年度安全峰会RSA2017已于美国时间2月13日盛大开幕。从最近三年RSA所有演讲的主题词热度可以看出,“Threat”和“Intelligence”都是大家关注的重点。威胁情报厂商也如雨后春笋般出现在网络安全领域,除了新起之秀外,也有不少传统安全厂商将业务扩展到威胁情报领域,纷纷争相推出自己的威胁情报产品。威胁情报”从理念到产品再到客户投入使用只用了短短几年时间,这些嗅觉敏锐的企业是如何占得市场先机的呢?小编从本届RSA大会上选出几家有代表性的威胁情报厂商,介绍下他们是如何将理念付诸实际的,排名不分先后。
1. AlienVault
国家:美国
威胁情报产品:OTX开源威胁情报社区、USM安全平台(软件部署)
AlienVault现处于Pre-IPO阶段,发展势头良好。旗下产品OTX是全球最大的免费威胁情报社区,每天能够提供超过400,000个威胁情报指标。现在有来自全球140个国家的4万7千名参与者,且用户活跃度很高。社区改变情报的单向发布模式,让订阅者可以和研究人员可以合作沟通,提高情报质量。
另一产品USM统一安全管理平台(Unified Security Management)是通过单一平台进行企业整体安全业务管理。声称能够从网络中的任何地方发现威胁,而不仅仅通过防火墙,且能够将发现的威胁以KILL CHAIN的不同阶段进行归类。USM能够提供:
- 统一、协调的安全监控;
- 简单安全事件管理和报告;
- 持续的威胁情报信息;
- 快速部署;
- 集成多项安全功能。
2. Crowdstrike
国家:美国
网站:www.crowdstrike.com
威胁情报产品:Falcon终端EDR、Falcon威胁情报订阅和Falcon平台
CrowdStrike由两名McAfee前员工于2011年创立。该公司提供专注于检测和阻止定向攻击,特色是主动防御。帮助政府和企业发现并阻止正在发生的黑客攻击。客户超过170个国家,全球十大企业中有三家,全球十大金融机构有五家使用crowdstrike的服务。其产品Falcon系统是一个主动防御的大数据云平台。
- Falcon终端EDR
Falcon终端检测和响应服务方案能够解决Silent failure的问题。(Silent failure:威胁发生到警报响起中间的这段时间)。声称只需5秒调查就能发现历史和正在进行的终端行为;结合威胁情报能力,具备更全面的视角和战术、技术的事件响应能力。
部署简单,无需硬件和存储资源。
- Falcon威胁情报订阅(Falcon Threat Intelligence)
能够获取及时准确的情报信息。支持多种输出格式:yara, snort, CEF等。提供API方式获取情报信息,包括IOC。已分析出了超过70个攻击者的技术、战术和规程信息(TTPs)和攻击团伙信息。提供有API和 Feeds,可以轻松和现存基础设施对接。
目前已联合以下公司加入威胁情报交换计划:Agiliance, Centripetal Networks, Check Point Software Technologies, Ltd., General Dynamics Fidelis Cybersecurity Solutions, LogRhythm, ThreatQuotient, and ThreatStream.
- Falcon平台
基于大数据分析的主动防御平台,可监控企业的数据,侦测零日威胁,并防止定向攻击造成的破坏。平台还可以识别恶意软件,学习攻击者特征,然后形成一套响应措施,提高对方攻击的风险和代价。
3. Secureworks
国家:美国
网站:www.secureworks.com
威胁情报产品:Enterprise Security Counter Threat Platform(SaaS)
Secureworks是Dell旗下公司,去年独立上市。SecureWorks 是比较典型的MSSP(托管安全服务商),因此较为中立,整合了全球多家技术和方案为客户提供服务,主要为客户提供安全服务、安全与风险咨询以及威胁情报等。为各种规模的客户同时提供有针对性和全球威胁情报,以及高级或附加服务。戴尔全球威胁情报(Dell Global Threat Intelligence)提供三种基于订阅的数据源:漏洞、威胁和咨询,这是一个通用或者说非针对性威胁情报服务,它是基于从数千SecureWorks全球客户收集的威胁数据。另一方面,戴尔针对性威胁情报(Dell Targeted Threat Intelligence)可以根据特定企业环境、品牌和管理人员进行定制化,以发现潜在威胁和构成潜在风险的威胁因素。SecureWorks附加服务包括攻击者数据库、CTU支持、恶意软件分析和无边界威胁监控。
4. Fireeye
国家:美国
网站:www.Fire.com
威胁情报产品:iSIGHT威胁情报订阅、威胁情报服务、邮件安全(硬件)、终端安全、威胁分析平台
FireEye先后收购了Mandiant和iSight Partners,从威胁情报订阅服务到Hunting,从硬件到软件到数据,产品线丰富。威胁情报产品有:iSIGHT威胁情报订阅、威胁情报服务、邮件安全(硬件)、终端安全、威胁分析平台。
FireEye Threat Intelligence是基于设备的自动化抵御零日和其他高级网络攻击的平台的一部分,小型、中型和大型企业客户可以购买FireEye设备,再订阅该威胁情报产品。该服务让企业可以查看有关全球威胁的海量数据,它旨在帮助FireEye客户识别威胁因素和网络及系统泄露事故的指标。该服务提供三种级别的威胁情报订阅:动态、高级和高级+。
5. 360
国家:中国
网站:360.cn
威胁情报产品:天擎终端、天堤防火墙、天眼APT检测
360提供免费个人安全服务多年,在国内个人终端市场有相当高的占有率。近年来开始向企业安全转型,算是企业安全新军,锐气十足。主打反APT产品,收购了网神和网康防火墙。360在APT领域持续投入,RSA大会期间发布了2016年度APT报告。
拥有多款企业安全产品,分为终端和网络两个层面,软硬件兼备。
6. 微步在线/ThreatBook
国家:中国
网站:Threatbook.cn
威胁情报产品:威胁情报订阅服务、威胁分析平台和API、威胁情报平台(软件部署)
微步是国内最早提供威胁情报服务的公司,发展势头迅猛,已于16年中完成A轮融资。客户覆盖金融、能源、互联网等行业,也包含多家世界500强公司。微步旗下产品包括威胁情报订阅服务、威胁情报平台、免费威胁分析平台。
微步在线产品成熟度高,RSA大会期间发布的威胁情报软件平台可私有化部署,,较好地解决了威胁情报落地问题。
7. IBM Security
国家:美国
网站:www.ibm.com
威胁情报产品:X-Force情报社区、威胁情报服务(MSSP)、QRadar安全情报平台
IBM安全2015年的收入为20亿美金,保守估计2016年收入25亿美金,是美国安全业务收入增长最快的大公司公司之一。
X-Force是IBM基于SAAS的威胁情报平台。每天监控20B的安全事件来获取匿名威胁资讯。
QRadar可以收集各种安全产品数据包括设备应用、网络流等海量数据进行智能分析,并进行优先级排序。QRadar本身就是一个大数据平台,专门针对安全信息数据,比如日志,应用日志、设备日志、操作系统日志,包括网络流数据、漏洞的信息、资产的信息、防火墙配置信息等等都会进行收集,然后一起做关联分析。IBM QRadar有集成的分析模型和关联规则,通过关联规则发现潜在威胁。
其威胁情报服务主要依托QRadar平台、安全服务和X-Force。
8. Anomali
国家:美国
威胁情报产品: STAXX客户端、Anomali企业版、威胁情报平台
Anomali原名ThreatStream。是国际威胁情报领域很有特色的厂商,发展迅猛。去年获得了CIA(美国中央情报局)旗下In-Q-Tel的战略投资,主要产品包括帮助企业匹配客户日志数据和威胁情报。
Anomali威胁情报平台(现在叫threatstream)是Anomali最早的产品,汇集第三方情报信息, ISAC和开源情报信息等。现在已经能和大多数主流安全设备相连,如SIEM,FW,终端等。
Anomali企业版是一种新型可扩展的,基于云端的平台。解决了大量不相关IOCs导致传统安全设备(SIEM, NGFW)负担过重这一问题,通过读取日志寻找潜在IOCs,并将其与数据库中威胁情报数据对比,选出合适的数据推送给设备。系统保存一年的日志IOCs以方便分析比对。
Anomali 去年年底还发布了免费的STAXX工具以方便威胁情报传送。STAXX没有内置任何限制,企业可随意配置馈送源。Anomali的目标是让STAXX成为发现、访问和管理威胁情报馈送最简单最高效的方式。
9. Kaspersky
国家:俄罗斯
网站:www.kaspersky.com
威胁情报产品: 威胁情报订阅服务
卡巴斯基以技术扎实著称于世,目前主要业务依然围绕杀毒软件展开。其APT和威胁分析和研究在全球安全界占据独特的位置。现在已经可以检测如下威胁:恶意链接、钓鱼链接以及命令和控制URL链接,移动威胁并具备IP信誉数据,可以提供IP订阅服务。提供的情报数据机器可读,能和SIEM, Splunk, IBM Qrader等设备整合。
10. RiskIQ
国家:美国
网站:www.riskiq.com
威胁情报产品: PassiveTotal威胁分析平台、安全情报服务
RiskIQ成立于2009年,RiskIQ定位为数字风险监控厂商。致力于让企业及组织客户能够访问安全智能和应用程序,从而保护数字攻击面、定位业务风险。客户能够随时发现和处理恶意软件、恶意广告和恶意 App,降低网络、移动及社交工具的威胁。RiskIQ 通过全球代理网络每天持续扫描数以千万计的网站,随时向客户报告异常情况。据悉美国前十大金融机构中有八家都适用RiskIQ追踪监控企业web和移动应用资产。2015年收购Passive Total的威胁分析平台扩张自己的服务领域。
11. Recorded future
国家:美国
网站:www.recordedfuture.com
威胁情报产品: 提供多款开源情报产品,包括Cyber、DarkWeb、威胁监控等等
Recorded future全球最大的开源情报公司,核心技术是一套Web Intelligence Engine。提供多款开源情报产品,包括Cyber、DarkWeb、威胁监控等等 。Recorded Future提供免费的威胁情报日报,和丰富的SIEM及分析类产品的对接插件。
Web Intelligence Engine的工作原理基本是按照情报循环的步骤进行的:
i. 首先从全网获取实时信息:包括开源数据、深网、暗网、Tor网站、论坛、社交网络等;
ii. 其次,提取和组织威胁信息:使用NLP(natural language processing)和机器学习技术组织重建威胁相关信息(作者,事件,目标和IOCs等),并且声称具备多语言提取技术,包括中文、英文、俄语、阿拉伯语、波斯语等。
iii. 最后使威胁信息相关联并提供可指导行动的上下文信息。
12. ThreatConntect
国家:美国
网站:www.Threatconnect.com
威胁情报产品: 威胁情报平台(SaaS和软件)
ThreatConnect是威胁情报代表性企业之一,著名的钻石模型理论提出者。主要产品有威胁情报平台,包括基于SaaS版本的和软件版本。以ThreatConnect威胁分析平台为核心,根据客户群体的不同,将平台分为四种:TC Identify, TC Manage, TC Analyze和TC Complete。