威脅情報(bào)網(wǎng)關(guān)（Threat Intelligence Gateway， TIG）作為網(wǎng)絡(luò)安全的新生代產(chǎn)品,，與我們熟知的其他安全解決方案的怎樣做到優(yōu)勢互補(bǔ),？

　　威脅情報(bào)網(wǎng)關(guān)是什么？

　　威脅情報(bào)網(wǎng)關(guān)Threat Intelligence Gateway（TIG）,，是一種集威脅情報(bào)檢測+響應(yīng)處置一體化的產(chǎn)品形態(tài),，通過使用大量威脅指示器對(duì)網(wǎng)絡(luò)流量進(jìn)行檢測，并由該設(shè)備對(duì)檢測到的威脅進(jìn)行線速阻斷處理,；TIG參與組織的安全事件應(yīng)急響應(yīng)流程,，且針對(duì)實(shí)例（use case）利用能自動(dòng)進(jìn)行處置。

　　TIG + TIP,，最佳拍檔

　　威脅情報(bào)平臺(tái)支持多源情報(bào)落地聚合,、資產(chǎn)發(fā)現(xiàn)、漏洞掃描,、流量分析,、威脅檢測等多種本地化情報(bào)應(yīng)用場。支持情報(bào)在用戶本地的明文落地和基于情報(bào)的安全管理,，本地化威脅情報(bào)應(yīng)用,。構(gòu)建基于情報(bào)的內(nèi)部共享機(jī)制，支持安全設(shè)備聯(lián)動(dòng),，通過API接口獲取情報(bào),。

　　威脅情報(bào)平臺(tái)生產(chǎn)及共享威脅情報(bào)，這些已經(jīng)驗(yàn)證的威脅情報(bào)可以直接作用于TIG威脅情報(bào)網(wǎng)關(guān),，直接阻斷或者過濾,。同專業(yè)的威脅情報(bào)平臺(tái)進(jìn)行協(xié)同工作，威脅情報(bào)網(wǎng)關(guān)成為威脅情報(bào)的消費(fèi)者和使用者,。

　　TIG + SIEM,，偵察兵與參謀部

　　SIEM（ Security Information and Event Management） 安全信息和事件處理 ，通過進(jìn)行日志及流的關(guān)聯(lián)分析,，發(fā)現(xiàn)安全事件的潛在聯(lián)系,。SIEM可以廣泛使用FW、NGFW,、IDS,、IPS等安全設(shè)備的日志,，TIG和以上設(shè)備一樣，可以作為SIEM的輸入,。

　　同時(shí),，SIEM平臺(tái)在集成威脅情報(bào)能力之后，可以快速驗(yàn)證和生產(chǎn)威脅情報(bào),。這些已經(jīng)驗(yàn)證的威脅情報(bào)可以利用TIG威脅情報(bào)網(wǎng)關(guān)進(jìn)行威脅阻斷和實(shí)時(shí)響應(yīng),。

　　TIG + SOAR，尖兵與指揮部

　　SOAR 解決方案支持將安全運(yùn)營相關(guān)的團(tuán)隊(duì),、工具和事件處理流程通過安全編排和自動(dòng)化技術(shù)集成,，最終完成安全事件的響應(yīng)及處置。

　　TIG是執(zhí)行單元之一,。經(jīng)過驗(yàn)證的情報(bào)通過SOAR的編排與調(diào)度,， 可分發(fā)至TIG進(jìn)行威脅阻斷和實(shí)時(shí)響應(yīng)。

　　TIG + Situational Awareness,，偵察兵與“水晶球”

　　態(tài)勢感知解決方案體現(xiàn)組織的綜合安全運(yùn)營能力,，提供風(fēng)險(xiǎn)實(shí)時(shí)感知、安全合規(guī)評(píng)估和脆弱性威脅管理,。采用流量分析技術(shù)對(duì)全網(wǎng)流量實(shí)現(xiàn)威脅可視化,，利用大數(shù)據(jù)技術(shù)進(jìn)行關(guān)聯(lián)分析，利用機(jī)器學(xué)習(xí)能力進(jìn)行行為分析建模,，并通過日志和網(wǎng)絡(luò)流量匯總結(jié)合威脅情報(bào)對(duì),。掌握網(wǎng)絡(luò)安全整體運(yùn)行狀況，并能夠精準(zhǔn)預(yù)測網(wǎng)絡(luò)安全形勢的發(fā)展趨勢,。

　　TIG威脅情報(bào)網(wǎng)關(guān)支持海量威脅情報(bào)直接消費(fèi),，來自態(tài)勢感知系統(tǒng)產(chǎn)生和確認(rèn)的威脅情報(bào)可以直接用于威脅情報(bào)網(wǎng)關(guān)進(jìn)行自動(dòng)化阻斷網(wǎng)絡(luò)攻擊。針對(duì)組織當(dāng)前面臨的威脅態(tài)勢,，動(dòng)態(tài)進(jìn)行自動(dòng)化阻斷和防護(hù),。快速響應(yīng)威脅態(tài)勢發(fā)展,，在脆弱性威脅發(fā)生時(shí),，阻斷網(wǎng)絡(luò)攻擊降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

　　TIG + SOC,，前哨部隊(duì)與統(tǒng)帥部

　　SOC（安全運(yùn)營中心）作為組織的安全大腦,，體現(xiàn)了組織的綜合安全運(yùn)營能力，從安全運(yùn)維到安全運(yùn)營,。安全管理中心提供組織全方位的安全策略及運(yùn)營情況管理,，實(shí)現(xiàn)安全運(yùn)營閉環(huán)管理。

　　安全運(yùn)營過程中,，威脅情報(bào)能夠結(jié)合威脅檢測,，支持響應(yīng),、溯源、部署調(diào)整（修復(fù),，優(yōu)化）等系列過程,。威脅情報(bào)網(wǎng)關(guān)能夠執(zhí)行預(yù)案和腳本，支持人工干預(yù),，和自動(dòng)化部署,，可以作為企業(yè)網(wǎng)絡(luò)安全的縱深防御體系中重要的一環(huán)。

　　TIG + XDR,，跨兵種協(xié)同模范

　　擴(kuò)展后的檢測和響應(yīng)能力,，極大擴(kuò)展組織的威脅檢測能力,，結(jié)合威脅情報(bào)及檢測手段,，可以更快的發(fā)現(xiàn)那些攻擊和安全事件。XDR包含專業(yè)的調(diào)查工具,，提供網(wǎng)絡(luò)安全可視化,，讓組織更加清楚發(fā)現(xiàn)安全事件的全貌。XDR工具中內(nèi)置和可操作的支持響應(yīng)和處置能力,，一體化的檢測和響應(yīng)解決方案,，提升響應(yīng)能力，帶來更可靠的安全體系,。

　　MDR ,，XDR ，EDR 將檢測和響應(yīng)解決方案更加完善,，還可充分利用威脅情報(bào)的能力,。威脅情報(bào)網(wǎng)關(guān)將在威脅情報(bào)消費(fèi)和安全事件響應(yīng)中，發(fā)揮巨大作用,。

　　TIG 可以直接利用XDR安全分析的結(jié)果,，利用威脅情報(bào)平臺(tái)的輸出能力，對(duì)接這些安全威脅的響應(yīng)過程,，直接采用這些海量威脅情報(bào),，阻斷網(wǎng)絡(luò)攻擊行為 。

　　結(jié)語

　　網(wǎng)絡(luò)安全彈性能力建設(shè),，任重道遠(yuǎn),。我們永遠(yuǎn)不知道下一個(gè)面臨的對(duì)手是誰，網(wǎng)絡(luò)安全架構(gòu)的自適應(yīng),，需要各安全設(shè)備在統(tǒng)一指揮下的協(xié)同,，而TIG是這些設(shè)備之一，形成基于差異能力的協(xié)同,。