企業安全計劃的堅實基礎始于選擇合適的威脅情報平臺(TIP)以及如何利用它來設計其余的安全計劃。沒有TIP，大多數安全部門將無法整合各種組件工具，也無法制定適當的戰術和流程來保護其網絡、服務器、應用程序和終端設備。

威脅情報平臺簡介

TIP是必不可少的工具，特別是在平均漏洞利用時間越來越短，且由于AI驅動的惡意軟件，其影響愈發難以察覺的同時，威脅行為者似乎也在更高水平上協同工作。

網絡安全和基礎設施安全局(CISA)發現，自2023年以來，大多數漏洞利用都是零日漏洞，即利用此前未知的方法。根據最新的Verizon數據泄露調查報告(DBIR)，過去兩年中，AI輔助的惡意電子郵件比例翻了一番，達到觀察總數的10%，這使得緊跟威脅形勢變得更加困難。

值得注意的是，威脅領域變得更加復雜且針對性更強。例如，Verizon DBIR發現，針對VPN和邊緣設備的威脅激增至2024年報告數量的八倍以上。

“網絡安全領導者如今正面臨一場由AI顛覆、監管復雜性和復雜威脅行為者共同引發的完美風暴，”CIOSO的創始合伙人Greg Sullivan表示。“我們不僅要管理風險，還要在一個深度偽造、第三方漏洞和碎片化隱私法成為新常態的世界中重新定義數字信任的含義。”

應對威脅的一種方法是持續監控各種威脅向量，如電子郵件、網絡流量和邊緣設備，然而，這是一個勞動密集型的過程，需要大量分析師來幫助提升企業的安全態勢。

在此，我們提供一些關于如何購買合適的TIP的建議，包括一些推薦的供應商、應關注哪些要素以及應支付多少費用。

威脅情報平臺應關注哪些要素

早期的TIP是非常簡單的產品，通常只是將最新的漏洞利用情報源拼湊在一起，幾乎沒有或根本沒有詳細信息。如今的TIP擁有更豐富的信息，包括潛在復雜性和威脅運作的具體細節。現代TIP在功能區域和目標上有幾個共同點：

? 數據聚合、關聯和標準化：能夠以結構化(通常是SQL數據庫)和非結構化格式聚合、關聯和標準化威脅數據，這些功能包括去除重復條目和過濾錯誤(如誤報)以及不適當的數據。目標是減少警報疲勞，使數據更具可操作性，如揭示隱藏模式或揭示潛在的新威脅向量，這意味著TIP利用各種威脅源和惡意軟件源，并能夠相應地攝取它們，但重要的不僅是源的數量，還有它們的質量以及能用于創建洞察和威脅響應的元數據和信息量。

? 自動化：盡可能自動化威脅響應和緩解等操作，生成事后行動手冊以及其他活動。理想情況下，自動化應實現快速響應的工作流程，且只需最少的人工干預。這一目標是為了實現最快的響應，以減少惡意軟件的駐留時間，并最小化對計算系統的潛在危害。要實現自動化和編排這些任務，需要使用各種標準，如可信自動化指標信息交換(TAXII)和結構化威脅信息表達式(STIX)，在整個威脅管理工具鏈中，以便不同產品能夠有效通信。這些任務中涉及的人工操作越少(包括更新自定義電子表格等)，效果就越好。示例包括警報豐富化、實時指標共享或按需生成報告。

? 集中管理：為所有威脅管理任務創建一個中心位置，覆蓋從發現到緩解以及進一步系統加固以防止后續攻擊的整個生命周期，這意味著能夠與現有的安全工具集(如SOAR、SIEM和CNAPP)集成，并避免重復工作。“現代TIP支持多源攝取、智能優先級排序、自動化工作流程以及與現有安全工具的無縫集成。”Cyware表示。

應關注云端還是本地TIP?

早期的TIP通常基于本地部署，但多年來已擴展其覆蓋范圍，并遷移到基于云的服務中，在某些情況下由托管服務提供商設置。如今的TIP應涵蓋這兩種用例以及廣泛的云源，包括除亞馬遜、谷歌和微軟之外的其他云提供商、Kubernetes集群和虛擬服務器。

威脅情報平臺的價格

大多數TIP供應商對其定價諱莫如深，我們在下文部分中為那些愿意提供詳細信息的供應商(包括免費試用)指出了具體細節。定價范圍廣泛，但預計要為更大、更復雜的基礎設施支付每年六位數的費用。

領先的威脅情報平臺供應商

2024年，供應商格局發生了許多變化：Bitisight收購了Cybersixgill，ZeroFox收購了Haveli Investments，萬事達卡收購了Recorded Future。每次收購都有助于通過額外的數據和信號情報來豐富底層TIP。讓我們來考察一些領先的供應商，同時認識到還有許多其他供應商也可以被歸入這一類別——例如，Gartner在其TIP匯編中列出了150多家供應商。

Bitsight Cyber Risk Intelligence：提供來自廣泛來源的實時情報，包括其收購Cybersixgill后獲得的暗網分析，他們每天篩選超過700萬項內容和10億個泄露的憑據，并聲稱可以在收集后一分鐘內為每位收件人提供定制的警報。

Cyware Threat Intelligence Platform：涵蓋廣泛的結構化和非結構化威脅源，具有實時操作和強大的自動化功能，可豐富威脅數據，并供跨職能安全團隊使用。

Greynoise：使用300多個基于邊緣設備的蜜罐來收集威脅情報，并提供近乎實時的分析，它具有廣泛的工具集成功能，可集成到SIEM、SOAR、Hunters XDR和Sophos網絡防火墻產品中，這些集成有助于將威脅與漏洞和事件響應相關聯，形成連貫且可操作的方案。

Kela Threat Intelligence：擁有一系列作為其TIP一部分的工具。它可以為防御者自動化行動手冊，以幫助監控和優先處理緩解行動，并可以集成到各種現有的第三方安全產品中，它使用其研究小組收集的數據，例如在過去一年中跟蹤了數十億個泄露的憑據，有資格的潛在買家可以使用免費試用賬戶。

OpenText Threat Intelligence (BrightCloud)：擁有全球傳感器網絡來檢測新興威脅，并具有實時網頁分類、反釣魚檢測和IP及文件信譽監控功能，它還提供云威脅的詳細信息，并具有識別和隔離多態惡意軟件的能力。

Palo Alto Networks’ Cortex XSIAM：是一個由AI驅動的安全運營中心(SOC)平臺，能夠攝取、關聯并對大量安全數據(包括威脅情報)采取行動，它使用GenAI對終端、網絡、云和身份提供商進行持續分析，并可以聚合來自商業和開源提供商的威脅數據，集成250多種第三方工具以創建可操作的規則、行動手冊和緩解措施。

Recorded Future Threat Intelligence：被眾多分析師視為TIP領域的領導者，加入萬事達卡后更是鞏固了這一地位，他們擁有自己的內部威脅狩獵小組(Insikt)，提供研究報告，其數據被封裝在其TIP中。他們還與新東家共享支付欺詐數據，他們使用確定性AI已有十年之久，并利用這一經驗構建了GenAI前端，以推動分析和工作流程，并幫助提出查詢和見解。一個新的惡意軟件情報模塊將觀察到的行為與超過15年的歷史威脅數據相關聯。

Seemplicity：使用其自己的AI引擎RemOps，根據代碼倉庫、IT服務經理和工單系統中的上下文信息構建定制的修復計劃，它可以將推薦的修復措施直接分配給最合適的分析師，其定價基于所涵蓋的數據源和自動化數量，起價為每年60000美元，它可以收集和集成來自現有安全工具的數據，如數據、云和應用態勢管理器、終端檢測和響應等。

SilentPush：具有多種功能，包括品牌和DNS保護以及實時保護，它與各種SOAR和SIEM工具以及Crowdstrike和Cyware平臺集成，它有一個免費的社區版本，不包括任何威脅源，但會監控基礎設施變更。更完整的企業版基本費用為每年12萬美元，但成本可能迅速攀升至50萬美元或更多。

SOCRadar Cyber Threat Intelligence：只是其產品線中的三個元素之一，另外兩個是暗網監控和擴展威脅情報。后者包括攻擊面管理、品牌保護和供應鏈分析，它封裝了眾多威脅源，包括監控超過1500個基于Telegram的威脅頻道，并具有簡單的自然語言查詢工具，它還提供與日志管理、SOAR和SIEM系統的眾多集成，他們有一個非常透明的定價頁面。有一個永遠免費的計劃，以及一個基本計劃，起價為每年11350美元，暗網和擴展情報將額外收費。

最后，請記住這句話：“有效的威脅情報不僅關乎技術——還關乎人員，”ThreatQuotient寫道。“要真正充分利用TIP，你需要促進安全團隊與企業其他部門之間的協作，這可能包括你的IT部門、執行團隊，甚至你的客戶和合作伙伴。通過創建一種協作和信息共享的文化，你可以確保企業中的每個人都在共同努力，以領先于威脅形勢。”