盤點RSA 2017展台上的那些威脅情報產品 | RSA2017專題

年度安全峰會RSA2017已於美國時間2月13日盛大開幕。從最近三年RSA所有演講的主題詞熱度可以看出，「Threat」和「Intelligence」都是大家關注的重點。

威脅情報廠商也如雨後春筍般出現在網路安全領域，除了新起之秀外，也有不少傳統安全廠商將業務擴展到威脅情報領域，紛紛爭相推出自己的威脅情報產品。

「威脅情報」從理念到產品再到客戶投入使用只用了短短几年時間，這些嗅覺敏銳的企業是如何佔得市場先機的呢？小編從本屆RSA大會上選出幾家有代表性的威脅情報廠商，介紹下他們是如何將理念付諸實際的，排名不分先後。

1. AlienVault

國家：美國

網站：www.alienvault.com

威脅情報產品：OTX開源威脅情報社區、USM安全平台(軟體部署)

AlienVault現處於Pre-IPO階段，發展勢頭良好。旗下產品OTX是全球最大的免費威脅情報社區，每天能夠提供超過400，000個威脅情報指標。

現在有來自全球140個國家的4萬7千名參與者，且用戶活躍度很高。社區改變情報的單向發布模式，讓訂閱者可以和研究人員可以合作溝通，提高情報質量。

另一產品USM統一安全管理平台（Unified Security Management）是通過單一平台進行企業整體安全業務管理。聲稱能夠從網路中的任何地方發現威脅，而不僅僅通過防火牆，且能夠將發現的威脅以KILL CHAIN的不同階段進行歸類。USM能夠提供：

統一、協調的安全監控；

簡單安全事件管理和報告；

持續的威脅情報信息；

快速部署；

集成多項安全功能。

2. Crowdstrike

國家：美國

網站：www.crowdstrike.com

威脅情報產品：Falcon終端EDR、Falcon威脅情報訂閱和Falcon平台

CrowdStrike由兩名McAfee前員工於2011年創立。該公司提供專註於檢測和阻止定向攻擊，特色是主動防禦。幫助政府和企業發現並阻止正在發生的黑客攻擊。

客戶超過170個國家，全球十大企業中有三家，全球十大金融機構有五家使用crowdstrike的服務。其產品Falcon系統是一個主動防禦的大數據云平台。

Falcon終端EDR

Falcon終端檢測和響應服務方案能夠解決Silent failure的問題。(Silent failure:威脅發生到警報響起中間的這段時間)。

聲稱只需5秒調查就能發現歷史和正在進行的終端行為；結合威脅情報能力，具備更全面的視角和戰術、技術的事件響應能力。

部署簡單，無需硬體和存儲資源。

Falcon威脅情報訂閱（Falcon Threat Intelligence）

能夠獲取及時準確的情報信息。支持多種輸出格式：yara, snort, CEF等。提供API方式獲取情報信息，包括IOC。已分析出了超過70個攻擊者的技術、戰術和規程信息（TTPs）和攻擊團伙信息。提供有API和 Feeds，可以輕鬆和現存基礎設施對接。

目前已聯合以下公司加入威脅情報交換計劃：Agiliance, Centripetal Networks, Check Point Software Technologies, Ltd., General Dynamics Fidelis Cybersecurity Solutions, LogRhythm, ThreatQuotient, and ThreatStream.

Falcon平台

基於大數據分析的主動防禦平台，可監控企業的數據，偵測零日威脅，並防止定向攻擊造成的破壞。平台還可以識別惡意軟體，學習攻擊者特徵，然後形成一套響應措施，提高對方攻擊的風險和代價。

3. Secureworks

國家：美國

網站：www.secureworks.com

威脅情報產品：Enterprise Security Counter Threat Platform（SaaS）

Secureworks是Dell旗下公司，去年獨立上市。SecureWorks 是比較典型的MSSP(託管安全服務商)，因此較為中立，整合了全球多家技術和方案為客戶提供服務，主要為客戶提供安全服務、安全與風險諮詢以及威脅情報等。

為各種規模的客戶同時提供有針對性和全球威脅情報，以及高級或附加服務。戴爾全球威脅情報(Dell Global Threat Intelligence)提供三種基於訂閱的數據源：漏洞、威脅和諮詢，這是一個通用或者說非針對性威脅情報服務，它是基於從數千SecureWorks全球客戶收集的威脅數據。

另一方面，戴爾針對性威脅情報(Dell Targeted Threat Intelligence)可以根據特定企業環境、品牌和管理人員進行定製化，以發現潛在威脅和構成潛在風險的威脅因素。SecureWorks附加服務包括攻擊者資料庫、CTU支持、惡意軟體分析和無邊界威脅監控。

4. Fireeye

國家：美國

網站：www.Fire.com

威脅情報產品：iSIGHT威脅情報訂閱、威脅情報服務、郵件安全(硬體)、終端安全、威脅分析平台

FireEye先後收購了Mandiant和iSight Partners，從威脅情報訂閱服務到Hunting，從硬體到軟體到數據，產品線豐富。威脅情報產品有：iSIGHT威脅情報訂閱、威脅情報服務、郵件安全(硬體)、終端安全、威脅分析平台。

FireEye Threat Intelligence是基於設備的自動化抵禦零日和其他高級網路攻擊的平台的一部分，小型、中型和大型企業客戶可以購買FireEye設備，再訂閱該威脅情報產品。

該服務讓企業可以查看有關全球威脅的海量數據，它旨在幫助FireEye客戶識別威脅因素和網路及系統泄露事故的指標。該服務提供三種級別的威脅情報訂閱：動態、高級和高級+。

5. 360

國家：中國

網站：360.cn

威脅情報產品：天擎終端、天堤防火牆、天眼APT檢測

360提供免費個人安全服務多年，在國內個人終端市場有相當高的佔有率。近年來開始向企業安全轉型，算是企業安全新軍，銳氣十足。主打反APT產品，收購了網神和網康防火牆。360在APT領域持續投入，RSA大會期間發布了2016年度APT報告。

擁有多款企業安全產品，分為終端和網路兩個層面，軟硬體兼備。

6. 微步在線/ThreatBook

國家：中國

網站：Threatbook.cn

威脅情報產品：威脅情報訂閱服務、威脅分析平台和API、威脅情報平台(軟體部署)

微步是國內最早提供威脅情報服務的公司，發展勢頭迅猛，已於16年中完成A輪融資。客戶覆蓋金融、能源、互聯網等行業，也包含多家世界500強公司。微步旗下產品包括威脅情報訂閱服務、威脅情報平台、免費威脅分析平台。

微步在線產品成熟度高，RSA大會期間發布的威脅情報軟體平台可私有化部署，，較好地解決了威脅情報落地問題。

7. IBM Security

國家：美國

網站：www.ibm.com

威脅情報產品：X-Force情報社區、威脅情報服務(MSSP)、QRadar安全情報平台

IBM安全2015年的收入為20億美金，保守估計2016年收入25億美金，是美國安全業務收入增長最快的大公司公司之一。

X-Force是IBM基於SAAS的威脅情報平台。每天監控20B的安全事件來獲取匿名威脅資訊。

QRadar可以收集各種安全產品數據包括設備應用、網路流等海量數據進行智能分析，並進行優先順序排序。

QRadar本身就是一個大數據平台，專門針對安全信息數據，比如日誌，應用日誌、設備日誌、操作系統日誌，包括網路流數據、漏洞的信息、資產的信息、防火牆配置信息等等都會進行收集，然後一起做關聯分析。IBM QRadar有集成的分析模型和關聯規則，通過關聯規則發現潛在威脅。

其威脅情報服務主要依託QRadar平台、安全服務和X-Force。

8. Anomali

國家：美國

網站：www.anomali.com

威脅情報產品： STAXX客戶端、Anomali企業版、威脅情報平台

Anomali原名ThreatStream。是國際威脅情報領域很有特色的廠商，發展迅猛。去年獲得了CIA(美國中央情報局)旗下In-Q-Tel的戰略投資，主要產品包括幫助企業匹配客戶日誌數據和威脅情報。

Anomali威脅情報平台（現在叫threatstream）是Anomali最早的產品，彙集第三方情報信息， ISAC和開源情報信息等。現在已經能和大多數主流安全設備相連，如SIEM，FW，終端等。

Anomali企業版是一種新型可擴展的，基於雲端的平台。解決了大量不相關IOCs導致傳統安全設備（SIEM, NGFW）負擔過重這一問題，通過讀取日誌尋找潛在IOCs，並將其與資料庫中威脅情報數據對比，選出合適的數據推送給設備。系統保存一年的日誌IOCs以方便分析比對。

Anomali 去年年底還發布了免費的STAXX工具以方便威脅情報傳送。STAXX沒有內置任何限制，企業可隨意配置饋送源。Anomali的目標是讓STAXX成為發現、訪問和管理威脅情報饋送最簡單最高效的方式。

9. Kaspersky

國家：俄羅斯

網站：www.kaspersky.com

威脅情報產品： 威脅情報訂閱服務

卡巴斯基以技術紮實著稱於世，目前主要業務依然圍繞殺毒軟體展開。其APT和威脅分析和研究在全球安全界佔據獨特的位置。

現在已經可以檢測如下威脅：惡意鏈接、釣魚鏈接以及命令和控制URL鏈接，移動威脅並具備IP信譽數據，可以提供IP訂閱服務。提供的情報數據機器可讀，能和SIEM, Splunk, IBM Qrader等設備整合。

10. RiskIQ

國家：美國

網站：www.riskiq.com

威脅情報產品： PassiveTotal威脅分析平台、安全情報服務

RiskIQ成立於2009年，RiskIQ定位為數字風險監控廠商。致力於讓企業及組織客戶能夠訪問安全智能和應用程序，從而保護數字攻擊面、定位業務風險。客戶能夠隨時發現和處理惡意軟體、惡意廣告和惡意 App，降低網路、移動及社交工具的威脅。

RiskIQ 通過全球代理網路每天持續掃描數以千萬計的網站，隨時向客戶報告異常情況。據悉美國前十大金融機構中有八家都適用RiskIQ追蹤監控企業web和移動應用資產。2015年收購Passive Total的威脅分析平台擴張自己的服務領域。

11. Recorded future

國家：美國

網站：www.recordedfuture.com

威脅情報產品： 提供多款開源情報產品，包括Cyber、DarkWeb、威脅監控等等

Recorded future全球最大的開源情報公司，核心技術是一套Web Intelligence Engine。提供多款開源情報產品，包括Cyber、DarkWeb、威脅監控等等 。

Recorded Future提供免費的威脅情報日報，和豐富的SIEM及分析類產品的對接插件。

Web Intelligence Engine的工作原理基本是按照情報循環的步驟進行的：

i. 首先從全網獲取實時信息：包括開源數據、深網、暗網、Tor網站、論壇、社交網路等；

ii. 其次，提取和組織威脅信息：使用NLP（natural language processing）和機器學習技術組織重建威脅相關信息（作者，事件，目標和IOCs等），並且聲稱具備多語言提取技術，包括中文、英文、俄語、阿拉伯語、波斯語等。

iii. 最後使威脅信息相關聯並提供可指導行動的上下文信息。

12. ThreatConntect

國家：美國

網站：www.Threatconnect.com

威脅情報產品： 威脅情報平台(SaaS和軟體)

ThreatConnect是威脅情報代表性企業之一，著名的鑽石模型理論提出者。主要產品有威脅情報平台，包括基於SaaS版本的和軟體版本。

以ThreatConnect威脅分析平台為核心，根據客戶群體的不同，將平台分為四種：TC Identify, TC Manage, TC Analyze和TC Complete。

*本文作者：飛行鴕鳥，轉載請註明來自FreeBuf.COM