freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

威胁情报简介及市场浅析
2017-06-08 10:37:36

前言

如今,多数IT执行者都已经意识到,情报是针对高级网络攻击的有力武器。根据Gartner分析师Rob McMillan和Khusbu Pratap的说法:

到2018年,全球60%的大型企业将使用商用威胁情报服务,帮助他们制定安全策略。

但是,你真的知道威胁情报是什么么?网络威胁情报服务市场当然仍然相对年轻,而且市场上有哪些可供选择的方案也不是特别明朗。

本文将就网络威胁情报的定义、市场行情、厂商概况等信息进行汇总整合,以期增进读者对威胁情报的了解。

3098109890836.jpg

1什么是威胁情报?

1.1 为什么会有威胁情报?

如今,新一代的攻击者常常向企业和组织发起针对性的网络攻击。这样的网络威胁,用术语来说就是“高级持续性攻击”(Daly (2009))。这种针对特定企业或行业的攻击,一般经过了精心的策划,攻击方法错综复杂,常导致严重的数据泄露或者破坏。

最近几个备受关注的案例包括:网络犯罪者向零售商、银行和其他组织发起针对性攻击,以获得经济利益;“激进黑客”(hacktivist)和国家背景的黑客攻击媒体、金融组织、政府机构,以实现政治目的。其他的案例包括:私营或国营企业盗取国防企业及制造商的工程和业务流程信息;懂金融的黑客攻击医疗和制药公司,来获取影响股票价格的内部信息。

这些黑客不断改变现有的攻击方式,开发新的方法;单独依赖防火墙、入侵防御系统和反病毒软件,无法阻止这些黑客的攻击。这类攻击无法通过恶意程序签名或者过去的攻击技术报告进行检测。而且,实际上,大多数企业面临的现状是收到的原始威胁数据过多:有太多警报,太多漏洞预警和补丁,太多关于各类恶意软件、钓鱼攻击和DDoS攻击的报告。

急速增长的针对性网络攻击直接催生了威胁情报服务。或者用现在流行的一句话来概括即:攻防不对等——而威胁情报的出现就是为了尽可能消除这种不对等。

1.2 威胁情报的定义

行业内关于“威胁情报”的讨论很多,但是这个词的定义却各有各的说法,但大多数文献中援引的是Gartner在2014年发表的《安全威胁情报服务市场指南》(Market Guide for Security Threat Intelligence Service)中提出的定义,所以我们也来看看Gartner的威胁情报定义,即:

“威胁情报是关于IT或信息资产所面临的现有或潜在威胁的循证知识,包括情境、机制、指标、推论与可行建议,这些知识可为威胁响应提供决策依据。”

如果认为Gartner为威胁情报所下的定义比较让人费解,我们可以参考Jon Friedman和Mark Bouchard在2015年发表的《网络威胁情报权威指南》(Definitive Guide to Cyber Threat Intelligence)中对威胁情报所下的定义:

“对敌方的情报,及其动机、企图和方法进行收集、分析和传播,帮助各个层面的安全和业务成员保护企业关键资产。”

信息vs情报

威胁情报与普通的威胁数据源有什么差别?

darkreading对比了传统的信息与情报,可以帮助我们理解情报的特点:

屏幕快照 2017-06-08 上午10.39.13.png

iSight Partners将威胁信息服务分为三种不同的阶段:签名与信誉源威胁数据源网络威胁情报

iSight threat info services spectrum.png

签名与信誉源,一般指的是恶意程序“签名”(文件哈希)、URL信誉数据和入侵指标,有时也包括一些基本的数据(例如“今日10大恶意程序威胁”)。威胁数据源的主要价值在于提升下一代防火墙(NGFW)、入侵防御系统(IPS)、安全网关(SWG)、反恶意程序和反垃圾邮件包以及其他技术的有效性。

签名与信誉源是纵深防御策略的其中一面,但这类服务存局限性。签名与信誉源能够阻挡多数攻击,但却无法阻挡没有签名的针对性攻击。签名与信誉源针对个体威胁指标提供数据,却无法提供上下文,无法帮助企业识别,企业自身、企业员工或者客户是否已经成为攻击目标。大量的签名和信誉分值,也会让SIEM系统和防火墙产生大量告警,而如此大量的数据安全团队是无法评估的。

威胁数据源,对常见恶意程序和攻击活动的波及范围、源头和目标进行统计分析。某些安全研究团队针对特定恶意程序发布的攻击解析,或者对高级、多阶段攻击的攻击顺序观察,都属于此类。威胁报告对于安全管理平台(SOC)和应急响应团队(IR team)是很有价值的,能够帮助他们分辨攻击模式。

但是大多数“威胁实验室”所作的分析都有明显的缺陷。数据收集是被动的(“我们在防火墙和网络传感器上看到了什么?”),经常与该供应商客户群的地理位置和行业情形有关。这类分析是后顾型的(“过去六个月我们在网络攻击中观察到了什么”)。这类分析无法用于识别黑客的新策略和技术。

威胁情报包含了前两者的基础数据,但同时在几个重点方面作了提升,包括在全球范围内收集及分析活跃黑客的信息和技术信息,也就是说持续监控黑客团体和地下站点,了解网络犯罪者和激进黑客共享的信息、技术、工具和基础设施。此类服务还要求其团队拥有多样化的语言能力和文化背景,以便理解全球各地黑客的动机和关系。

另外,威胁情报以对手为重点,具有前瞻性,针对攻击者及其战术、技术与程序(TTP)提供丰富的上下文数据。数据可能包括不同犯罪者的动机与目标,针对的漏洞,使用的域、恶意程序和社工方式,攻击活动的结构及其变化,以及黑客规避现有安全技术的技巧。

针对攻击方的威胁情报应该包含的要点包括了:

- 攻击者身份:威胁情报需要能够帮助企业将攻击/恶意活动最终溯源至相应组织(网络犯罪团体、黑客、政府/国家机构等)

- 攻击的原因:了解地方动机,以及他们会在攻击中投入多少精力(APT或仅是投机型攻击),及其针对性有多强等

- 攻击目的:了解攻击者的目的,对于企业和组织基于资产重要性调整响应优先级也是有意义的

- 具体是怎么做的:也就是所谓的TTP(Tatics策略、Technique技术和Procedure程序),这其中也包含了攻击者所用的工具、基础设施等

- 攻击者的位置:结合地方所在国家,以及其地缘政治状况,自然能够帮助企业和组织更好地理解地方情况

- 如何组织情报:包括IOC一类的技术指标(比如IP地址、哈希值等)提供的信息可用来更准确地检测和标记恶意行为

- 如何缓解攻击:企业可用以保护自身的信息

威胁情报针对不同客户进行个性化定制。真正的威胁情报服务会收集每个客户的环境数据和情报要求,针对客户企业所处行业、技术和特定环境作出分析。定制化的信息能够给企业提供充足的上下文信息,企业可依据自身的特定需求和风险状况,来设定优先级、作出最佳决策,而不是根据整个行业的普遍情况。

1.3 威胁情报的部署

Gartner认为,情报是过程的产物,而非独立数据点的合集。Gartner刻画了威胁情报的生命周期

intelligence life cycle.png

其中各项具体含义如下:

定向:定义目标并完善

收集:从多种开放或封闭的源收集数据;电子的、人工的

处理:如有需要,翻译;进行可靠性评估;核对多个源

分析:判断此信息的意义;评估信息的重要性;推荐相应措施

传递:将情报传递给客户

反馈:依照需求调整

将威胁情报和内部信息相关联,企业或组织对于攻击会有更清晰的认识,也能够对威胁进行事先防御。那么这些威胁情报究竟具体是怎么应用到安全策略中的呢?

一般来说,基于受众的差异,威胁情报包含两个不同的层面。第一种威胁情报是“战略层面”的,也就是供人阅读的。这类威胁情报不需要非常技术,主要为各类高管准备(如CEO、COO、CTO等),让他们能够了解威胁对于业务连续性的影响,帮助他们做出正确的决策。这类威胁情报的典型呈现方式就是报告。

另一类是“可操作层面”的,或者说是可机读的数据——安全设备能够利用这些数据来加固安全性,比如上面提到SIEM和威胁情报的配合。这些数据很多是XML格式化过的,易于处理。所以说威胁情报本身对于企业内部各个层面的人而言都是有意义的,包括SOC(安全运营中心)分析师、事件响应团队,甚至到做出决策的董事会。

威胁情报主要服务

Gartner的《安全威胁情报服务市场指南》对威胁情报服务进行了切分:

屏幕快照 2017-06-08 上午10.43.37.png

由于Gartner的这份市场指导只着重于第一和第三类,也就是核心威胁情报,我们也就针对这一部分作一些说明。

这里的“获取和分析”可理解为收集自各种源(如电子或人工的)“纯粹”的情报,融合了类似黑客意图等内容,内容可包含人工叙述式的分析——专为客户定制,同时也包含部分预测内容。

实时监测与通知”则反映了更广阔范围的信息,是对情报更为具体的呈现,也是这块市场的真正支点。这部分主要相关那些已经发生的活动信息,并且是从技术角度来进行解读的。这种情报不包含指标之外的大量分析,也不给出黑客攻击意图等深度信息。比如说僵尸网络C&C IP地址信息,就属于此类情报的典型。

1.4 威胁情报的主要优点

让威胁更加清晰可见

熟悉当地语言、行话的研究人员能够在新的地点发现新型威胁团体,发现他们使用的新恶意程序变种和新的社工方式。威胁情报帮助企业安全人员了解新的入侵威胁指标(IOC)及其他信息,以预防和检测更多攻击。威胁情报还可帮助IT管理人员和安全分析师了解哪些应用、系统和用户群最有可能遭受攻击,从而优先保护这些高风险目标。

更快速响应针对性攻击

威胁情报会为客户安全团队提供详尽的信息,帮助他们了解哪些威胁最有可能影响客户所处行业及该企业本身环境。由此,客户可以只关注与其自身紧密相关的攻击产生的预警和通知。威胁情报提供含有上下文信息的威胁分析,能令SIEM工具自动提升真正有意义的预警的优先级。安全团队可获得所需的上下文,以识别特定攻击者的攻击模式。

威胁情报还可帮助企业优化漏洞修复,更快速响应紧急威胁。企业不再根据“高危/重要/中危/低危”这样简单粗暴的评级,来决定应优先修复哪些漏洞,威胁情报可以为他们提供每个漏洞的详情,包括漏洞的原理、利用的难易程度以及外界是否已经出现利用方法或工具。优先次序安排得当则可以缩短对紧急威胁的响应时间,而不是浪费时间去修复一些“高危”但实际没有风险的漏洞。

改善管理层沟通

如何与业务经理、执行层和董事会沟通安全问题的相关信息,是CISO常常面临的挑战。这种情况就导致在面对真正的安全威胁时,相关部门无法获得其他部门的配合和资金支持。威胁情报提供的信息,可以将攻击者具象化,明确其动机,帮助CISO将网络威胁转换为业务风险。

CISO可以通过威胁情报获得更多业务风险相关术语,汇报时,没有技术背景的领导层也能够理解。安全管理人员在与CFO或其他管理层汇报时,不必继续使用技术术语(如,“上周我们评估了1000条预警,阻止了200个恶意程序”),而可以这样说——“上周,有黑客试图破坏我们的网站,损坏公司品牌,我们成功阻止了他。”

加强策略规划和投资

威胁情报能够针对新的攻击者和威胁提供确实的证据和详尽的分析。此类信息可以指导企业就安全方面作出更好的规划和投资决策,以改善其安全形势,与此同时又可以减少不必要的风险和开支。反之,威胁情报能够分析出某些威胁与特定的行业或企业类型不相关,帮助企业避免将有限的资源放置在错误的位置。

2 威胁情报市场现状

2.1 调查对象

由于国内威胁情报市场还比较不成熟,我们也没有国内的数据,因此依然以国际市场的数据作为参考。SANS在去年8月发布了《SANS网络威胁情报调查》(The SANS State of Cyber Threat Intelligence Survey: CTI Important and Maturing)。SANS选取了全球220个企业,涉及IT、政府、银行和金融、制造、教育、医疗、咨询和通信等行业。其中规模超过5000人的企业占比48%。

survey demographics.png

2.2 项目成熟度

在2014和2015年的调查中,许多安全人员也还不清楚威胁情报到底是什么,以及如何更好地使用威胁情报。但即便在前两年的调查中,已经有48%的企业反映依据威胁情报后采取的预防措施,能够减少安全事件的数量。

- 94%的受访企业表示目前已有威胁情报项目;

- 28%的企业表示其威胁情报项目正处于萌芽或不成熟的阶段;

- 约41%的企业表示其威胁情报项目正在企业环境中逐渐成熟;

- 26%的企业认为其项目已经成熟或非常成熟。

CTI program maturity.png

2.3 具体的改进之处

64%的受访企业表示威胁情报改善了企业的安全状况和响应能力,3%认为报没有改善,其他则表示改善状况“不明”。这个数据与2015年的调查数据较为一致。上述64%的企业认为具体的改进之处如下:

- 73%认为能够做出更好、更明智的决策;

- 71%认为威胁更加可视化,但也有34%不明确

- 58%认为安全响应更快、更准确

- 53%表示对未知威胁的检测有所提升

- 48%表示安全事件减少

- 39%表示威胁情报有效减少了事件的影响

2.4 威胁情报来源

随着安全团队越来越习惯于使用威胁情报数据,许多安全团队一直在寻找新的以及不同的源。目前,

- 74%从公共情报源获取情报;

- 70%采用威胁情报供应商的商业源;

- 约57%使用开源情报源;

- 46%使用内部数据

CTI Sources.png

供应商提供的威胁情报

在上述采用威胁情报供应商的企业中,56%收集并分析IDS、IPS、UTM和防火墙系统产生的预警信息,47%的数据来源于端点安全供应商,44%来源于SIEM供应商。而在去年,来源主要是端点安全供应商,其次是IDS、IPS、防火墙和威胁情报平台供应商。

CTI Vendor Sources.png

其中一项比较有趣的数据是,只有25%的受访企业采用了专用威胁情报服务,这个数据让人比较意外。这就意味着,企业采用的大部分数据是来自比较传统的供应商。

2.5 威胁情报主要用途

SANS今年调查了受访企业使用威胁情报数据的主要用途,根据统计结果,三个最重要的用途为:

在出口处(如防火墙)拦截恶意域或IP地址(63%)

为调查或事件评估提供上下文(50%)

检查DNS服务器日志,以发现恶意域或IP地址(30%)

其他用途还包括:在端点主动寻找文件系统指标指示器,为团队及管理层提供趋势数据和报告,结合内部生成指标与商业指标进行攻击溯源,为恶意流量定制IDS签名,在端点主动寻找注册指示器,从商用资源库下载恶意程序样本、逆向工程以获得更多指标

Top CTI Data Uses.png

2.6 威胁情报与防御响应体系的整合

为了将威胁情报数据用于防御与响应体系,41%的企业表示正使用供应商提供的API,而36%的企业正建设自己的API,来将威胁情报数据整合至安全工具与进程中。还有企业使用情报供应商、第三方整合工具等,具体情况如下图所示。

Top Integration Methods for CTI Data.png

2.7 威胁情报的处理

根据统计数据,用于管理威胁情报源的主要工具为SIEM系统。第二常用的为入侵监测平台,商用威胁情报管理平台为第三,有52%的企业正在使用。开源威胁情报平台使用频率较低,有43%的企业在使用,并且需要与其他工具整合及协作。其他的还包括自主开发的工具、分析平台、商业情报工具和取证工具等。

CTI integration and analysis tools.png

2.8 威胁情报管理解决方案

35%的安全团队利用恶意程序信息共享平台(MISP);

23%使用可信指标信息自动交换(TAXII);

22%使用威胁协作研究(CRIT)

CTI management solutions.png

其他解决方案还包括金融服务信息共享和分析中心(FS-ISAC)开发的Avalanche和威胁情报源模型化分析(MANTIS)平台。

MISP是一个开放平台,其中整合了多种安全和报告工具,同时也分享组织和企业需要的信息。

美国迈特公司(MITRE)开发了TAXII标准,用于安全交换威胁情报数据。目前,TAXII标准已经过渡给了OASIS(国际开放标准联盟)

CRIT是开源恶意程序与威胁资源库,用于存储和分析威胁情报数据。

2.9 标准与框架

SANS调查了企业在使用威胁情报项目时,采用了哪些标准和框架,并将2015年的数据与2016年数据进行了对比,如下表所示

屏幕快照 2017-06-08 上午10.44.38.png

其中,CybOX、STIX和TAXII为最常见的三种标准,众多文献与报告都多次提及,因此我们在这里也对这三种标准做一个简单的介绍。

TAXII

TAXII并非信息共享程序,并不定义信任协议。TAXII是一系列关于交换威胁情报信息的技术规格,可帮助企业与其合作伙伴共享信息。

TAXII有以下三个共享模型:

Hub and Spoke:信息收集中心

Source/Subscriber:一个组织,提供单一信息源

Peer-to-Peer:多个组织共享信息

TAXII定义了以下四种服务,每一个服务都是可选项,还可以结合不同的服务,用于不同的共享模型:

Inbox:用于接收推送内容

Poll:用于请求内容

Collection Management:用于请求订阅数据收集和学习

Discovery:学习哪种服务得到了支持,并且如何与这些服务交互

关于TAXII的详细内容,读者可以在GitHub上查阅。目前,TAXII定义了基于HTTP(S)的XML信息传递,但TAXII的设计还可以支持其他格式的数据传输。

CybOX

Cyber Observables eXpression (CybOX) 提供了一个通用结构,用于表征企业安全各运作区的网络观察对象。网络观察对象可以是动态的事件,也可以是静态的资产。CybOX对象可能是从某个特定地址发来的一封邮件,指向某个特定地址的网络连接,一个文件的MD5哈希,一个进程,一个URI或者注册码的变化。CybOX可用于威胁评估,日志管理,恶意软件特征描述,指标共享和事件响应。

STIX

STIX是用于表征网络威胁信息标准化沟通的语言。与TAXII类似,STIX并非一个共享程序或工具,更接近于支持程序或工具的组件。STIX语言本身也有许多的组件,包括:

- 观察对象(Observable):用CybOX表征的动态事件或静态资产

- 指标(Indicator):带有上下文的观察对象。一个指标可以包含时间范围、信息源、入侵检测系统的规则等

- TTP:表征对手的方法与操作方式

- Exploit目标:受害者的弱点

- 行动过程(COA):针对威胁的防御行动(预防、补救、缓解)

- Campaign:一系列相关的TTP、指标、时间和exploit目标

- 威胁源起方:网络对手

stixviz-mandiant.png

总体来看,使用这些知名标准和框架的企业数量有所下降。究其原因,回答“其他”的企业表示,他们正使用定制的API或者自主开发的解决方案,这种趋势可能会继续增长(虽然此类回答的数量并不多)。许多企业,包括SANS都在用STIX,但是一些付费的方案和其他方法可能也正处于发展之中。

2.10 威胁情报团队建设

在今年的报告当中,28%的受访企业表示他们拥有正式的威胁情报团队,而在2015年,这一数据为34%。另外,有18%的企业有一位员工专门处理威胁情报(2015年为14%),另有21%表示他们目前没有处理威胁情报的专员,但计划培训现有员工(与2015年类似)。详情见下图:

Staff and Team Allocation for CTI.png

只有2%的企业表示完全将其威胁情报外包,13%既有外包也有内部专员,还有6%未来将外包威胁情报业务。

2.11 展望

大多数受访企业(69%)认为威胁情报对于防御与响应非常重要,54%认为威胁情报对于风险优先级划分和未来5年计划的制定有价值。

为了更好地整合及使用威胁情报数据,企业希望威胁情报项目能够更加契合各个标准,减少误报,更全面覆盖工控系统行业,进一步扩充数据,改善数据分析,加强对各标准的理解,收购更优质的管理层。

2.12 市场分析

从上面的数据也可以看出,有些企业会为产品选择多个供应商的授权威胁情报源,不过这也会增加整个系统的复杂性和成本。所以实际上选择威胁情报提供商才是最值得考虑的问题。评估威胁情报源的关键有以下几点:

- 威胁情报的数据来源为何,以及具体是怎么来的,及数据来源针对全球威胁版图的覆盖情况;

- 数据的新鲜程度,包括数据何时从来源获取,以及处理数据需要多长时间;

- 数据有效性,不仅包括误报/漏报率,还包括与其他数据的关联能力;这一点尤为值得一提,相对顶级的威胁情报提供商已经开发了关联技术,能够自动在web信誉、IP信誉、文件威胁信誉等情报源之间进行交叉参考,对未分类的潜在威胁进行抑制。比如说有个威胁情报中原本未分级的URL地址,如果它与恶意程序感染文件或者已知不良IP地址相关联,则很容易将这个URL归类到不良之中。

- 针对企业、行业乃至不同地域需求的关联能力。

- 大数据和机器学习能力,数以亿计的域名、IP地址、移动应用、URL和文件行为记录,都需要大数据分析能力。借由机器学习来进行更为准确和可扩展的web威胁分析。

2.13 代表厂商

Gartner对总结比较了几个代表性威胁情报供应商,其中就其价格作了区分:年交易额低于10万美元的为低端,年交易额高于50万美元为高端,介于之间的为中等。

Gartner vendors.png

BAE Systems Applied Intelligence

CESG认证的英国企业,协助响应国家级网络中出现的安全事件。此协助工作和供应商自己的MSSP业务,为其情报来源的一个组成部分。BAE Systems Applied Intelligence拥有一套强大的流程,奠定了他们能力的基础。此公司目前主要专注于英国、美国和澳大利亚市场,但在欧洲、中东和非洲与亚太地区的28个国家也有业务。BAE Systems Applied Intelligence与政府的联系很密切。就价格而言,该公司处于中等位置。

Booz Allen

Booz Allen主要关注定制的、预测性的威胁情报。与此定位相一致,Booz Allen的人员配置中大部分为分析师。Booz Allen似乎也拥有一套强大的流程,为其能力打下基础。该公司的大部分业务源起北美,在欧洲、中东和非洲业务较少。Booz Allen主要的垂直行业为金融服务业,在制造与自然资源及其他行业也有少量业务。Booz Allen的服务报价较高。

BrandProtect

BrandProtect的主要关注点是品牌监测,此外还包括反钓鱼,较少关注针对用户基础设施的直接攻击的情报。所以,BrandProtect是威胁情报市场中的新手,也较为边缘化。就品牌监测而言,BrandProtect相当有竞争力。该厂商的方法非常简单:监控多个渠道中的关键字,最主要的渠道是社交媒体。该厂商有一套定价体系,服务对象可以是小企业,也可以是大企业。BrandProtect主要业务分布在北美,只要垂直行业为金融服务业。

Check Point Software Technologies

Check Point的服务只限于针对现有活动的情报,而非预测性情报。该厂商提供的信息源包括恶意程序签名,文件指标,地址指标,Check Point设备可以使用这些数据实时决定政策(Check Point的情报只有Check Point的设备能用)。报价较低,是整个市场中最低的报价之一,这点并不意外,因为他们的服务比较基础。Check Point通过其他产品线,在全球范围内运营。

Codenomicon

Codenomicon的产品与其他多数厂商都不一样,Codenomicon推出的是一个软件平台(AbuseSA)而不是传统的信息交付服务。该厂商不会自己出产情报,因此在威胁情报市场中也较为边缘化;但是,Codenomicon的平台,是值得关注的,该平台汇集了从其他源收集的信息。Codenomicon的主要市场是欧洲、中东和非洲地区的政府部门,特别是国家计算机安全事件响应团队(各国的CSIRT)。

CrowdStrike

CrowdStrike是一个较新的企业,但因其专业性而拥有良好的声誉。情报内容涵盖各个决策层面,从短期(比如,几分钟)的行动决策,到长期(比如,五年)的策略决定,包含人工的也包含自动化的决策。定价介于中等到高端,与其服务内容较为相衬,潜在客户也会关注这点。CrowdStrike的主要业务位于北美,关注领域涉及多个垂直行业,包括媒体、政府和其他。

CSIS Security Group

虽然和加拿大安全情报服务的缩写相同,这个丹麦企业是一家独立的实体。该厂商主要关注金融电子犯罪的预防和响应,特别是在欧洲市场。CSIS Security Group大部分业务分布在欧洲、中东及非洲地区,主要针对金融服务行业。CSIS为提供价格数据。

Cyveillance

Cyveillance从1997年开始就专注于威胁情报服务,2009年被QinetiQ收购。Cyveillance的名气可以说是基于他们监控品牌问题和金融犯罪的能力,但是Cyveillance和客户都提到其情报内容也被用于保护实际资产和事件。该厂商的人员构成中,分析师占了较高的比重。报价介于低端和中等之间,大部分业务分布于北美,涉及包括金融服务、媒体、制造和自然能源、零售、交通和公共事业在内的多个垂直行业。

Dell SecureWorks

Dell SecureWorks提供的威胁情报服务多种多样,包括全球通用情报源和定制化情报源,以满足高端客户的需求。该厂商因其专业能力,享有良好的声誉,在所有竞争者中,被提及次数位居第二,报价有高有低,与客户需求挂钩,一些潜在客户较为担心其高报价。

Digital Shadows

Digital Shadows没有明确提供商品化的实时监控和通知内容,这在威胁情报市场中较为少见,不过该厂商可以实时生成内容,并以STIX兼容的格式导出。该厂商认为自身的优势在于,其追踪的威胁源起方涵盖面很广。报价介于低端到中等之间,但是分析占了其服务的大部分比重,报价偏低,有些出人意料。Digital Shadows大部分客户位于北美和欧洲市场,主要垂直行业为金融服务,还有其他一些零散的客户,处于媒体、制造和自然能源、公共事业等行业。

FireEye

FireEye的服务基于其2014年收购的Mandiant。FireEye起家于调查取证服务和事件响应服务。FireEye在2013年早些时候,发表了关于APT攻击的研究报告,备受关注,也得到了许多好评,同时引起了全球对该问题的关注。独立的威胁情报服务对于FireEye而言还是比较新的业务,与某些竞争对手相比可能还略显不足。报价处于中等水平,主要垂直行业包括金融服务、制造和自然资源。

Fox-IT

Fox-IT推出了各种不同的内容,以支持战术性决策和策略性决策;Fox-IT的服务还覆盖了基础设施威胁以及一定程度的金融犯罪和品牌保护。这点值得关注,因为Fox-IT的规模比较小;但是,Fox-IT的人员构成中,分析师的比重略低。Fox-IT认为其总部位于荷兰,可以从俄罗斯等欧洲国家获得高质量的情报。该厂商的传统市场为欧洲,尤其是斯堪的纳维亚和英国。主要垂直行业包括金融服务、零售和媒体。报价为中等水平。、

Group-IB

东欧一般被认为是威胁和诈骗活动的重要源头。Group-IB,总部位于莫斯科,可以对东欧地区的活动深入研究,具有一定市场优势。Group-IB主要关注网络诈骗和品牌问题。该厂商已有坚实的客户基础,集中在欧洲,主要垂直行业为金融服务,报价为中等水平。

IBM

IBM的威胁情报服务脱胎于其收购能力和组织能力,包括2006年收购Internet Security Systems和X-Force,2007年收购Watchfire,2013年收购Trusteer,加上自己的安全部门和研发部门。IBM的威胁情报服务基本与其他服务捆绑在一起,只有X-Force威胁分析服务和高级网络威胁情报服务是例外。IBM的内容分析SDK也可以接入威胁情报源。X-Force威胁分析服务仅仅象征性收费。内容分析SDK和高级网络威胁情报服务的报价各有不同。

IID

IID起家于反钓鱼服务和DNS服务,最后演化为威胁情报服务。IID的优势在于其实时监控和通知服务,勉强能够归类于威胁情报的获取和分析。IID的主要垂直行业为金融服务,主要市场位于北美地区。报价基本处于中等水平。

iSIGHT Partners

iSIGHT Partners一直以来都专注于威胁情报服务,后来又加入了一些事件响应服务。该厂商的核心能力广受认可,人员构成中分析师占了很大比重。iSIGHT Partners在所有主要地区都有情报收集专员,包括东欧西欧、亚洲、中东和南美,这在厂商当中并不多见。iSIGHT Partners很擅长树立品牌意识,在所有竞争者汇总,被几次的次数最多,网站被引用的次数也最多。主要垂直行业为金融服务和政府。iSIGHT Partners采用了新颖的报价模式,报价融合了客户的市场价值及其他因素。因此,iSIGHT Partners得报价也有高有低,价位大体是中等到高。

Lookingglass

Lookingglass的主要产品为一个平台,该平台整合并分析从多个源获得的情报,不过该平台也能生成原创内容。参考网站也有提及Lookingglass能够高度响应用户需求,但是Lookingglass人员不足有时也会引起关注。该厂商的主要业务分布于北美,专注于金融服务和政府,报价高低不等,大体为中等水平。

Malcovery

Malcovery在市场上相对较新的供应商,在检测基于邮件的威胁方面有创新突破,特别是针对钓鱼活动的检测,加上Malcovery价格适中,赢得了一片赞誉。Malcovery的所有业务都在北美,主要垂直行业为金融服务,也涉及其他一些媒体和零售等行业。报价为低到中等水平,大多数交易趋于低端。

Norse

Norse提供相对标准的MRTI类型的内容,比如IP地址和恶意程序URL,定位数据,由Norse自家的蜜罐网络生成(而不是客户的网络)。Norse的蜜罐伪装为各种不同的设备,从标准的服务器到专有的医疗服务系统。Norse的创新点很有意思,基于贴近攻击源的设备进行准预测。参考客户反馈称,Norse的内容很优质,特别是基于Tor的网络。因为缺乏资源产生的问题有时会削弱Norse的客户响应能力,市场中的其他较新、较小规模的供应商也有同样的问题。Norse的大部分业务分布于北美,客户群所处行业各不相同,涵盖银行和证券、政府、技术、通信和媒体。报价处于低到中等水平,大部分交易趋于中等价格。

One World Labs

One World Labs认为其自动化收集、分析内容的能力较为独特——特别是从Tor或其他暗网流量获取的内容。价格从低到中等各异,大部分集中于中等水平。主要业务集中于北美,垂直行业涉及范围较广,最关于金融服务与医疗行业。

RSA——EMC公司信息安全事业部

RSA的服务于市面上其他供应商的服务有些不同。RSA的威胁情报聚焦基础设施(通过RSA Live)和欺诈(通过FraudAction),其中FraudAction也可以作为独立产品使用。FraudAction的性能比较完善,现已用于多个垂直行业,而不仅局限于传统的金融服务。其中一家参考网站特别提及,RSA的客户满意度高部分原因在于RSA理解了特定的用户需求。RSA的报价信息不明。

SenseCy

SenseCy是威胁情报市场中相对较新的玩家。SenseCy主要聚焦于威胁情报的获取和分析,同时也提供实时监控和通知内容,主要关注的领域包括伊斯兰背景的激进黑客活动,以及中国和俄罗斯的黑客。SenseCy的总部位于以色列内坦亚,因此该厂商的主要业务分布于中东地区,主要服务于金融服务行业,价格高低不等,取决于客户所选的服务,已成交的业务多为低价服务。

Symantec

在威胁情报市场,赛门铁克最知名的就是其长盛不衰的DeepSight服务,属于实时监控和通知的范畴。赛门铁克较高端的服务提供更深入的分析,基于这一点,赛门铁克在威胁情报的获取和分析方面并不突出。赛门铁克提供分集的服务,以满足低预算和高预算的需求,大部分客户购买的为低价服务,而高价服务的交易额占其收入的很大部分。像赛门铁克这样大型的企业,业务遍布全球多个地区,但略微偏向北美,涉及众多垂直行业,较为倚重金融服务。

Team Cymru

Team Cymru推出了一系列付费服务和非营利服务,后者是通过Team Cymru Research NFP提供的。除了官网和推广手册上的少量信息,Team Cymru并未过多地介绍自家的能力和服务。因此,很难评估Team Cymru的服务质量和付费服务价格。

ThreatStream

ThreatStream是另一家较新、规模较小的企业。ThreatStream的核心高层人员拥有强大的SIEM背景(来自ArcSight),这一点也体现在其产品中。该厂商的自动化能力得到了用户的认可,而对SIEM的整合也是其重要优势之一。ThreatStream的主要业务位于北美,主要关注政府和金融服务。价格为低到中等。

Verisign

Verisign通过iDefense服务,较早进入市场,品牌知名度高。Verisign不断优化,吸引客户,比如全面的服务、强大的情报处理能力和大量遍布各地的分析师(并拥有多语言背景);但是,其他竞争者也有了这些特色。因此,iDefense现在面临着激烈的竞争。Verisign的主要业务位于北美,主要垂直行业为金融服务和媒体,价格趋于中等水平。

Webroot

Webroot最早是恶意程序解决方案供应商,但在2010年有了业务拓展,推出BrightCloud威胁情报服务。Webroot大部分威胁情报业务通过OEM渠道交付,主要客户为其他供应商。因此,我们无法获得关于Webroot垂直行业的相关信息。Webroot还推出了针对企业的相应服务。Webroot的大部分业务位于北美,欧洲也有部分业务。价格信息不明,不过交易规模有大有小(OEM交易趋向于大规模)。

2.14 市场推荐

购买服务之前,客户应先制定威胁情报使用计划。客户需了解谁需要威胁情报,以及他们将如何使用威胁情报。同时,客户还需了解,需了解己方需要根据威胁情报内容作出何种决定,并且了解这些决定如何作出。

市场上威胁情报供应商众多,而且数量还将增长。但并非所有威胁情报服务都能提供客户需要的内容,以帮助客户理解要解决的问题。比方说,客户对漏洞信息感兴趣,这就不是威胁情报相关的内容。如果客户想要了解对手的行为或者他们的计划,并且想在不暴露自己的情况下,获得对手的相关信息,那么威胁情报便可以发挥作用。

注意,并非所有“威胁情报”都是一样的。有些厂商提供的信息仅仅是当前活动的IP地址和URL的含义。这些信息能够让客户快速响应当前威胁环境,但无法预测未来的活动。有些供应商提供的信息包括对手信息和相关计划,但是此类信息的价格通常偏高,而且一般需要根据众多信息作出推测。

客户可使用威胁情报的获取与分析相关服务,根据相关信息,制定长期的安全策略。要成功应对潜在威胁,可能需要两年或更长时间。这些服务可以帮助你深入了解潜在对手的身份、能力和计划。客户可使用实时监控和通知服务,快速响应外界威胁的变化。可以考虑用MRTI自动化威胁响应。

不过,需要注意的是,威胁情报市场还不成熟,我们可以预见许多厂商及其能力都可能在中短期内发生变化。

参考资料

CBEST Intelligence-Led Testing: Understanding Cyber Threat Intelligence Operations

Executive Perspectives on Cyber Threat Intelligence

Market Guide for Security Threat Intelligence Services

Who's Using Cyberthreat Intelligence and How?

The SANS State of Cyber Threat Intelligence Survey: CTI Important and Maturing

Cyber Threats: Information vs. Intelligence

【WitAwards 2016 “年度安全产品”参评巡礼】天际友盟Alice威胁情报溯源平台产品解读

【WitAwards 2016 “年度安全产品”参评巡礼】微步在线ThreatBook威胁情报产品分析

* FreeBuf官方出品,FB小编kuma整理,未经许可禁止转载

本文作者:, 转载请注明来自FreeBuf.COM

# 威胁情报
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦
收入专辑