高。當(dāng)然，整合完以后，因?yàn)橥{情報(bào)是一種知識(shí)，知識(shí)怎么來發(fā)揮作用呢？不能說知識(shí)告訴你了就有作用，知識(shí)一定要有措施和手段去落地，這個(gè)措施和手段我認(rèn)為無外乎還是傳統(tǒng)的，比如說SOC平臺(tái)、WAF平臺(tái)、掃描器和防火設(shè)備等等，還是要把威脅情報(bào)落地這樣才能發(fā)揮威脅情報(bào)更多的價(jià)值，所以我們也在威脅情報(bào)和產(chǎn)品做打通的基礎(chǔ)上，我認(rèn)為這也是好的威脅情報(bào)云服務(wù)需要具備的，要和更多的產(chǎn)品、廠家的產(chǎn)品或者是更多的類型的產(chǎn)品去打通，這樣也解決的上一個(gè)議題講到的，用戶側(cè)什么樣的情報(bào)更有用，用戶自己知道，用戶側(cè)的設(shè)備需要什么樣的威脅情報(bào)，可以針對(duì)不同設(shè)備的特性進(jìn)行訂閱和分發(fā)。

剛才說了我是如何來構(gòu)建一個(gè)威脅情報(bào)云的，接下來看看我們是這么使用威脅情報(bào)云的。現(xiàn)在主要有三種形態(tài)，一個(gè)是Feed，我們會(huì)提供在線的、常規(guī)的線索庫(kù)，我們的情報(bào)里不把Feed當(dāng)成是信息庫(kù)，因?yàn)樾畔?kù)是傳統(tǒng)的說法，我更喜歡把它作為一個(gè)線索庫(kù)，我們把Feed作為發(fā)現(xiàn)事件、發(fā)現(xiàn)威脅的源頭來做調(diào)查的線索的入口。第二，威脅情報(bào)的平臺(tái)不能只靠人工實(shí)現(xiàn)查詢匹配，需要有更自動(dòng)化的方法來使用它，所以需要平臺(tái)用API或者是SDK的方法讓機(jī)器自動(dòng)化地查詢、推送和訂閱。威脅情報(bào)需要有用戶側(cè)的導(dǎo)入，用戶需要什么情報(bào)我們?nèi)ソo他匹配，所以在威脅情報(bào)導(dǎo)入之前，利用威脅情報(bào)云服務(wù)之前，需要一些現(xiàn)場(chǎng)的風(fēng)險(xiǎn)評(píng)估或者是安全服務(wù)的一些前置，把企業(yè)方面對(duì)威脅情報(bào)的需求梳理清楚，然后做定制化的訂閱，這樣的話效果會(huì)更好。傳統(tǒng)的設(shè)施一定是威脅情報(bào)落地的手段，威脅情報(bào)要落地一定要靠傳統(tǒng)的安全設(shè)施，所以一個(gè)好的威脅情報(bào)云的使用方法是我們一定要通過API、SDK的方法把它集成在企業(yè)已經(jīng)建設(shè)或者正在建設(shè)的安全措施中。當(dāng)然，不同的安全措施使用威脅情報(bào)的方法不一樣，比如說我們建了一個(gè)SOC平臺(tái)需要更多的線索庫(kù)，我們把線索庫(kù)定時(shí)地導(dǎo)入進(jìn)去之后跟日志和資產(chǎn)做更多的離線碰撞，碰撞后的結(jié)果再返回到情報(bào)云上進(jìn)行擴(kuò)展。還有網(wǎng)關(guān)類的下一代的防火墻WAF，需要精確的可以進(jìn)行實(shí)時(shí)告警和警報(bào)的信息，因?yàn)樾枰卟l(fā)的支持，可能用SDK把高威脅度的確定程度很高的情報(bào)信息做預(yù)先的或者是定時(shí)的導(dǎo)入來做檢測(cè)。最后，對(duì)APT的檢測(cè)一些常規(guī)的ICO和關(guān)鍵路徑的特征是關(guān)鍵，還有組合特征和流量還原的特征也會(huì)需要用到情報(bào)分發(fā)的體系，具體由后面的都柯給大家做一些講解，如何利用威脅情報(bào)云用APT檢測(cè)的案例的介紹。

當(dāng)然，這是我們主流的威脅情報(bào)云能提供的基礎(chǔ)信息服務(wù)，包括域名的WHOIS、域名新于、IP? WHOIS反向解析，開放的端口數(shù)，這里面比較獨(dú)特的是一個(gè)AS域信息，每個(gè)IP都是屬于每一個(gè)網(wǎng)絡(luò)中的IS域，這會(huì)有很多有意思的黑客或者是一些使用方法，所以標(biāo)注一個(gè)IP的AS域發(fā)現(xiàn)一些很特殊的黑客手段，還有常規(guī)的惡意樣本、url樣本等等。因?yàn)樾畔⒘亢艽螅覀儾樵兊臅r(shí)候需要一些模糊匹配，所以對(duì)一些字符串的查詢也可能是情報(bào)云的比較好的方法，當(dāng)然這只是一個(gè)威脅情報(bào)云需要具備的一些基礎(chǔ)的信息，這并不是全部，需要更多。

天際友盟是國(guó)內(nèi)威脅情報(bào)的先行者，我們現(xiàn)在成立了國(guó)內(nèi)首個(gè)安全威脅情報(bào)聯(lián)盟，我們的目標(biāo)是以聚合、分析、交換、溯源為目標(biāo)的情報(bào)云，并且我們是IBM? X -force的聯(lián)盟伙伴，烽火臺(tái)安全威脅聯(lián)盟是9家公司，我們把數(shù)據(jù)引擎進(jìn)行了共享，并且在各自領(lǐng)域進(jìn)行了互補(bǔ)，都有不同的技術(shù)方向，我們也支持了國(guó)際上主流的威脅情報(bào)的交換協(xié)議，并且我們現(xiàn)在也在協(xié)助工信部進(jìn)行國(guó)內(nèi)的威脅情報(bào)格式的國(guó)家標(biāo)準(zhǔn)的建設(shè)。

下面由都柯介紹一下怎么用威脅情報(bào)云進(jìn)行具體案例的分析。

都柯：大家下午好，非常高興今天能有機(jī)會(huì)和大家一起分享我們?cè)贏PT檢測(cè)核威脅情報(bào)云使用的經(jīng)驗(yàn)，我叫都柯來自于神州網(wǎng)云信息有限公司。為什么這個(gè)報(bào)告我們分成兩個(gè)人來組合？剛才大路也講了，我們的安全威脅情報(bào)是一個(gè)生態(tài)，既然是生態(tài)我們就要輸出也要使用，我們輸出我們的情報(bào)和共享的技術(shù)，從中在我們的業(yè)務(wù)應(yīng)用過程中獲利或者是達(dá)到我們的目的。之前還有朋友在講，包括投資方面的和風(fēng)險(xiǎn)控制方面的，說我們的威脅情報(bào)的數(shù)據(jù)可以做很多的事情，甚至可以做風(fēng)險(xiǎn)控制，我們08年開始一直做高級(jí)惡意攻擊的檢測(cè)，我們服務(wù)的對(duì)象是國(guó)家的特殊部門，他們因?yàn)閷?duì)高級(jí)惡意攻擊尤其是竊密、泄密類的攻擊是比較重視的，我們結(jié)合實(shí)際業(yè)務(wù)的工作產(chǎn)生了很多實(shí)際的效果我舉幾個(gè)實(shí)際的案例跟大家分析在高級(jí)惡意攻擊檢測(cè)的過程中如何利用威脅情報(bào)云產(chǎn)生我們的價(jià)值。

我主要從五個(gè)方面來向大家分享一下，首先是高級(jí)惡意攻擊檢測(cè)在不同領(lǐng)域的需求，以及現(xiàn)在面臨的問題，這些問題如何利用威脅情報(bào)平臺(tái)去解決。

第一，在高級(jí)惡意攻擊檢測(cè)的不同領(lǐng)域所面臨的問題，我們知道高級(jí)威脅供給APT的概念，相信大家都很了解了，在這兒我不過多地闡述了，APT攻擊我們檢測(cè)APT的過程雖說都是高級(jí)惡意攻擊可是目的是不同的，針對(duì)的對(duì)象是不同的。比如說，我們現(xiàn)在電信部門可能更關(guān)心的是吸費(fèi)類的惡意類的攻擊，銀行更關(guān)心盜竊類的，企業(yè)和國(guó)家更關(guān)心的是自身的商業(yè)情報(bào)或者是國(guó)家的機(jī)密數(shù)據(jù)是否被竊密。針對(duì)不同的領(lǐng)域惡意人員攻擊所使用的手法和工具，最終造成的后果可能都是不同的，在不同的領(lǐng)域我們?cè)趺礃尤^(qū)分攻擊的線索怎么樣明確是針對(duì)我的攻擊呢？在業(yè)務(wù)工作中就產(chǎn)生了三個(gè)主要的問題，第一個(gè)問題是，怎么從海量的報(bào)警線索中發(fā)現(xiàn)我們所需要的攻擊的線索。任何的單位都會(huì)在網(wǎng)絡(luò)中部署安全的檢測(cè)設(shè)備，像防火墻、IDS等安全檢測(cè)設(shè)備，這些設(shè)備每天會(huì)產(chǎn)生大量的告警，不同的領(lǐng)域比如說政府部門，并不關(guān)心鍵盤記錄的木馬合乎是盜取游戲賬號(hào)的木馬，可是這些告警也是混雜在一起的，我們?nèi)绾瓮ㄟ^這個(gè)找出我們關(guān)心的關(guān)鍵的線索。第二個(gè)問題，怎么從單一的攻擊線索這個(gè)線索背后隱藏的信息是什么？比如說是誰？什么時(shí)間做了什么使用了什么工具，又拿到了什么內(nèi)容，這是后續(xù)要擴(kuò)展出來的更多的線索。第三，我們?cè)鯓尤グl(fā)現(xiàn)不同攻擊線索之間的關(guān)聯(lián)關(guān)系，在一個(gè)地方發(fā)現(xiàn)了一個(gè)攻擊線索，可是還有其他的單位或者其他的部門產(chǎn)生了另一些攻擊，這些攻擊使用的手法、技術(shù)都不同，可是我們?cè)趺礃影l(fā)現(xiàn)他們中間是否有聯(lián)系，最后明確所謂的APT攻擊。

依托威脅情報(bào)的云平臺(tái)提出了幾個(gè)想法，第一是多角度的檢測(cè)，解決的是第一個(gè)問題，首先我要找出關(guān)鍵攻擊線索，我要解決的是有沒有海量的攻擊信息，這從哪兒獲取，就是攻擊檢測(cè)的各個(gè)角度，比如說后門的利用，拒絕服務(wù)的攻擊，第一個(gè)要做的是要把它檢測(cè)出來，再?gòu)臋z測(cè)出來的數(shù)據(jù)內(nèi)部再篩選我們所關(guān)心的類型，我們通過網(wǎng)絡(luò)的攻擊檢測(cè)模型對(duì)已知的攻擊行為進(jìn)行報(bào)警，我們從多角度拿到了海量的攻擊的數(shù)據(jù)，我們進(jìn)行攻擊的數(shù)據(jù)維護(hù)和線索的擴(kuò)展，最后進(jìn)行橫向的攻擊關(guān)聯(lián)關(guān)系的分析，到最后我們才能實(shí)現(xiàn)APT攻擊行為的明確。這張表上可以看到分了三個(gè)主要的階段，第一是線索的篩選，我們把前端或者說告警設(shè)備產(chǎn)生的告警信息會(huì)聚在云平臺(tái)，一定要結(jié)合人工分析，從海量的信息中篩選出面向關(guān)鍵業(yè)務(wù)的攻擊，再?gòu)耐{情報(bào)的云平臺(tái)里擴(kuò)展，比如說某一個(gè)黑域名產(chǎn)生的告警，這個(gè)黑域名是由哪個(gè)郵箱注冊(cè)的，這個(gè)是否注冊(cè)了其他的域名，是否有黑域名？他關(guān)注的木馬的樣本和注冊(cè)的時(shí)間是什么？誰注冊(cè)的？這一系列線索的擴(kuò)展，可以依托這個(gè)云平臺(tái)來進(jìn)行線索的擴(kuò)展，最后我們依托于關(guān)聯(lián)的關(guān)系，比如說我的監(jiān)控的單位如果面積范圍足夠廣的話，我會(huì)發(fā)現(xiàn)同樣的一起攻擊可能來自于某一個(gè)單位，也可能監(jiān)控了100個(gè)單位，我可能發(fā)現(xiàn)同樣的攻擊，同樣類型的來自于同一組織的攻擊涵蓋了100個(gè)單位中的20個(gè)或者是15個(gè)單位，我們就可以把這個(gè)態(tài)勢(shì)從多維度的角度，用安全的態(tài)勢(shì)感知出來，并做一些適當(dāng)?shù)念A(yù)警。

剛才我們看到的是一個(gè)結(jié)構(gòu)的概念，我們要通過具體落地的方法來實(shí)現(xiàn)這些概念，這張表上可以看到首先是前面分布式的終端行為的模型分析，這些分析是我們實(shí)際部署的一些安全流量安全監(jiān)測(cè)的設(shè)備，他們依托的是我們可疑行為的規(guī)則庫(kù)來篩選出我們所關(guān)心的惡意行為。最關(guān)鍵的是溯源和APT攻擊的線索擴(kuò)展明確，主要依托的是威脅情報(bào)的云的支撐平臺(tái)來做這種擴(kuò)線和分析的依托。另外可以基于數(shù)據(jù)包的時(shí)間軸的回溯的系統(tǒng)來展示出這起攻擊或者是這次安全事件的來龍去脈。這是我們實(shí)際落地的一個(gè)產(chǎn)品部署的架構(gòu)圖，我們可以看到前端有前端的告警檢測(cè)的設(shè)備，配合著沙箱的系統(tǒng)，配合著告警數(shù)據(jù)的獲取和集中，集中到后臺(tái)的處理平臺(tái)，依托多維的情報(bào)庫(kù)做擴(kuò)線和分析，同時(shí)提供依托大屏幕智慧中心的直觀的展示，或者說建設(shè)一個(gè)指揮中心統(tǒng)一地調(diào)度和發(fā)布指令。這是多維威脅情報(bào)庫(kù)中包含的數(shù)據(jù)的實(shí)例，比如說中國(guó)菜刀的規(guī)則，還有很多APT的攻擊事件的報(bào)告，遠(yuǎn)程木馬掃描webshell規(guī)則的數(shù)據(jù)，包括一些社工庫(kù)、木馬樣本庫(kù)、報(bào)告庫(kù)，供我們?cè)谶@里關(guān)聯(lián)和查詢。

舉兩個(gè)實(shí)際的案例把我們的思維展現(xiàn)一下。首先我們發(fā)現(xiàn)了一條重要的線索，要以這個(gè)線索為突破點(diǎn)再進(jìn)行線索的擴(kuò)展，最后是背景的明確，這是我們實(shí)際工作中針對(duì)政府部門使用的一個(gè)品牌的郵件服務(wù)器的軟件系統(tǒng)進(jìn)行的線索擴(kuò)展，前端告警的過程我不再贅述了，這是我們發(fā)現(xiàn)了這個(gè)線索在擴(kuò)展的過程中，其中從數(shù)據(jù)線索的日至里可以發(fā)現(xiàn)一條重要的線索，就是說其中有一個(gè)IP解析的域名不停地連接內(nèi)網(wǎng)的服務(wù)器并且它執(zhí)行了一個(gè)代碼，它使用了這個(gè)域名，我們明確了這個(gè)域名是攻擊的過程，對(duì)應(yīng)的域名還可以共享給其他的網(wǎng)絡(luò)安全檢測(cè)的設(shè)備來識(shí)別，這是一個(gè)共享的過程。另外第二步我們要做線索的擴(kuò)展的取證，就可以發(fā)現(xiàn)這個(gè)IP66.175的結(jié)尾是41的攻擊者使用的是自動(dòng)化掃描漏洞的服務(wù)器另外還有兩個(gè)IP是真實(shí)的IP，我們通過線索的擴(kuò)展，會(huì)發(fā)現(xiàn)來自同一個(gè)地不同的IP在使用webshell，我們可以判斷它是屬于同一個(gè)組織。

日志的分析過程中可以看到首先是黑域名的產(chǎn)生，另外是線索的擴(kuò)展，我們要發(fā)現(xiàn)其他的域名，其他的IP是不是在使用，是不是對(duì)這個(gè)域名進(jìn)行攻擊。這是完整的事件的回溯，從什么時(shí)間段哪一個(gè)IP我們完整地回溯出來，某一個(gè)IP在利用漏洞下載webshell到本地，什么時(shí)候又直接地訪問了webshell，他是不是還使用了另一個(gè)webshell同時(shí)在做攻擊，我們通過案例的分析可以把這起攻擊案件的來龍去脈，什么時(shí)間、誰、使用了什么工具、做了一些什么能拿到一個(gè)完整的結(jié)果。結(jié)合分析的過程，能體現(xiàn)什么價(jià)值呢？這也是一個(gè)案例，我們從郵件從前端的數(shù)據(jù)還原中發(fā)現(xiàn)了一個(gè)郵件附件是包括了可執(zhí)行程序，通過沙箱的分析就可以發(fā)現(xiàn)它的代碼層有一個(gè)關(guān)鍵層就是以endof結(jié)尾的，我們?cè)谕{情報(bào)云里就可以做數(shù)據(jù)的關(guān)聯(lián)關(guān)系和溯源的分析，我們以這種紅圈的endof字節(jié)在我們庫(kù)里做可視化關(guān)聯(lián)分析的時(shí)候，就可以得到有關(guān)這個(gè)關(guān)鍵特征的MD5、使用的域名、使用的IP、URL、木馬樣本以及這個(gè)木馬樣本的分析報(bào)告。

這是我們威脅情報(bào)云平臺(tái)的完整的可視化的分析界面，我們可以拿到之間的關(guān)聯(lián)關(guān)系，另外是木馬報(bào)告的MD5值、詳細(xì)的分析報(bào)告，我們可以擴(kuò)展出非常詳細(xì)的有價(jià)值的分析線索。可以總結(jié)一下，一個(gè)完整的對(duì)高級(jí)分析事件進(jìn)行多維分析的流程，我們要以重要的事件為切入點(diǎn)，發(fā)現(xiàn)重要線索，我們要發(fā)現(xiàn)重要線索針對(duì)的方式、使用的漏洞還要繼續(xù)監(jiān)測(cè)是否有第二次的攻擊，通過第二次攻擊又可以發(fā)現(xiàn)更多的線索，比如說使用的IP的域名、MD5、URL等，我們可以針對(duì)樣本進(jìn)行分析，利用我們的威脅情報(bào)對(duì)它同一個(gè)樣本進(jìn)行擴(kuò)線的多維分析，最后可以發(fā)現(xiàn)完整的安全事件的來龍去脈。下面有一個(gè)反制的過程，甚至于我們采取一些反向攻擊的方法來獲取到更多攻擊者的個(gè)人信息，甚至于組織的背景，包括它的目的以及它竊取到的實(shí)際的數(shù)據(jù)的證據(jù)。

這就是威脅情報(bào)與高級(jí)惡意攻擊檢測(cè)之間的協(xié)同，在我們的業(yè)務(wù)工作中，在我們幫助用戶對(duì)高級(jí)惡意攻擊事件的分析過程中，可以使用威脅情報(bào)云平臺(tái)的外部的數(shù)據(jù)平臺(tái)來進(jìn)行深度的溯源分析達(dá)到我們的目的，并且這種平臺(tái)還可以提供標(biāo)準(zhǔn)化的接口，我們可以在我們的前端設(shè)備里和后臺(tái)地?cái)?shù)據(jù)進(jìn)行聯(lián)動(dòng)。最終我們的目的肯定是希望能創(chuàng)建一個(gè)威脅情報(bào)的關(guān)于APT攻擊的新一代的聯(lián)動(dòng)的體系，既反饋數(shù)據(jù)又使用數(shù)據(jù)，增強(qiáng)檢測(cè)和發(fā)現(xiàn)的能力。

我的報(bào)告就結(jié)束了。謝謝大家！