前兩年大熱的電視劇《偽裝者》中，提到了一份“死間計(jì)劃”，這一幕在戰(zhàn)場(chǎng)曾真實(shí)發(fā)生過(guò)。二戰(zhàn)中，盟軍依靠計(jì)算機(jī)之父圖靈破解了德國(guó)的密碼，得知德國(guó)馬上要對(duì)考文垂進(jìn)行轟炸。但是為了爭(zhēng)取更大的決定性勝利，盟軍選擇不讓德國(guó)人知道己方已經(jīng)破譯了其密碼。因此盟軍方面沒(méi)有對(duì)考文垂進(jìn)行有針對(duì)性的的防御措施。于是德國(guó)人相信其密碼依然是安全的，從而一步步走進(jìn)了盟軍的圈套。

在威脅情報(bào)中，安全公司同樣運(yùn)用類似的方法和黑客斗法。例如：穿梭于各大安全論壇，裝作黑客的樣子，開心地與之討論最近哪種攻擊方式最流行，有哪些漏洞可以利用。然后回家修補(bǔ)漏洞。

一、威脅情報(bào)

21世紀(jì)已經(jīng)步入科技時(shí)代、互聯(lián)網(wǎng)時(shí)代，在這個(gè)時(shí)代，我們獲得了太多的便利。借助互聯(lián)網(wǎng)，似乎只有我們想不到的，沒(méi)有搜不到的?；ヂ?lián)網(wǎng)時(shí)代下的網(wǎng)絡(luò)，集合了各類數(shù)據(jù)，為當(dāng)下的生產(chǎn)生活提供了參考指南。然而任何事物的發(fā)展，從來(lái)都不會(huì)是一蹴而就的，也都不是一帆風(fēng)順的。我們?cè)谡暰W(wǎng)絡(luò)帶來(lái)的諸多好處的同時(shí)，也應(yīng)理性、冷靜對(duì)待同時(shí)帶來(lái)的一些弊端。

當(dāng)前，網(wǎng)絡(luò)空間的廣度和深度不斷拓展、安全攻防戰(zhàn)日趨激烈，傳統(tǒng)的安全思維模式和安全技術(shù)已經(jīng)無(wú)法有效滿足政企客戶安全防護(hù)的需要，新的安全理念、新的安全技術(shù)不斷涌現(xiàn)，當(dāng)前的網(wǎng)絡(luò)安全正處在一個(gè)轉(zhuǎn)型升級(jí)的上升期。

1. 傳統(tǒng)網(wǎng)絡(luò)防御

傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)手段主要采取攻擊行為感知、收集與分析、通報(bào)等防御手段，通過(guò)部署防火墻、入侵檢測(cè)系統(tǒng)等安全產(chǎn)品，配置相應(yīng)訪問(wèn)控制策略和審計(jì)策略，對(duì)網(wǎng)絡(luò)安全狀況進(jìn)行監(jiān)測(cè)。當(dāng)發(fā)生網(wǎng)絡(luò)安全事件時(shí)，采取應(yīng)急響應(yīng)和地域措施，事后進(jìn)行備份與恢復(fù)操作。雖然這種防護(hù)模式能抵御一定的網(wǎng)絡(luò)安全攻擊，但仍具有滯后性，事件處理效果受限于安全事件的識(shí)別能力、響應(yīng)速度及時(shí)候數(shù)據(jù)備份與恢復(fù)的效率。

目前，安全界普遍認(rèn)同的一個(gè)理念是：僅僅防御是不夠的，被動(dòng)的“挨打”永遠(yuǎn)不會(huì)是解決之道，要想保證自身的安全，需要拿起武器，主動(dòng)反擊。在這樣的反擊戰(zhàn)中，所謂“知己知彼，百戰(zhàn)不殆”，實(shí)時(shí)掌握對(duì)方形勢(shì)動(dòng)態(tài)，才能更好的響應(yīng)與應(yīng)對(duì)。安全情報(bào)，就像是八百里加急快報(bào)送來(lái)的敵情。

2. 安全情報(bào)與威脅情報(bào)

安全情報(bào)(Security Intelligence)是一個(gè)寬泛的概念，主要包括了威脅情報(bào)、漏洞情報(bào)、事件情報(bào)以及基礎(chǔ)數(shù)據(jù)情報(bào)。其中，威脅情報(bào)已然成為近幾年國(guó)內(nèi)外安全領(lǐng)域的熱點(diǎn)。這里的“情報(bào)”既是知識(shí)，也是載體，既是輸入，也是輸出。

如果將威脅情報(bào)單純的理解為“敵情”和“知彼”，安全情報(bào)在這個(gè)基礎(chǔ)上還需要關(guān)注“我情”和“知己”，因此安全情報(bào)也可以被稱為“廣義威脅情報(bào)”。

3. 威脅情報(bào)重要性

信息安全教主級(jí)公司Gartner認(rèn)為，威脅情報(bào)是一種基于證據(jù)的知識(shí)，包括了情境、機(jī)制、指標(biāo)、隱含和實(shí)際可行的建議。威脅情報(bào)描述了現(xiàn)存的、或者是即將出現(xiàn)的針對(duì)資產(chǎn)的威脅或危險(xiǎn)，并可以用于通知主體針對(duì)相關(guān)威脅或危險(xiǎn)采取某種響應(yīng)。簡(jiǎn)言之，威脅情報(bào)可以幫助企業(yè)和組織快速了解到敵對(duì)方對(duì)自己的威脅信息，從而幫助他們提前做好威脅防范、更快速地進(jìn)行攻擊檢測(cè)與響應(yīng)、更高效地進(jìn)行事后攻擊溯源。

具體來(lái)說(shuō)，威脅情報(bào)可以幫助人們解決如下問(wèn)題：

• 如何跟得上包括惡意攻擊、攻擊方法、安全漏洞、黑客目標(biāo)等等在內(nèi)的如潮水般海量的安全威脅信息?
• 面對(duì)未來(lái)的安全威脅，如何獲取更多的主動(dòng)?
• 如何向領(lǐng)導(dǎo)匯報(bào)具體安全威脅的危險(xiǎn)和影響?

“所有的系統(tǒng)一定可以被入侵。”這是威脅情報(bào)專家，Sec-UN網(wǎng)站創(chuàng)始人金湘宇給出的“悲觀論斷”。他認(rèn)為，互聯(lián)網(wǎng)攻擊的技術(shù)在不斷提高，而所有的系統(tǒng)都存在漏洞，避免被攻擊在邏輯上并不成立。

原來(lái)認(rèn)為網(wǎng)絡(luò)安全就是做木桶，只要補(bǔ)上短板就可以高枕無(wú)憂，現(xiàn)在發(fā)現(xiàn)安全玩的是塔防，要實(shí)時(shí)應(yīng)對(duì)到來(lái)的威脅。往往網(wǎng)站信息泄露數(shù)天之后，被攻擊者才得知自己遭受攻擊，這樣的攻防已經(jīng)完全失衡了。

因此，可以想象一份及時(shí)、精準(zhǔn)的威脅情報(bào)對(duì)于網(wǎng)絡(luò)防御是多么的重要。通過(guò)威脅情報(bào)，企業(yè)會(huì)對(duì)未來(lái)的攻擊擁有免疫力，這就徹底改變了原本的攻防態(tài)勢(shì)。原來(lái)也許黑客可以用上整整一年的攻擊手段，一旦進(jìn)入威脅情報(bào)，就被重點(diǎn)監(jiān)控。如果攻擊者第二次還在用同樣的后門，就等于主動(dòng)跑到了探照燈下羊入虎口，你還死不死?

小編聯(lián)想到之前某個(gè)論壇上有“大神”爆料，目前美國(guó)正在有計(jì)劃有組織地曝光其他國(guó)家對(duì)其基礎(chǔ)設(shè)施發(fā)動(dòng)的攻擊。這句話讓人細(xì)思極恐，這表明美國(guó)或許已經(jīng)擁有了一份精準(zhǔn)的威脅情報(bào)，對(duì)其攻擊者的攻擊路徑已經(jīng)了如指掌。為了不打草驚蛇，其中有60%—70%的攻擊路徑，美國(guó)并沒(méi)有曝光，目的就是給對(duì)手造成一種假象。沒(méi)錯(cuò)，美國(guó)正在靜靜地看著對(duì)手“表演”。

4 .威脅情報(bào)處理流程

• 計(jì)劃、要求和方向——情報(bào)收集的計(jì)劃和方向包括對(duì)整個(gè)情報(bào)工作的管理(從有限情報(bào)要求到最終情報(bào)產(chǎn)品)。
• 收集——建立好的方向，威脅情報(bào)服務(wù)從相關(guān)來(lái)源里收集潛在有用的原始數(shù)據(jù)。
• 處理——將收集到的數(shù)據(jù)轉(zhuǎn)換為更適用于詳細(xì)分析的標(biāo)準(zhǔn)格式。
• 分析和產(chǎn)品——收集到的數(shù)據(jù)被安全行業(yè)內(nèi)的專家分析以辨識(shí)出對(duì)消費(fèi)者環(huán)境的潛在威脅，用來(lái)對(duì)相應(yīng)威脅產(chǎn)生響應(yīng)的威脅對(duì)策也在這一階段開發(fā)。
• 傳播——情報(bào)分析結(jié)果提交給客戶，以便執(zhí)行保護(hù)性措施。

二、威脅情報(bào)廠商

根據(jù)真實(shí)事件改編的電影《斯諾登》中的一句話，“Secrecy is security and security is victory”，其中的含義不言而喻。

在小編看來(lái)，電影中的情節(jié)并不夸張。生活在互聯(lián)網(wǎng)時(shí)代，無(wú)論是從國(guó)家層面還是企業(yè)層面，安全領(lǐng)域打的就是信息戰(zhàn)。如今，越來(lái)越多的企業(yè)高層意識(shí)到，威脅情報(bào)是針對(duì)高級(jí)網(wǎng)絡(luò)攻擊的有力武器。根據(jù)Gartner分析師Rob McMillan和Khusbu Pratap的說(shuō)法：“到2018年，全球60%的大型企業(yè)將使用商用威脅情報(bào)服務(wù)，幫助他們制定安全策略。”

那么，世界上現(xiàn)在有哪些代表性的威脅情報(bào)廠商呢?

1. 美國(guó)廠商

(1) Palo Alto Networks

創(chuàng)立于2005年，總部位于美國(guó)加利福尼亞州圣克拉拉，是一家為網(wǎng)絡(luò)及資訊安全軟件制作商，提供網(wǎng)絡(luò)安全解決方案，其核心平臺(tái)的防火牆，為在整個(gè)企業(yè)網(wǎng)路上傳輸?shù)膽?yīng)用程式、使用者和內(nèi)容提供可視度和控制。

產(chǎn)品：Palo Alto Networks AutoFocus

Palo Alto Networks AutoFocus威脅情報(bào)服務(wù)，能夠?yàn)楦鞣N規(guī)模的組織提供威脅分析，包括智能分析、相關(guān)性分析、上下文分析，并自動(dòng)響應(yīng)實(shí)時(shí)事件，做出實(shí)時(shí)流量防護(hù)分析。

(2) AlienVault

AlienVault是硅谷初創(chuàng)網(wǎng)絡(luò)安全企業(yè)，業(yè)務(wù)主要針對(duì)中小型企業(yè)提供統(tǒng)一安全管理平臺(tái)(USM)、開放式威脅情報(bào)交換平臺(tái)(OTX)等網(wǎng)絡(luò)安全產(chǎn)品。該公司已于2018年7月被美國(guó)移動(dòng)運(yùn)營(yíng)商AT&T宣布收購(gòu)。

產(chǎn)品：OTX開源威脅情報(bào)社區(qū)、USM安全管理平臺(tái)(軟件部署)

AlienVault旗下產(chǎn)品OTX是全球最大的免費(fèi)威脅情報(bào)社區(qū)，每天能夠提供超過(guò)400，000個(gè)威脅情報(bào)指標(biāo)。另一產(chǎn)品USM統(tǒng)一安全管理平臺(tái)(Unified Security Management)是通過(guò)單一平臺(tái)進(jìn)行企業(yè)整體安全業(yè)務(wù)管理。聲稱能夠從網(wǎng)絡(luò)中的任何地方發(fā)現(xiàn)威脅，而不僅僅通過(guò)防火墻，且能夠?qū)l(fā)現(xiàn)的威脅以KILL CHAIN的不同階段進(jìn)行歸類。USM能夠提供：統(tǒng)一、協(xié)調(diào)的安全監(jiān)控;簡(jiǎn)單安全事件管理和報(bào)告;持續(xù)的威脅情報(bào)信息;快速部署;集成多項(xiàng)安全功能。

(3) IBM Security

IBM(國(guó)際商業(yè)機(jī)器公司)或萬(wàn)國(guó)商業(yè)機(jī)器公司，簡(jiǎn)稱IBM(International Business Machines Corporation)。總公司在紐約州阿蒙克市。1911年托馬斯·沃森創(chuàng)立于美國(guó)，是全球最大的信息技術(shù)和業(yè)務(wù)解決方案公司。2006年IBM收購(gòu)Internet Security Systems 和X-Force,2007年收購(gòu)的Watchfire，2013年收購(gòu)的Trusteer，加上自己的安全部門和研發(fā)部門，開拓了自己的威脅情報(bào)業(yè)務(wù)。IBM的威脅情報(bào)業(yè)務(wù)基本與其他服務(wù)捆綁在一起，只有X-Force威脅分析服務(wù)和高級(jí)網(wǎng)絡(luò)威脅情報(bào)服務(wù)是例外。IBM的內(nèi)容分析SDK也可以介入威脅情報(bào)源。

產(chǎn)品：x-force 情報(bào)社區(qū)、脅情報(bào)服務(wù)(MSSP)、QRadar安全情報(bào)平臺(tái)

x-force 情報(bào)社區(qū)是一個(gè)協(xié)同威脅情報(bào)平臺(tái)，它能幫助安全分析師研究威脅目標(biāo)，以幫助加快行動(dòng)的速度，并且每個(gè)月能夠免費(fèi)提供5000條安全記錄。它擁有查詢功能和無(wú)限的可擴(kuò)展性，并可以提供IP和URL、web應(yīng)用程序、惡意軟件、漏洞和垃圾郵件相關(guān)的情報(bào)。

(4) Anomali

威脅情報(bào)平臺(tái)供應(yīng)商，總部位于美國(guó)。截至2018年1約17日，該公司累計(jì)融資9600萬(wàn)美金，其背后有谷歌公司、中央情報(bào)局(CIA)投資。

產(chǎn)品：ThreatStream

ThreatStream聚集了數(shù)以萬(wàn)計(jì)的威脅情報(bào)信息來(lái)識(shí)別新的攻擊,并發(fā)現(xiàn)已知的漏洞,使安全團(tuán)隊(duì)能夠快速發(fā)現(xiàn)并阻止相關(guān)威脅。 其主要功能包括:重復(fù)數(shù)據(jù)刪除，清除誤報(bào),與其他安全工具集成，并防止釣魚郵件竊取你的數(shù)據(jù)。 該公司還提供幾個(gè)免費(fèi)的威脅情報(bào)工具。

(5) Crowdstrike

CrowdStrike由兩名McAfee前員工于2011年創(chuàng)立。該公司提供專注于檢測(cè)和阻止定向攻擊，特色是主動(dòng)防御。幫助政府和企業(yè)發(fā)現(xiàn)并阻止正在發(fā)生的黑客攻擊。客戶超過(guò)170個(gè)國(guó)家，全球十大企業(yè)中有三家，全球十大金融機(jī)構(gòu)有五家使用crowdstrike的服務(wù)。其產(chǎn)品Falcon系統(tǒng)是一個(gè)主動(dòng)防御的大數(shù)據(jù)云平臺(tái)。

產(chǎn)品：Falcon終端EDR、Falcon威脅情報(bào)訂閱和Falcon平臺(tái)

Falcon終端EDR：Falcon終端檢測(cè)和響應(yīng)服務(wù)方案能夠解決Silent failure的問(wèn)題。(Silent failure:威脅發(fā)生到警報(bào)響起中間的這段時(shí)間)。其聲稱只需5秒調(diào)查就能發(fā)現(xiàn)歷史和正在進(jìn)行的終端行為;結(jié)合威脅情報(bào)能力，具備更全面的視角和戰(zhàn)術(shù)、技術(shù)的事件響應(yīng)能力。部署簡(jiǎn)單，無(wú)需硬件和存儲(chǔ)資源。

Falcon威脅情報(bào)訂閱(Falcon Threat Intelligence)：能夠獲取及時(shí)準(zhǔn)確的情報(bào)信息。支持多種輸出格式：yara, snort, CEF等。提供API方式獲取情報(bào)信息，包括IOC。已分析出了超過(guò)70個(gè)攻擊者的技術(shù)、戰(zhàn)術(shù)和規(guī)程信息(TTPs)和攻擊團(tuán)伙信息。提供有API和 Feeds，可以輕松和現(xiàn)存基礎(chǔ)設(shè)施對(duì)接。目前已聯(lián)合以下公司加入威脅情報(bào)交換計(jì)劃：Agiliance, Centripetal Networks, Check Point Software Technologies, Ltd., General Dynamics Fidelis Cybersecurity Solutions, LogRhythm, ThreatQuotient, and ThreatStream.

Falcon平臺(tái)：基于大數(shù)據(jù)分析的主動(dòng)防御平臺(tái)，可監(jiān)控企業(yè)的數(shù)據(jù)，偵測(cè)零日威脅，并防止定向攻擊造成的破壞。平臺(tái)還可以識(shí)別惡意軟件，學(xué)習(xí)攻擊者特征，然后形成一套響應(yīng)措施，提高對(duì)方攻擊的風(fēng)險(xiǎn)和代價(jià)。

(6) Secureworks

Secureworks是Dell旗下公司，去年獨(dú)立上市。SecureWorks 是比較典型的MSSP(托管安全服務(wù)商)，因此較為中立，整合了全球多家技術(shù)和方案為客戶提供服務(wù)，主要為客戶提供安全服務(wù)、安全與風(fēng)險(xiǎn)咨詢以及威脅情報(bào)等。

產(chǎn)品：Enterprise Security Counter Threat Platform(SaaS)

為各種規(guī)模的客戶同時(shí)提供有針對(duì)性和全球威脅情報(bào)，以及高級(jí)或附加服務(wù)。戴爾全球威脅情報(bào)(Dell Global Threat Intelligence)提供三種基于訂閱的數(shù)據(jù)源：漏洞、威脅和咨詢，這是一個(gè)通用或者說(shuō)非針對(duì)性威脅情報(bào)服務(wù)，它是基于從數(shù)千SecureWorks全球客戶收集的威脅數(shù)據(jù)。另一方面，戴爾針對(duì)性威脅情報(bào)(Dell Targeted Threat Intelligence)可以根據(jù)特定企業(yè)環(huán)境、品牌和管理人員進(jìn)行定制化，以發(fā)現(xiàn)潛在威脅和構(gòu)成潛在風(fēng)險(xiǎn)的威脅因素。SecureWorks附加服務(wù)包括攻擊者數(shù)據(jù)庫(kù)、CTU支持、惡意軟件分析和無(wú)邊界威脅監(jiān)控。

(7) Fireeye(火眼)

FireEye是一家提供APT防護(hù)產(chǎn)品及服務(wù)的公司，成立于2004年。FireEye近年來(lái)積極開展威脅情報(bào)業(yè)務(wù)并進(jìn)行戰(zhàn)略合作。FireEye的高級(jí)威脅情報(bào)(ATI+)從FireEye全球傳感器(核心是其大名鼎鼎的沙箱系列產(chǎn)品)中提取威脅數(shù)據(jù)，并與旗下公司曼迪昂特(Mandiant)的事件響應(yīng)數(shù)據(jù)相融合，產(chǎn)生情報(bào)產(chǎn)品。FireEye目前能夠提供戰(zhàn)術(shù)、戰(zhàn)略和運(yùn)營(yíng)情報(bào)。2016年它收購(gòu)了老牌的威脅情報(bào)廠商iSightPartners，使其在威脅情報(bào)方面的實(shí)力更上一層樓。

產(chǎn)品：iSIGHT威脅情報(bào)訂閱、威脅情報(bào)服務(wù)、郵件安全(硬件)、終端安全、威脅分析平臺(tái)

FireEye提供5種不同的iSIGHT情報(bào)訂閱，專門為不同的安全工作角色而設(shè)計(jì)：

• iSIGHT戰(zhàn)術(shù)情報(bào)：針對(duì)戰(zhàn)術(shù)性技術(shù)性用戶，該基本訂閱服務(wù)提供豐富的數(shù)據(jù)源和警報(bào)。戰(zhàn)術(shù)性用戶沒(méi)有門戶訪問(wèn)權(quán)限，所以他們不會(huì)收到情報(bào)報(bào)告。
• iSIGHT操作情報(bào)：針對(duì)安全運(yùn)營(yíng)中心(SOC)人員以及事件響應(yīng)(IR)團(tuán)隊(duì)，此訂閱服務(wù)提供可操作內(nèi)容，例如威脅行為者和惡意軟件配置文件，以及數(shù)據(jù)源和情報(bào)。它還包括優(yōu)先級(jí)過(guò)濾器，以幫助安全人員首先關(guān)注高優(yōu)先級(jí)威脅。
• iSIGHT融合情報(bào)：該情報(bào)中的分析報(bào)告和技術(shù)情報(bào)可幫助SOC和IR人員搜索攻擊者，并且，該情報(bào)是根據(jù)企業(yè)網(wǎng)絡(luò)風(fēng)險(xiǎn)配置文件而定制。該訂閱服務(wù)包含“操作情報(bào)訂閱”中所有內(nèi)容，并包括防御方案、行業(yè)分析等。
• iSIGHT高管情報(bào)：該訂閱服務(wù)針對(duì)首席信息安全官以及管理人員，這可為他們提供精簡(jiǎn)的非技術(shù)信息來(lái)做出風(fēng)險(xiǎn)、投資和戰(zhàn)略決策。
• iSIGHT漏洞情報(bào)：此訂閱服務(wù)主要針對(duì)負(fù)責(zé)確保補(bǔ)丁管理執(zhí)行以及評(píng)估和優(yōu)先排序漏洞的IT人員。該訂閱提供的數(shù)據(jù)包括修補(bǔ)程序的信息，以及新興威脅信息。

FireEye Threat Intelligence是基于設(shè)備的自動(dòng)化抵御零日和其他高級(jí)網(wǎng)絡(luò)攻擊的平臺(tái)的一部分，小型、中型和大型企業(yè)客戶可以購(gòu)買FireEye設(shè)備，再訂閱其威脅情報(bào)產(chǎn)品。該服務(wù)讓企業(yè)可以查看有關(guān)全球威脅的海量數(shù)據(jù)，它旨在幫助FireEye客戶識(shí)別威脅因素和網(wǎng)絡(luò)及系統(tǒng)泄露事故的指標(biāo)。該服務(wù)提供三種級(jí)別的威脅情報(bào)訂閱：動(dòng)態(tài)、高級(jí)和高級(jí)+。

(8) Symantec(賽門鐵克)

賽門鐵克是信息安全領(lǐng)域全球領(lǐng)先的解決方案提供商, 成立于1982年，公司總部位于加利福尼亞州的 Cupertino，現(xiàn)已在全球 40 多個(gè)國(guó)家和地區(qū)設(shè)有分支機(jī)構(gòu)。

產(chǎn)品：DeepSight Intelligence

在威脅情報(bào)市場(chǎng)，賽門鐵克最知名的就是DeepSight服務(wù)，屬于實(shí)時(shí)監(jiān)控和通知的范疇，提供安全風(fēng)險(xiǎn)，漏洞，IP，URL，域名信用庫(kù)情報(bào)。賽門鐵克較高端的服務(wù)提供更深入的分析，基于這一點(diǎn)，賽門鐵克在威脅情報(bào)的獲取和分析方面并不突出。賽門鐵克提供分集的服務(wù)，以滿足低預(yù)算和高預(yù)算的需求，大部分客戶購(gòu)買的為低價(jià)服務(wù)，而高價(jià)服務(wù)的交易額占其收入的很大部分。像賽門鐵克這樣大型的企業(yè)，業(yè)務(wù)遍布全球多個(gè)地區(qū)，但略微偏向北美，涉及眾多垂直行業(yè)，較為倚重金融服務(wù)。

(9) RiskIQ

RiskIQ成立于2009年，RiskIQ定位為數(shù)字風(fēng)險(xiǎn)監(jiān)控廠商。致力于讓企業(yè)及組織客戶能夠訪問(wèn)安全智能和應(yīng)用程序，從而保護(hù)數(shù)字攻擊面、定位業(yè)務(wù)風(fēng)險(xiǎn)?？蛻裟軌螂S時(shí)發(fā)現(xiàn)和處理惡意軟件、惡意廣告和惡意 App，降低網(wǎng)絡(luò)、移動(dòng)及社交工具的威脅。RiskIQ 通過(guò)全球代理網(wǎng)絡(luò)每天持續(xù)掃描數(shù)以千萬(wàn)計(jì)的網(wǎng)站，隨時(shí)向客戶報(bào)告異常情況。據(jù)悉美國(guó)前十大金融機(jī)構(gòu)中有八家都適用RiskIQ追蹤監(jiān)控企業(yè)web和移動(dòng)應(yīng)用資產(chǎn)。2015年收購(gòu)Passive Total的威脅分析平臺(tái)擴(kuò)張自己的服務(wù)領(lǐng)域。

產(chǎn)品： PassiveTotal威脅分析平臺(tái)、安全情報(bào)服務(wù)

(10) TrendMicro(趨勢(shì)科技)

總部位于日本東京和美國(guó)硅谷，在全球38個(gè)國(guó)家和地區(qū)設(shè)有分公司，擁有7個(gè)全球研發(fā)中心，是一家高速成長(zhǎng)的跨國(guó)信息安全軟件公司。

產(chǎn)品：趨勢(shì)科技旗下Digital Vaccine Labs提供實(shí)時(shí)、準(zhǔn)確的威脅情報(bào)，TippingPoint Advanced Threat Protection系列產(chǎn)品可通過(guò)監(jiān)控所有端口和100多種協(xié)議，檢測(cè)入侵，出站或橫向移動(dòng)的未知威脅，將未知數(shù)據(jù)轉(zhuǎn)化為已知數(shù)據(jù)，并與眾多安全工具(包括TippingPoint NGIPS)共享威脅信息。

2. 俄羅斯廠商

(1) Group-IB

總部位于俄羅斯莫斯科，對(duì)東歐網(wǎng)絡(luò)威脅和詐騙活動(dòng)深入研究。該廠商主要為金融行業(yè)服務(wù)。

產(chǎn)品：威脅情報(bào)解決方案

Group IB的威脅情報(bào)經(jīng)驗(yàn)與能力已經(jīng)被融合進(jìn)高復(fù)雜度的軟硬件生態(tài)系統(tǒng)解決方案中，以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)威脅的監(jiān)控、識(shí)別和預(yù)防。同時(shí)，Group IB也提供高級(jí)威脅情報(bào)咨詢和應(yīng)急響應(yīng)服務(wù)。

(2) Kaspersky(卡巴斯基)

總部設(shè)在俄羅斯首都莫斯科，全名“卡巴斯基實(shí)驗(yàn)室”，是國(guó)際著名的信息安全領(lǐng)導(dǎo)廠商，創(chuàng)始人為俄羅斯人尤金·卡巴斯基。

產(chǎn)品：HuMachine Intelligence

HuMachine Intelligence是卡巴斯基推出的基于行為分析和機(jī)器學(xué)習(xí)算法的保護(hù)手段，結(jié)合了人工智能技術(shù)和卡巴斯基自身安全團(tuán)隊(duì)的優(yōu)勢(shì)，是基于下一代技術(shù)的高級(jí)解決方案。

3. 英國(guó)廠商

(1) Sophos

Sophos全球總部位于英國(guó)牛津近郊。該公司開發(fā)用于通信端點(diǎn)、加密、網(wǎng)絡(luò)安全、電子郵件安全、移動(dòng)安全和統(tǒng)一威脅管理的產(chǎn)品。

產(chǎn)品：Sophos Labs

Sophos Labs是Sophos的全球安全研究中心，從事對(duì)全球的安全隱患的調(diào)查研究，并24小時(shí)提供對(duì)任何地區(qū)任何新型病毒的預(yù)防和有效防御的分析報(bào)告。

(2) Digital Shadows

網(wǎng)絡(luò)安全公司，重點(diǎn)關(guān)注互聯(lián)網(wǎng)攻擊和數(shù)據(jù)竊取問(wèn)題。會(huì)監(jiān)控互聯(lián)網(wǎng)和暗網(wǎng)，防止竊取個(gè)人資料(包括員工的電子郵件和密碼)、敏感文件線上共享安全、以及聊天室網(wǎng)絡(luò)犯罪等。

產(chǎn)品：SearchLight

Digital Shadows的旗艦產(chǎn)品SearchLight是一款網(wǎng)絡(luò)數(shù)據(jù)監(jiān)控工具，現(xiàn)支持30多種語(yǔ)言，1億多條數(shù)據(jù)源。這些數(shù)據(jù)源包括社交媒體、犯罪論壇、GitHub、加密暗網(wǎng)Tor、I2P等等。

4. 以色列廠商

CheckPoint

全稱Check Point軟件技術(shù)有限公司，成立于1993年，總部位于美國(guó)加利福尼亞州紅木城，國(guó)際總部位于以色列萊莫干市，是全球首屈一指的Internet 安全解決方案供應(yīng)商。

產(chǎn)品：ThreatCloud IntelliStore

CheckPoint旗下的ThreatCloud IntelliStore能夠讓高度相關(guān)且最新的網(wǎng)絡(luò)威脅情報(bào)源轉(zhuǎn)化為用戶網(wǎng)絡(luò)中基于特定地理位置、行業(yè)和保護(hù)類型的威脅情報(bào)，從而將威脅情報(bào)數(shù)據(jù)轉(zhuǎn)化為可行的安全保護(hù)，主動(dòng)阻止威脅，管理安全服務(wù)，監(jiān)控網(wǎng)絡(luò)攻擊事件，從而快速響應(yīng)和解決攻擊。

三、總結(jié)

威脅情報(bào)一直是安全行業(yè)熱議的話題，實(shí)際上在國(guó)內(nèi)的發(fā)展還比較稚嫩。威脅情報(bào)具有優(yōu)秀的預(yù)警能力、快速響應(yīng)能力，并且能改善管理層之間的溝通、加強(qiáng)策略規(guī)劃和投資。但是大部分企業(yè)機(jī)構(gòu)并不具備充分利用威脅情報(bào)的能力：數(shù)據(jù)量太大且過(guò)于復(fù)雜;擁有相關(guān)知識(shí)的人才匱乏。

大數(shù)據(jù)時(shí)代，人類利用機(jī)器的超級(jí)計(jì)算能力輔助收集和處理海量數(shù)據(jù)，從中找出有價(jià)值的信息和情報(bào)，如何利用好這些信息和情報(bào)還是要依賴人的知識(shí)和決策能力。獲得實(shí)用化情報(bào)固然重要，但一個(gè)高水平的安全團(tuán)隊(duì)對(duì)于利用好這些情報(bào)，作出正確的決策是更重要的。任何一個(gè)先進(jìn)的安全情報(bào)系統(tǒng)也不可能取代安全團(tuán)隊(duì)。請(qǐng)記?。?ldquo;人”才是威脅情報(bào)利用的核心。掌握了“人”這一力量，方能構(gòu)建威脅情報(bào)體系，協(xié)同聯(lián)動(dòng)，扭轉(zhuǎn)攻防失衡的局面。