从RSAC2017看威胁情报如何落地

ZD至顶网安全频道 02月15日 RSAC专题报道： 年度安全峰会RSA2017已于美国时间2月13日盛大开幕。从最近三年RSA所有演讲的主题词热度可以看出，“Threat”和“Intelligence”都是大家关注的重点。威胁情报厂商也如雨后春笋般出现在网络安全领域，除了新起之秀外，也有不少传统安全厂商将业务扩展到威胁情报领域，纷纷争相推出自己的威胁情报产品。威胁情报”从理念到产品再到客户投入使用只用了短短几年时间，这些嗅觉敏锐的企业是如何占得市场先机的呢？小编从本届RSA大会上选出几家有代表性的威胁情报厂商，介绍下他们是如何将理念付诸实际的，排名不分先后。

1.AlienVault

国家：美国

网站：www.alienvault.com

威胁情报产品：OTX开源威胁情报社区、USM安全平台(软件部署)

AlienVault现处于Pre-IPO阶段，发展势头良好。旗下产品OTX是全球最大的免费威胁情报社区，每天能够提供超过400，000个威胁情报指标。现在有来自全球140个国家的4万7千名参与者，且用户活跃度很高。社区改变情报的单向发布模式，让订阅者可以和研究人员可以合作沟通，提高情报质量。

另一产品USM统一安全管理平台（Unified Security Management）是通过单一平台进行企业整体安全业务管理。声称能够从网络中的任何地方发现威胁，而不仅仅通过防火墙，且能够将发现的威胁以KILL CHAIN的不同阶段进行归类。USM能够提供：

·统一、协调的安全监控；

·简单安全事件管理和报告；

·持续的威胁情报信息；

·快速部署；

·集成多项安全功能。

2.Crowdstrike

国家：美国

网站：www.crowdstrike.com

威胁情报产品：Falcon终端EDR、Falcon威胁情报订阅和Falcon平台

CrowdStrike由两名McAfee前员工于2011年创立。该公司提供专注于检测和阻止定向攻击，特色是主动防御。帮助政府和企业发现并阻止正在发生的黑客攻击。客户超过170个国家，全球十大企业中有三家，全球十大金融机构有五家使用crowdstrike的服务。其产品Falcon系统是一个主动防御的大数据云平台。

·Falcon终端EDR

Falcon终端检测和响应服务方案能够解决Silent failure的问题。(Silent failure:威胁发生到警报响起中间的这段时间)。声称只需5秒调查就能发现历史和正在进行的终端行为；结合威胁情报能力，具备更全面的视角和战术、技术的事件响应能力。

部署简单，无需硬件和存储资源。

·Falcon威胁情报订阅(Falcon Threat Intelligence)

能够获取及时准确的情报信息。支持多种输出格式：yara, snort, CEF等。提供API方式获取情报信息，包括IOC。已分析出了超过70个攻击者的技术、战术和规程信息（TTPs）和攻击团伙信息。提供有API和 Feeds，可以轻松和现存基础设施对接。

目前已联合以下公司加入威胁情报交换计划：Agiliance, Centripetal Networks, Check Point Software Technologies, Ltd., General Dynamics Fidelis Cybersecurity Solutions, LogRhythm, ThreatQuotient, and ThreatStream.

·Falcon平台

基于大数据分析的主动防御平台，可监控企业的数据，侦测零日威胁，并防止定向攻击造成的破坏。平台还可以识别恶意软件，学习攻击者特征，然后形成一套响应措施，提高对方攻击的风险和代价。

3.Secureworks

国家：美国

网站：www.secureworks.com

威胁情报产品：Enterprise Security Counter Threat Platform（SaaS）

Secureworks是Dell旗下公司，去年独立上市。SecureWorks 是比较典型的MSSP(托管安全服务商)，因此较为中立，整合了全球多家技术和方案为客户提供服务，主要为客户提供安全服务、安全与风险咨询以及威胁情报等。为各种规模的客户同时提供有针对性和全球威胁情报，以及高级或附加服务。戴尔全球威胁情报(Dell Global Threat Intelligence)提供三种基于订阅的数据源：漏洞、威胁和咨询，这是一个通用或者说非针对性威胁情报服务，它是基于从数千SecureWorks全球客户收集的威胁数据。另一方面，戴尔针对性威胁情报(Dell Targeted Threat Intelligence)可以根据特定企业环境、品牌和管理人员进行定制化，以发现潜在威胁和构成潜在风险的威胁因素。SecureWorks附加服务包括攻击者数据库、CTU支持、恶意软件分析和无边界威胁监控。

4.Fireeye

国家：美国

网站：www.Fire.com

威胁情报产品：iSIGHT威胁情报订阅、威胁情报服务、邮件安全(硬件)、终端安全、威胁分析平台

FireEye先后收购了Mandiant和iSight Partners，从威胁情报订阅服务到Hunting，从硬件到软件到数据，产品线丰富。威胁情报产品有：iSIGHT威胁情报订阅、威胁情报服务、邮件安全(硬件)、终端安全、威胁分析平台。

FireEye Threat Intelligence是基于设备的自动化抵御零日和其他高级网络攻击的平台的一部分，小型、中型和大型企业客户可以购买FireEye设备，再订阅该威胁情报产品。该服务让企业可以查看有关全球威胁的海量数据，它旨在帮助FireEye客户识别威胁因素和网络及系统泄露事故的指标。该服务提供三种级别的威胁情报订阅：动态、高级和高级+。

5.360

国家：中国

网站：360.cn

威胁情报产品：天擎终端、天堤防火墙、天眼APT检测

360提供免费个人安全服务多年，在国内个人终端市场有相当高的占有率。近年来开始向企业安全转型，算是企业安全新军，锐气十足。主打反APT产品，收购了网神和网康防火墙。360在APT领域持续投入，RSA大会期间发布了2016年度APT报告。

拥有多款企业安全产品，分为终端和网络两个层面，软硬件兼备。

6.微步在线/ThreatBook

国家：中国

网站：Threatbook.cn

威胁情报产品：威胁情报订阅服务、威胁分析平台和API、威胁情报平台(软件部署)

微步是国内最早提供威胁情报服务的公司，发展势头迅猛，已于16年中完成A轮融资。客户覆盖金融、能源、互联网等行业，也包含多家世界500强公司。微步旗下产品包括威胁情报订阅服务、威胁情报平台、免费威胁分析平台。

微步在线产品成熟度高，RSA大会期间发布的威胁情报软件平台可私有化部署，较好地解决了威胁情报落地问题。

7.IBM Security

国家：美国

网站：www.ibm.com

威胁情报产品：X-Force情报社区、威胁情报服务(MSSP)、QRadar安全情报平台

IBM安全2015年的收入为20亿美金，保守估计2016年收入25亿美金，是美国安全业务收入增长最快的大公司公司之一。

X-Force是IBM基于SAAS的威胁情报平台。每天监控20B的安全事件来获取匿名威胁资讯。

QRadar可以收集各种安全产品数据包括设备应用、网络流等海量数据进行智能分析，并进行优先级排序。QRadar本身就是一个大数据平台，专门针对安全信息数据，比如日志，应用日志、设备日志、操作系统日志，包括网络流数据、漏洞的信息、资产的信息、防火墙配置信息等等都会进行收集，然后一起做关联分析。IBM QRadar有集成的分析模型和关联规则，通过关联规则发现潜在威胁。

其威胁情报服务主要依托QRadar平台、安全服务和X-Force。

8.Anomali

国家：美国

网站：www.anomali.com

威胁情报产品： STAXX客户端、Anomali企业版、威胁情报平台

Anomali原名ThreatStream。是国际威胁情报领域很有特色的厂商，发展迅猛。去年获得了CIA(美国中央情报局)旗下In-Q-Tel的战略投资，主要产品包括帮助企业匹配客户日志数据和威胁情报。

Anomali威胁情报平台（现在叫threatstream）是Anomali最早的产品，汇集第三方情报信息， ISAC和开源情报信息等。现在已经能和大多数主流安全设备相连，如SIEM，FW，终端等。

Anomali企业版是一种新型可扩展的，基于云端的平台。解决了大量不相关IOCs导致传统安全设备（SIEM, NGFW）负担过重这一问题，通过读取日志寻找潜在IOCs，并将其与数据库中威胁情报数据对比，选出合适的数据推送给设备。系统保存一年的日志IOCs以方便分析比对。

Anomali 去年年底还发布了免费的STAXX工具以方便威胁情报传送。STAXX没有内置任何限制，企业可随意配置馈送源。Anomali的目标是让STAXX成为发现、访问和管理威胁情报馈送最简单最高效的方式。

9.Kaspersky

国家：俄罗斯

网站：www.kaspersky.com

威胁情报产品： 威胁情报订阅服务

卡巴斯基以技术扎实著称于世，目前主要业务依然围绕杀毒软件展开。其APT和威胁分析和研究在全球安全界占据独特的位置。现在已经可以检测如下威胁：恶意链接、钓鱼链接以及命令和控制URL链接，移动威胁并具备IP信誉数据，可以提供IP订阅服务。提供的情报数据机器可读，能和SIEM, Splunk, IBM Qrader等设备整合。

10.RiskIQ

国家：美国

网站：www.riskiq.com

威胁情报产品： PassiveTotal威胁分析平台、安全情报服务

RiskIQ成立于2009年，RiskIQ定位为数字风险监控厂商。致力于让企业及组织客户能够访问安全智能和应用程序，从而保护数字攻击面、定位业务风险。客户能够随时发现和处理恶意软件、恶意广告和恶意 App，降低网络、移动及社交工具的威胁。RiskIQ 通过全球代理网络每天持续扫描数以千万计的网站，随时向客户报告异常情况。据悉美国前十大金融机构中有八家都适用RiskIQ追踪监控企业web和移动应用资产。2015年收购Passive Total的威胁分析平台扩张自己的服务领域。

11.Recorded future

国家：美国

网站：www.recordedfuture.com

威胁情报产品： 提供多款开源情报产品，包括Cyber、DarkWeb、威胁监控等等

Recorded future全球最大的开源情报公司，核心技术是一套Web Intelligence Engine。提供多款开源情报产品，包括Cyber、DarkWeb、威胁监控等等 。Recorded Future提供免费的威胁情报日报，和丰富的SIEM及分析类产品的对接插件。

Web Intelligence Engine的工作原理基本是按照情报循环的步骤进行的：

i.首先从全网获取实时信息：包括开源数据、深网、暗网、Tor网站、论坛、社交网络等；

ii.其次，提取和组织威胁信息：使用NLP（natural language processing）和机器学习技术组织重建威胁相关信息（作者，事件，目标和IOCs等），并且声称具备多语言提取技术，包括中文、英文、俄语、阿拉伯语、波斯语等。

iii.最后使威胁信息相关联并提供可指导行动的上下文信息。

12.ThreatConntect

国家：美国

网站：www.Threatconnect.com

威胁情报产品： 威胁情报平台(SaaS和软件)

ThreatConnect是威胁情报代表性企业之一，著名的钻石模型理论提出者。主要产品有威胁情报平台，包括基于SaaS版本的和软件版本。以ThreatConnect威胁分析平台为核心，根据客户群体的不同，将平台分为四种：TC Identify, TC Manage, TC Analyze和TC Complete。