從RSAC2017看威脅情報如何落地
年度安全峰會RSA2017已于美國時間2月13日盛大開幕。從最近三年RSA所有演講的主題詞熱度可以看出,“Threat”和“Intelligence”都是大家關(guān)注的重點。威脅情報廠商也如雨后春筍般出現(xiàn)在網(wǎng)絡(luò)安全領(lǐng)域,除了新起之秀外,也有不少傳統(tǒng)安全廠商將業(yè)務(wù)擴展到威脅情報領(lǐng)域,紛紛爭相推出自己的威脅情報產(chǎn)品。威脅情報”從理念到產(chǎn)品再到客戶投入使用只用了短短幾年時間,這些嗅覺敏銳的企業(yè)是如何占得市場先機的呢?小編從本屆RSA大會上選出幾家有代表性的威脅情報廠商,介紹下他們是如何將理念付諸實際的,排名不分先后。
1. AlienVault
國家:美國
網(wǎng)站:www.alienvault.com
威脅情報產(chǎn)品:OTX開源威脅情報社區(qū)、USM安全平臺(軟件部署)
AlienVault現(xiàn)處于Pre-IPO階段,發(fā)展勢頭良好。旗下產(chǎn)品OTX是全球最大的免費威脅情報社區(qū),每天能夠提供超過400,000個威脅情報指標。現(xiàn)在有來自全球140個國家的4萬7千名參與者,且用戶活躍度很高。社區(qū)改變情報的單向發(fā)布模式,讓訂閱者可以和研究人員可以合作溝通,提高情報質(zhì)量。
另一產(chǎn)品USM統(tǒng)一安全管理平臺(Unified Security Management)是通過單一平臺進行企業(yè)整體安全業(yè)務(wù)管理。聲稱能夠從網(wǎng)絡(luò)中的任何地方發(fā)現(xiàn)威脅,而不僅僅通過防火墻,且能夠?qū)l(fā)現(xiàn)的威脅以KILL CHAIN的不同階段進行歸類。USM能夠提供:
- 統(tǒng)一、協(xié)調(diào)的安全監(jiān)控;
- 簡單安全事件管理和報告;
- 持續(xù)的威脅情報信息;
- 快速部署;
- 集成多項安全功能。
2. Crowdstrike
國家:美國
網(wǎng)站:www.crowdstrike.com
威脅情報產(chǎn)品:Falcon終端EDR、Falcon威脅情報訂閱和Falcon平臺
CrowdStrike由兩名McAfee前員工于2011年創(chuàng)立。該公司提供專注于檢測和阻止定向攻擊,特色是主動防御。幫助政府和企業(yè)發(fā)現(xiàn)并阻止正在發(fā)生的黑客攻擊。客戶超過170個國家,全球十大企業(yè)中有三家,全球十大金融機構(gòu)有五家使用crowdstrike的服務(wù)。其產(chǎn)品Falcon系統(tǒng)是一個主動防御的大數(shù)據(jù)云平臺。
- Falcon終端EDR
Falcon終端檢測和響應(yīng)服務(wù)方案能夠解決Silent failure的問題。(Silent failure:威脅發(fā)生到警報響起中間的這段時間)。聲稱只需5秒調(diào)查就能發(fā)現(xiàn)歷史和正在進行的終端行為;結(jié)合威脅情報能力,具備更全面的視角和戰(zhàn)術(shù)、技術(shù)的事件響應(yīng)能力。
部署簡單,無需硬件和存儲資源。
- Falcon威脅情報訂閱(Falcon Threat Intelligence)
能夠獲取及時準確的情報信息。支持多種輸出格式:yara, snort, CEF等。提供API方式獲取情報信息,包括IOC。已分析出了超過70個攻擊者的技術(shù)、戰(zhàn)術(shù)和規(guī)程信息(TTPs)和攻擊團伙信息。提供有API和 Feeds,可以輕松和現(xiàn)存基礎(chǔ)設(shè)施對接。
目前已聯(lián)合以下公司加入威脅情報交換計劃:Agiliance, Centripetal Networks, Check Point Software Technologies, Ltd., General Dynamics Fidelis Cybersecurity Solutions, LogRhythm, ThreatQuotient, and ThreatStream.
- Falcon平臺
基于大數(shù)據(jù)分析的主動防御平臺,可監(jiān)控企業(yè)的數(shù)據(jù),偵測零日威脅,并防止定向攻擊造成的破壞。平臺還可以識別惡意軟件,學(xué)習(xí)攻擊者特征,然后形成一套響應(yīng)措施,提高對方攻擊的風(fēng)險和代價。
3. Secureworks
國家:美國
網(wǎng)站:www.secureworks.com
威脅情報產(chǎn)品:Enterprise Security Counter Threat Platform(SaaS)
Secureworks是Dell旗下公司,去年獨立上市。SecureWorks 是比較典型的MSSP(托管安全服務(wù)商),因此較為中立,整合了全球多家技術(shù)和方案為客戶提供服務(wù),主要為客戶提供安全服務(wù)、安全與風(fēng)險咨詢以及威脅情報等。為各種規(guī)模的客戶同時提供有針對性和全球威脅情報,以及高級或附加服務(wù)。戴爾全球威脅情報(Dell Global Threat Intelligence)提供三種基于訂閱的數(shù)據(jù)源:漏洞、威脅和咨詢,這是一個通用或者說非針對性威脅情報服務(wù),它是基于從數(shù)千SecureWorks全球客戶收集的威脅數(shù)據(jù)。另一方面,戴爾針對性威脅情報(Dell Targeted Threat Intelligence)可以根據(jù)特定企業(yè)環(huán)境、品牌和管理人員進行定制化,以發(fā)現(xiàn)潛在威脅和構(gòu)成潛在風(fēng)險的威脅因素。SecureWorks附加服務(wù)包括攻擊者數(shù)據(jù)庫、CTU支持、惡意軟件分析和無邊界威脅監(jiān)控。
4. Fireeye
國家:美國
網(wǎng)站:www.Fire.com
威脅情報產(chǎn)品:iSIGHT威脅情報訂閱、威脅情報服務(wù)、郵件安全(硬件)、終端安全、威脅分析平臺
FireEye先后收購了Mandiant和iSight Partners,從威脅情報訂閱服務(wù)到Hunting,從硬件到軟件到數(shù)據(jù),產(chǎn)品線豐富。威脅情報產(chǎn)品有:iSIGHT威脅情報訂閱、威脅情報服務(wù)、郵件安全(硬件)、終端安全、威脅分析平臺。
FireEye Threat Intelligence是基于設(shè)備的自動化抵御零日和其他高級網(wǎng)絡(luò)攻擊的平臺的一部分,小型、中型和大型企業(yè)客戶可以購買FireEye設(shè)備,再訂閱該威脅情報產(chǎn)品。該服務(wù)讓企業(yè)可以查看有關(guān)全球威脅的海量數(shù)據(jù),它旨在幫助FireEye客戶識別威脅因素和網(wǎng)絡(luò)及系統(tǒng)泄露事故的指標。該服務(wù)提供三種級別的威脅情報訂閱:動態(tài)、高級和高級+。
5. 360
國家:中國
網(wǎng)站:360.cn
威脅情報產(chǎn)品:天擎終端、天堤防火墻、天眼APT檢測
360提供免費個人安全服務(wù)多年,在國內(nèi)個人終端市場有相當(dāng)高的占有率。近年來開始向企業(yè)安全轉(zhuǎn)型,算是企業(yè)安全新軍,銳氣十足。主打反APT產(chǎn)品,收購了網(wǎng)神和網(wǎng)康防火墻。360在APT領(lǐng)域持續(xù)投入,RSA大會期間發(fā)布了2016年度APT報告。
擁有多款企業(yè)安全產(chǎn)品,分為終端和網(wǎng)絡(luò)兩個層面,軟硬件兼?zhèn)洹?/p>
6. 微步在線/ThreatBook
國家:中國
網(wǎng)站:Threatbook.cn
威脅情報產(chǎn)品:威脅情報訂閱服務(wù)、威脅分析平臺和API、威脅情報平臺(軟件部署)
微步是國內(nèi)最早提供威脅情報服務(wù)的公司,發(fā)展勢頭迅猛,已于16年中完成A輪融資。客戶覆蓋金融、能源、互聯(lián)網(wǎng)等行業(yè),也包含多家世界500強公司。微步旗下產(chǎn)品包括威脅情報訂閱服務(wù)、威脅情報平臺、免費威脅分析平臺。
微步在線產(chǎn)品成熟度高,RSA大會期間發(fā)布的威脅情報軟件平臺可私有化部署,,較好地解決了威脅情報落地問題。
7. IBM Security
國家:美國
網(wǎng)站:www.ibm.com
威脅情報產(chǎn)品:X-Force情報社區(qū)、威脅情報服務(wù)(MSSP)、QRadar安全情報平臺
IBM安全2015年的收入為20億美金,保守估計2016年收入25億美金,是美國安全業(yè)務(wù)收入增長最快的大公司公司之一。
X-Force是IBM基于SAAS的威脅情報平臺。每天監(jiān)控20B的安全事件來獲取匿名威脅資訊。
QRadar可以收集各種安全產(chǎn)品數(shù)據(jù)包括設(shè)備應(yīng)用、網(wǎng)絡(luò)流等海量數(shù)據(jù)進行智能分析,并進行優(yōu)先級排序。QRadar本身就是一個大數(shù)據(jù)平臺,專門針對安全信息數(shù)據(jù),比如日志,應(yīng)用日志、設(shè)備日志、操作系統(tǒng)日志,包括網(wǎng)絡(luò)流數(shù)據(jù)、漏洞的信息、資產(chǎn)的信息、防火墻配置信息等等都會進行收集,然后一起做關(guān)聯(lián)分析。IBM QRadar有集成的分析模型和關(guān)聯(lián)規(guī)則,通過關(guān)聯(lián)規(guī)則發(fā)現(xiàn)潛在威脅。
其威脅情報服務(wù)主要依托QRadar平臺、安全服務(wù)和X-Force。
8. Anomali
國家:美國
網(wǎng)站:www.anomali.com
威脅情報產(chǎn)品: STAXX客戶端、Anomali企業(yè)版、威脅情報平臺
Anomali原名ThreatStream。是國際威脅情報領(lǐng)域很有特色的廠商,發(fā)展迅猛。去年獲得了CIA(美國中央情報局)旗下In-Q-Tel的戰(zhàn)略投資,主要產(chǎn)品包括幫助企業(yè)匹配客戶日志數(shù)據(jù)和威脅情報。
Anomali威脅情報平臺(現(xiàn)在叫threatstream)是Anomali最早的產(chǎn)品,匯集第三方情報信息, ISAC和開源情報信息等。現(xiàn)在已經(jīng)能和大多數(shù)主流安全設(shè)備相連,如SIEM,F(xiàn)W,終端等。
Anomali企業(yè)版是一種新型可擴展的,基于云端的平臺。解決了大量不相關(guān)IOCs導(dǎo)致傳統(tǒng)安全設(shè)備(SIEM, NGFW)負擔(dān)過重這一問題,通過讀取日志尋找潛在IOCs,并將其與數(shù)據(jù)庫中威脅情報數(shù)據(jù)對比,選出合適的數(shù)據(jù)推送給設(shè)備。系統(tǒng)保存一年的日志IOCs以方便分析比對。
Anomali 去年年底還發(fā)布了免費的STAXX工具以方便威脅情報傳送。STAXX沒有內(nèi)置任何限制,企業(yè)可隨意配置饋送源。Anomali的目標是讓STAXX成為發(fā)現(xiàn)、訪問和管理威脅情報饋送最簡單最高效的方式。
9. Kaspersky
國家:俄羅斯
網(wǎng)站:www.kaspersky.com
威脅情報產(chǎn)品: 威脅情報訂閱服務(wù)
卡巴斯基以技術(shù)扎實著稱于世,目前主要業(yè)務(wù)依然圍繞殺毒軟件展開。其APT和威脅分析和研究在全球安全界占據(jù)獨特的位置。現(xiàn)在已經(jīng)可以檢測如下威脅:惡意鏈接、釣魚鏈接以及命令和控制URL鏈接,移動威脅并具備IP信譽數(shù)據(jù),可以提供IP訂閱服務(wù)。提供的情報數(shù)據(jù)機器可讀,能和SIEM, Splunk, IBM Qrader等設(shè)備整合。
10. RiskIQ
國家:美國
網(wǎng)站:www.riskiq.com
威脅情報產(chǎn)品: PassiveTotal威脅分析平臺、安全情報服務(wù)
RiskIQ成立于2009年,RiskIQ定位為數(shù)字風(fēng)險監(jiān)控廠商。致力于讓企業(yè)及組織客戶能夠訪問安全智能和應(yīng)用程序,從而保護數(shù)字攻擊面、定位業(yè)務(wù)風(fēng)險。客戶能夠隨時發(fā)現(xiàn)和處理惡意軟件、惡意廣告和惡意 App,降低網(wǎng)絡(luò)、移動及社交工具的威脅。RiskIQ 通過全球代理網(wǎng)絡(luò)每天持續(xù)掃描數(shù)以千萬計的網(wǎng)站,隨時向客戶報告異常情況。據(jù)悉美國前十大金融機構(gòu)中有八家都適用RiskIQ追蹤監(jiān)控企業(yè)web和移動應(yīng)用資產(chǎn)。2015年收購Passive Total的威脅分析平臺擴張自己的服務(wù)領(lǐng)域。
11. Recorded future
國家:美國
網(wǎng)站:www.recordedfuture.com
威脅情報產(chǎn)品: 提供多款開源情報產(chǎn)品,包括Cyber、DarkWeb、威脅監(jiān)控等等
Recorded future全球最大的開源情報公司,核心技術(shù)是一套Web Intelligence Engine。提供多款開源情報產(chǎn)品,包括Cyber、DarkWeb、威脅監(jiān)控等等 。Recorded Future提供免費的威脅情報日報,和豐富的SIEM及分析類產(chǎn)品的對接插件。
Web Intelligence Engine的工作原理基本是按照情報循環(huán)的步驟進行的:
i. 首先從全網(wǎng)獲取實時信息:包括開源數(shù)據(jù)、深網(wǎng)、暗網(wǎng)、Tor網(wǎng)站、論壇、社交網(wǎng)絡(luò)等;
ii. 其次,提取和組織威脅信息:使用NLP(natural language processing)和機器學(xué)習(xí)技術(shù)組織重建威脅相關(guān)信息(作者,事件,目標和IOCs等),并且聲稱具備多語言提取技術(shù),包括中文、英文、俄語、阿拉伯語、波斯語等。
iii. 最后使威脅信息相關(guān)聯(lián)并提供可指導(dǎo)行動的上下文信息。
12. ThreatConntect
國家:美國
網(wǎng)站:www.Threatconnect.com
威脅情報產(chǎn)品: 威脅情報平臺(SaaS和軟件)
ThreatConnect是威脅情報代表性企業(yè)之一,著名的鉆石模型理論提出者。主要產(chǎn)品有威脅情報平臺,包括基于SaaS版本的和軟件版本。以ThreatConnect威脅分析平臺為核心,根據(jù)客戶群體的不同,將平臺分為四種:TC Identify, TC Manage, TC Analyze和TC Complete。