年度安全峰會(huì)RSA2017已于美國(guó)時(shí)間2月13日盛大開(kāi)幕。從最近三年RSA所有演講的主題詞熱度可以看出，“Threat”和“Intelligence”都是大家關(guān)注的重點(diǎn)。威脅情報(bào)廠(chǎng)商也如雨后春筍般出現(xiàn)在網(wǎng)絡(luò)安全領(lǐng)域，除了新起之秀外，也有不少傳統(tǒng)安全廠(chǎng)商將業(yè)務(wù)擴(kuò)展到威脅情報(bào)領(lǐng)域，紛紛爭(zhēng)相推出自己的威脅情報(bào)產(chǎn)品。威脅情報(bào)”從理念到產(chǎn)品再到客戶(hù)投入使用只用了短短幾年時(shí)間，這些嗅覺(jué)敏銳的企業(yè)是如何占得市場(chǎng)先機(jī)的呢?小編從本屆RSA大會(huì)上選出幾家有代表性的威脅情報(bào)廠(chǎng)商，介紹下他們是如何將理念付諸實(shí)際的，排名不分先后。

1. AlienVault

國(guó)家：美國(guó)

網(wǎng)站：www.alienvault.com

威脅情報(bào)產(chǎn)品：OTX開(kāi)源威脅情報(bào)社區(qū)、USM安全平臺(tái)(軟件部署)

AlienVault現(xiàn)處于Pre-IPO階段，發(fā)展勢(shì)頭良好。旗下產(chǎn)品OTX是全球最大的免費(fèi)威脅情報(bào)社區(qū)，每天能夠提供超過(guò)400，000個(gè)威脅情報(bào)指標(biāo)?，F(xiàn)在有來(lái)自全球140個(gè)國(guó)家的4萬(wàn)7千名參與者，且用戶(hù)活躍度很高。社區(qū)改變情報(bào)的單向發(fā)布模式，讓訂閱者可以和研究人員可以合作溝通，提高情報(bào)質(zhì)量。

另一產(chǎn)品USM統(tǒng)一安全管理平臺(tái)(Unified Security Management)是通過(guò)單一平臺(tái)進(jìn)行企業(yè)整體安全業(yè)務(wù)管理。聲稱(chēng)能夠從網(wǎng)絡(luò)中的任何地方發(fā)現(xiàn)威脅，而不僅僅通過(guò)防火墻，且能夠?qū)l(fā)現(xiàn)的威脅以KILL CHAIN的不同階段進(jìn)行歸類(lèi)。USM能夠提供：

• 統(tǒng)一、協(xié)調(diào)的安全監(jiān)控;
• 簡(jiǎn)單安全事件管理和報(bào)告;
• 持續(xù)的威脅情報(bào)信息;
• 快速部署;
• 集成多項(xiàng)安全功能。

2. Crowdstrike

國(guó)家：美國(guó)

網(wǎng)站：www.crowdstrike.com

威脅情報(bào)產(chǎn)品：Falcon終端EDR、Falcon威脅情報(bào)訂閱和Falcon平臺(tái)

CrowdStrike由兩名McAfee前員工于2011年創(chuàng)立。該公司提供專(zhuān)注于檢測(cè)和阻止定向攻擊，特色是主動(dòng)防御。幫助政府和企業(yè)發(fā)現(xiàn)并阻止正在發(fā)生的黑客攻擊?？蛻?hù)超過(guò)170個(gè)國(guó)家，全球十大企業(yè)中有三家，全球十大金融機(jī)構(gòu)有五家使用crowdstrike的服務(wù)。其產(chǎn)品Falcon系統(tǒng)是一個(gè)主動(dòng)防御的大數(shù)據(jù)云平臺(tái)。

•  Falcon終端EDR

Falcon終端檢測(cè)和響應(yīng)服務(wù)方案能夠解決Silent failure的問(wèn)題。(Silent failure:威脅發(fā)生到警報(bào)響起中間的這段時(shí)間)。聲稱(chēng)只需5秒調(diào)查就能發(fā)現(xiàn)歷史和正在進(jìn)行的終端行為;結(jié)合威脅情報(bào)能力，具備更全面的視角和戰(zhàn)術(shù)、技術(shù)的事件響應(yīng)能力。

部署簡(jiǎn)單，無(wú)需硬件和存儲(chǔ)資源。

• Falcon威脅情報(bào)訂閱(Falcon Threat Intelligence)

能夠獲取及時(shí)準(zhǔn)確的情報(bào)信息。支持多種輸出格式：yara, snort, CEF等。提供API方式獲取情報(bào)信息，包括IOC。已分析出了超過(guò)70個(gè)攻擊者的技術(shù)、戰(zhàn)術(shù)和規(guī)程信息(TTPs)和攻擊團(tuán)伙信息。提供有API和 Feeds，可以輕松和現(xiàn)存基礎(chǔ)設(shè)施對(duì)接。

目前已聯(lián)合以下公司加入威脅情報(bào)交換計(jì)劃：Agiliance, Centripetal Networks, Check Point Software Technologies, Ltd., General Dynamics Fidelis Cybersecurity Solutions, LogRhythm, ThreatQuotient, and ThreatStream.

• Falcon平臺(tái)

基于大數(shù)據(jù)分析的主動(dòng)防御平臺(tái)，可監(jiān)控企業(yè)的數(shù)據(jù)，偵測(cè)零日威脅，并防止定向攻擊造成的破壞。平臺(tái)還可以識(shí)別惡意軟件，學(xué)習(xí)攻擊者特征，然后形成一套響應(yīng)措施，提高對(duì)方攻擊的風(fēng)險(xiǎn)和代價(jià)。

3. Secureworks

國(guó)家：美國(guó)

網(wǎng)站：www.secureworks.com

威脅情報(bào)產(chǎn)品：Enterprise Security Counter Threat Platform(SaaS)

Secureworks是Dell旗下公司，去年獨(dú)立上市。SecureWorks 是比較典型的MSSP(托管安全服務(wù)商)，因此較為中立，整合了全球多家技術(shù)和方案為客戶(hù)提供服務(wù)，主要為客戶(hù)提供安全服務(wù)、安全與風(fēng)險(xiǎn)咨詢(xún)以及威脅情報(bào)等。為各種規(guī)模的客戶(hù)同時(shí)提供有針對(duì)性和全球威脅情報(bào)，以及高級(jí)或附加服務(wù)。戴爾全球威脅情報(bào)(Dell Global Threat Intelligence)提供三種基于訂閱的數(shù)據(jù)源：漏洞、威脅和咨詢(xún)，這是一個(gè)通用或者說(shuō)非針對(duì)性威脅情報(bào)服務(wù)，它是基于從數(shù)千SecureWorks全球客戶(hù)收集的威脅數(shù)據(jù)。另一方面，戴爾針對(duì)性威脅情報(bào)(Dell Targeted Threat Intelligence)可以根據(jù)特定企業(yè)環(huán)境、品牌和管理人員進(jìn)行定制化，以發(fā)現(xiàn)潛在威脅和構(gòu)成潛在風(fēng)險(xiǎn)的威脅因素。SecureWorks附加服務(wù)包括攻擊者數(shù)據(jù)庫(kù)、CTU支持、惡意軟件分析和無(wú)邊界威脅監(jiān)控。

4. Fireeye

國(guó)家：美國(guó)

網(wǎng)站：www.Fire.com

威脅情報(bào)產(chǎn)品：iSIGHT威脅情報(bào)訂閱、威脅情報(bào)服務(wù)、郵件安全(硬件)、終端安全、威脅分析平臺(tái)

FireEye先后收購(gòu)了Mandiant和iSight Partners，從威脅情報(bào)訂閱服務(wù)到Hunting，從硬件到軟件到數(shù)據(jù)，產(chǎn)品線(xiàn)豐富。威脅情報(bào)產(chǎn)品有：iSIGHT威脅情報(bào)訂閱、威脅情報(bào)服務(wù)、郵件安全(硬件)、終端安全、威脅分析平臺(tái)。

FireEye Threat Intelligence是基于設(shè)備的自動(dòng)化抵御零日和其他高級(jí)網(wǎng)絡(luò)攻擊的平臺(tái)的一部分，小型、中型和大型企業(yè)客戶(hù)可以購(gòu)買(mǎi)FireEye設(shè)備，再訂閱該威脅情報(bào)產(chǎn)品。該服務(wù)讓企業(yè)可以查看有關(guān)全球威脅的海量數(shù)據(jù)，它旨在幫助FireEye客戶(hù)識(shí)別威脅因素和網(wǎng)絡(luò)及系統(tǒng)泄露事故的指標(biāo)。該服務(wù)提供三種級(jí)別的威脅情報(bào)訂閱：動(dòng)態(tài)、高級(jí)和高級(jí)+。

[[183322]]

5. 360

國(guó)家：中國(guó)

網(wǎng)站：#

威脅情報(bào)產(chǎn)品：天擎終端、天堤防火墻、天眼APT檢測(cè)

360提供免費(fèi)個(gè)人安全服務(wù)多年，在國(guó)內(nèi)個(gè)人終端市場(chǎng)有相當(dāng)高的占有率。近年來(lái)開(kāi)始向企業(yè)安全轉(zhuǎn)型，算是企業(yè)安全新軍，銳氣十足。主打反APT產(chǎn)品，收購(gòu)了網(wǎng)神和網(wǎng)康防火墻。360在APT領(lǐng)域持續(xù)投入，RSA大會(huì)期間發(fā)布了2016年度APT報(bào)告。

擁有多款企業(yè)安全產(chǎn)品，分為終端和網(wǎng)絡(luò)兩個(gè)層面，軟硬件兼?zhèn)洹?/p>

[[183323]]

6. 微步在線(xiàn)/ThreatBook

國(guó)家：中國(guó)

網(wǎng)站：Threatbook.cn

威脅情報(bào)產(chǎn)品：威脅情報(bào)訂閱服務(wù)、威脅分析平臺(tái)和API、威脅情報(bào)平臺(tái)(軟件部署)

微步是國(guó)內(nèi)最早提供威脅情報(bào)服務(wù)的公司，發(fā)展勢(shì)頭迅猛，已于16年中完成A輪融資?？蛻?hù)覆蓋金融、能源、互聯(lián)網(wǎng)等行業(yè)，也包含多家世界500強(qiáng)公司。微步旗下產(chǎn)品包括威脅情報(bào)訂閱服務(wù)、威脅情報(bào)平臺(tái)、免費(fèi)威脅分析平臺(tái)。

微步在線(xiàn)產(chǎn)品成熟度高，RSA大會(huì)期間發(fā)布的威脅情報(bào)軟件平臺(tái)可私有化部署，，較好地解決了威脅情報(bào)落地問(wèn)題。

7. IBM Security

國(guó)家：美國(guó)

網(wǎng)站：www.ibm.com

威脅情報(bào)產(chǎn)品：X-Force情報(bào)社區(qū)、威脅情報(bào)服務(wù)(MSSP)、QRadar安全情報(bào)平臺(tái)

IBM安全2015年的收入為20億美金，保守估計(jì)2016年收入25億美金，是美國(guó)安全業(yè)務(wù)收入增長(zhǎng)最快的大公司公司之一。

X-Force是IBM基于SAAS的威脅情報(bào)平臺(tái)。每天監(jiān)控20B的安全事件來(lái)獲取匿名威脅資訊。

QRadar可以收集各種安全產(chǎn)品數(shù)據(jù)包括設(shè)備應(yīng)用、網(wǎng)絡(luò)流等海量數(shù)據(jù)進(jìn)行智能分析，并進(jìn)行優(yōu)先級(jí)排序。QRadar本身就是一個(gè)大數(shù)據(jù)平臺(tái)，專(zhuān)門(mén)針對(duì)安全信息數(shù)據(jù)，比如日志，應(yīng)用日志、設(shè)備日志、操作系統(tǒng)日志，包括網(wǎng)絡(luò)流數(shù)據(jù)、漏洞的信息、資產(chǎn)的信息、防火墻配置信息等等都會(huì)進(jìn)行收集，然后一起做關(guān)聯(lián)分析。IBM QRadar有集成的分析模型和關(guān)聯(lián)規(guī)則，通過(guò)關(guān)聯(lián)規(guī)則發(fā)現(xiàn)潛在威脅。

其威脅情報(bào)服務(wù)主要依托QRadar平臺(tái)、安全服務(wù)和X-Force。

[[183324]]

8. Anomali

國(guó)家：美國(guó)

網(wǎng)站：www.anomali.com

威脅情報(bào)產(chǎn)品： STAXX客戶(hù)端、Anomali企業(yè)版、威脅情報(bào)平臺(tái)

Anomali原名ThreatStream。是國(guó)際威脅情報(bào)領(lǐng)域很有特色的廠(chǎng)商，發(fā)展迅猛。去年獲得了CIA(美國(guó)中央情報(bào)局)旗下In-Q-Tel的戰(zhàn)略投資，主要產(chǎn)品包括幫助企業(yè)匹配客戶(hù)日志數(shù)據(jù)和威脅情報(bào)。

Anomali威脅情報(bào)平臺(tái)(現(xiàn)在叫threatstream)是Anomali最早的產(chǎn)品，匯集第三方情報(bào)信息， ISAC和開(kāi)源情報(bào)信息等?，F(xiàn)在已經(jīng)能和大多數(shù)主流安全設(shè)備相連，如SIEM，F(xiàn)W，終端等。

Anomali企業(yè)版是一種新型可擴(kuò)展的，基于云端的平臺(tái)。解決了大量不相關(guān)IOCs導(dǎo)致傳統(tǒng)安全設(shè)備(SIEM, NGFW)負(fù)擔(dān)過(guò)重這一問(wèn)題，通過(guò)讀取日志尋找潛在IOCs，并將其與數(shù)據(jù)庫(kù)中威脅情報(bào)數(shù)據(jù)對(duì)比，選出合適的數(shù)據(jù)推送給設(shè)備。系統(tǒng)保存一年的日志IOCs以方便分析比對(duì)。

Anomali 去年年底還發(fā)布了免費(fèi)的STAXX工具以方便威脅情報(bào)傳送。STAXX沒(méi)有內(nèi)置任何限制，企業(yè)可隨意配置饋送源。Anomali的目標(biāo)是讓STAXX成為發(fā)現(xiàn)、訪(fǎng)問(wèn)和管理威脅情報(bào)饋送最簡(jiǎn)單最高效的方式。

[[183325]]

9. Kaspersky

國(guó)家：俄羅斯

網(wǎng)站：www.kaspersky.com

威脅情報(bào)產(chǎn)品： 威脅情報(bào)訂閱服務(wù)

卡巴斯基以技術(shù)扎實(shí)著稱(chēng)于世，目前主要業(yè)務(wù)依然圍繞殺毒軟件展開(kāi)。其APT和威脅分析和研究在全球安全界占據(jù)獨(dú)特的位置。現(xiàn)在已經(jīng)可以檢測(cè)如下威脅：惡意鏈接、釣魚(yú)鏈接以及命令和控制URL鏈接，移動(dòng)威脅并具備IP信譽(yù)數(shù)據(jù)，可以提供IP訂閱服務(wù)。提供的情報(bào)數(shù)據(jù)機(jī)器可讀，能和SIEM, Splunk, IBM Qrader等設(shè)備整合。

10. RiskIQ

國(guó)家：美國(guó)

網(wǎng)站：www.riskiq.com

威脅情報(bào)產(chǎn)品： PassiveTotal威脅分析平臺(tái)、安全情報(bào)服務(wù)

RiskIQ成立于2009年，RiskIQ定位為數(shù)字風(fēng)險(xiǎn)監(jiān)控廠(chǎng)商。致力于讓企業(yè)及組織客戶(hù)能夠訪(fǎng)問(wèn)安全智能和應(yīng)用程序，從而保護(hù)數(shù)字攻擊面、定位業(yè)務(wù)風(fēng)險(xiǎn)。客戶(hù)能夠隨時(shí)發(fā)現(xiàn)和處理惡意軟件、惡意廣告和惡意 App，降低網(wǎng)絡(luò)、移動(dòng)及社交工具的威脅。RiskIQ 通過(guò)全球代理網(wǎng)絡(luò)每天持續(xù)掃描數(shù)以千萬(wàn)計(jì)的網(wǎng)站，隨時(shí)向客戶(hù)報(bào)告異常情況。據(jù)悉美國(guó)前十大金融機(jī)構(gòu)中有八家都適用RiskIQ追蹤監(jiān)控企業(yè)web和移動(dòng)應(yīng)用資產(chǎn)。2015年收購(gòu)Passive Total的威脅分析平臺(tái)擴(kuò)張自己的服務(wù)領(lǐng)域。

[[183326]]

11. Recorded future

國(guó)家：美國(guó)

網(wǎng)站：www.recordedfuture.com

威脅情報(bào)產(chǎn)品： 提供多款開(kāi)源情報(bào)產(chǎn)品，包括Cyber、DarkWeb、威脅監(jiān)控等等

Recorded future全球最大的開(kāi)源情報(bào)公司，核心技術(shù)是一套Web Intelligence Engine。提供多款開(kāi)源情報(bào)產(chǎn)品，包括Cyber、DarkWeb、威脅監(jiān)控等等 。Recorded Future提供免費(fèi)的威脅情報(bào)日?qǐng)?bào)，和豐富的SIEM及分析類(lèi)產(chǎn)品的對(duì)接插件。

Web Intelligence Engine的工作原理基本是按照情報(bào)循環(huán)的步驟進(jìn)行的：

i. 首先從全網(wǎng)獲取實(shí)時(shí)信息：包括開(kāi)源數(shù)據(jù)、深網(wǎng)、暗網(wǎng)、Tor網(wǎng)站、論壇、社交網(wǎng)絡(luò)等;

ii. 其次，提取和組織威脅信息：使用NLP(natural language processing)和機(jī)器學(xué)習(xí)技術(shù)組織重建威脅相關(guān)信息(作者，事件，目標(biāo)和IOCs等)，并且聲稱(chēng)具備多語(yǔ)言提取技術(shù)，包括中文、英文、俄語(yǔ)、阿拉伯語(yǔ)、波斯語(yǔ)等。

iii. 最后使威脅信息相關(guān)聯(lián)并提供可指導(dǎo)行動(dòng)的上下文信息。

12. ThreatConntect

國(guó)家：美國(guó)

網(wǎng)站：www.Threatconnect.com

威脅情報(bào)產(chǎn)品： 威脅情報(bào)平臺(tái)(SaaS和軟件)

ThreatConnect是威脅情報(bào)代表性企業(yè)之一，著名的鉆石模型理論提出者。主要產(chǎn)品有威脅情報(bào)平臺(tái)，包括基于SaaS版本的和軟件版本。以ThreatConnect威脅分析平臺(tái)為核心，根據(jù)客戶(hù)群體的不同，將平臺(tái)分為四種：TC Identify, TC Manage, TC Analyze和TC Complete。