【RSA2017專題】盤點RSA 2017展台上的那些威脅情報產品

年度安全峰會RSA2017已於美國時間2月13日盛大開幕。從最近三年RSA所有演講的主題詞熱度可以看出,「Threat」和「Intelligence」都是大家關注的重點。威脅情報廠商也如雨後春筍般出現在網路安全領域,除了新起之秀外,也有不少傳統安全廠商將業務擴展到威脅情報領域,紛紛爭相推出自己的威脅情報產品。

「威脅情報」從理念到產品再到客戶投入使用只用了短短几年時間,這些嗅覺敏銳的企業是如何佔得市場先機的呢?小編從本屆RSA大會上選出幾家有代表性的威脅情報廠商,介紹下他們是如何將理念付諸實際的,排名不分先後。

1. AlienVault

國家:美國

網站:www.alienvault.com

威脅情報產品:OTX開源威脅情報社區、USM安全平台(軟體部署)

AlienVault現處於Pre-IPO階段,發展勢頭良好。旗下產品OTX是全球最大的免費威脅情報社區,每天能夠提供超過400,000個威脅情報指標。現在有來自全球140個國家的4萬7千名參與者,且用戶活躍度很高。社區改變情報的單向發布模式,讓訂閱者可以和研究人員可以合作溝通,提高情報質量。

另一產品USM統一安全管理平台(Unified Security Management)是通過單一平台進行企業整體安全業務管理。聲稱能夠從網路中的任何地方發現威脅,而不僅僅通過防火牆,且能夠將發現的威脅以KILL CHAIN的不同階段進行歸類。USM能夠提供:

統一、協調的安全監控;

簡單安全事件管理和報告;

持續的威脅情報信息;

快速部署;

集成多項安全功能。

2. Crowdstrike

國家:美國

網站:www.crowdstrike.com

威脅情報產品:Falcon終端EDR、Falcon威脅情報訂閱和Falcon平台

CrowdStrike由兩名McAfee前員工於2011年創立。該公司提供專註於檢測和阻止定向攻擊,特色是主動防禦。幫助政府和企業發現並阻止正在發生的黑客攻擊。客戶超過170個國家,全球十大企業中有三家,全球十大金融機構有五家使用crowdstrike的服務。其產品Falcon系統是一個主動防禦的大數據云平台。

Falcon終端EDR

Falcon終端檢測和響應服務方案能夠解決Silent failure的問題。(Silent failure:威脅發生到警報響起中間的這段時間)。聲稱只需5秒調查就能發現歷史和正在進行的終端行為;結合威脅情報能力,具備更全面的視角和戰術、技術的事件響應能力。

部署簡單,無需硬體和存儲資源。

Falcon威脅情報訂閱(Falcon Threat Intelligence)

能夠獲取及時準確的情報信息。支持多種輸出格式:yara, snort, CEF等。提供API方式獲取情報信息,包括IOC。已分析出了超過70個攻擊者的技術、戰術和規程信息(TTPs)和攻擊團伙信息。提供有API和 Feeds,可以輕鬆和現存基礎設施對接。

目前已聯合以下公司加入威脅情報交換計劃:Agiliance, Centripetal Networks, Check Point Software Technologies, Ltd., General Dynamics Fidelis Cybersecurity Solutions, LogRhythm, ThreatQuotient, and ThreatStream.

Falcon平台

基於大數據分析的主動防禦平台,可監控企業的數據,偵測零日威脅,並防止定向攻擊造成的破壞。平台還可以識別惡意軟體,學習攻擊者特徵,然後形成一套響應措施,提高對方攻擊的風險和代價。

3. Secureworks

國家:美國

網站:www.secureworks.com

威脅情報產品:Enterprise Security Counter Threat Platform(SaaS)

Secureworks是Dell旗下公司,去年獨立上市。SecureWorks 是比較典型的MSSP(託管安全服務商),因此較為中立,整合了全球多家技術和方案為客戶提供服務,主要為客戶提供安全服務、安全與風險諮詢以及威脅情報等。為各種規模的客戶同時提供有針對性和全球威脅情報,以及高級或附加服務。戴爾全球威脅情報(Dell Global Threat Intelligence)提供三種基於訂閱的數據源:漏洞、威脅和諮詢,這是一個通用或者說非針對性威脅情報服務,它是基於從數千SecureWorks全球客戶收集的威脅數據。另一方面,戴爾針對性威脅情報(Dell Targeted Threat Intelligence)可以根據特定企業環境、品牌和管理人員進行定製化,以發現潛在威脅和構成潛在風險的威脅因素。SecureWorks附加服務包括攻擊者資料庫、CTU支持、惡意軟體分析和無邊界威脅監控。

4. Fireeye

國家:美國

網站:www.Fire.com

威脅情報產品:iSIGHT威脅情報訂閱、威脅情報服務、郵件安全(硬體)、終端安全、威脅分析平台

FireEye先後收購了Mandiant和iSight Partners,從威脅情報訂閱服務到Hunting,從硬體到軟體到數據,產品線豐富。威脅情報產品有:iSIGHT威脅情報訂閱、威脅情報服務、郵件安全(硬體)、終端安全、威脅分析平台。

FireEye Threat Intelligence是基於設備的自動化抵禦零日和其他高級網路攻擊的平台的一部分,小型、中型和大型企業客戶可以購買FireEye設備,再訂閱該威脅情報產品。該服務讓企業可以查看有關全球威脅的海量數據,它旨在幫助FireEye客戶識別威脅因素和網路及系統泄露事故的指標。該服務提供三種級別的威脅情報訂閱:動態、高級和高級+。

5. 360

國家:中國

網站:360.cn

威脅情報產品:天擎終端、天堤防火牆、天眼APT檢測

360提供免費個人安全服務多年,在國內個人終端市場有相當高的佔有率。近年來開始向企業安全轉型,算是企業安全新軍,銳氣十足。主打反APT產品,收購了網神和網康防火牆。360在APT領域持續投入,RSA大會期間發布了2016年度APT報告。

擁有多款企業安全產品,分為終端和網路兩個層面,軟硬體兼備。

6. 微步在線/ThreatBook

國家:中國

網站:Threatbook.cn

威脅情報產品:威脅情報訂閱服務、威脅分析平台和API、威脅情報平台(軟體部署)

微步是國內最早提供威脅情報服務的公司,發展勢頭迅猛,已於16年中完成A輪融資。客戶覆蓋金融、能源、互聯網等行業,也包含多家世界500強公司。微步旗下產品包括威脅情報訂閱服務、威脅情報平台、免費威脅分析平台。

微步在線產品成熟度高,RSA大會期間發布的威脅情報軟體平台可私有化部署,,較好地解決了威脅情報落地問題。

7. IBM Security

國家:美國

網站:www.ibm.com

威脅情報產品:X-Force情報社區、威脅情報服務(MSSP)、QRadar安全情報平台

IBM安全2015年的收入為20億美金,保守估計2016年收入25億美金,是美國安全業務收入增長最快的大公司公司之一。

X-Force是IBM基於SAAS的威脅情報平台。每天監控20B的安全事件來獲取匿名威脅資訊。

QRadar可以收集各種安全產品數據包括設備應用、網路流等海量數據進行智能分析,並進行優先順序排序。QRadar本身就是一個大數據平台,專門針對安全信息數據,比如日誌,應用日誌、設備日誌、操作系統日誌,包括網路流數據、漏洞的信息、資產的信息、防火牆配置信息等等都會進行收集,然後一起做關聯分析。IBM QRadar有集成的分析模型和關聯規則,通過關聯規則發現潛在威脅。

其威脅情報服務主要依託QRadar平台、安全服務和X-Force。

8. Anomali

國家:美國

網站:www.anomali.com

威脅情報產品: STAXX客戶端、Anomali企業版、威脅情報平台

Anomali原名ThreatStream。是國際威脅情報領域很有特色的廠商,發展迅猛。去年獲得了CIA(美國中央情報局)旗下In-Q-Tel的戰略投資,主要產品包括幫助企業匹配客戶日誌數據和威脅情報。

Anomali威脅情報平台(現在叫threatstream)是Anomali最早的產品,彙集第三方情報信息, ISAC和開源情報信息等。現在已經能和大多數主流安全設備相連,如SIEM,FW,終端等。

Anomali企業版是一種新型可擴展的,基於雲端的平台。解決了大量不相關IOCs導致傳統安全設備(SIEM, NGFW)負擔過重這一問題,通過讀取日誌尋找潛在IOCs,並將其與資料庫中威脅情報數據對比,選出合適的數據推送給設備。系統保存一年的日誌IOCs以方便分析比對。

Anomali 去年年底還發布了免費的STAXX工具以方便威脅情報傳送。STAXX沒有內置任何限制,企業可隨意配置饋送源。Anomali的目標是讓STAXX成為發現、訪問和管理威脅情報饋送最簡單最高效的方式。

9. Kaspersky

國家:俄羅斯

網站:www.kaspersky.com

威脅情報產品: 威脅情報訂閱服務

卡巴斯基以技術紮實著稱於世,目前主要業務依然圍繞殺毒軟體展開。其APT和威脅分析和研究在全球安全界佔據獨特的位置。現在已經可以檢測如下威脅:惡意鏈接、釣魚鏈接以及命令和控制URL鏈接,移動威脅並具備IP信譽數據,可以提供IP訂閱服務。提供的情報數據機器可讀,能和SIEM, Splunk, IBM Qrader等設備整合。

10. RiskIQ

國家:美國

網站:www.riskiq.com

威脅情報產品: PassiveTotal威脅分析平台、安全情報服務

RiskIQ成立於2009年,RiskIQ定位為數字風險監控廠商。致力於讓企業及組織客戶能夠訪問安全智能和應用程序,從而保護數字攻擊面、定位業務風險。客戶能夠隨時發現和處理惡意軟體、惡意廣告和惡意 App,降低網路、移動及社交工具的威脅。RiskIQ 通過全球代理網路每天持續掃描數以千萬計的網站,隨時向客戶報告異常情況。據悉美國前十大金融機構中有八家都適用RiskIQ追蹤監控企業web和移動應用資產。2015年收購Passive Total的威脅分析平台擴張自己的服務領域。

11. Recorded future

國家:美國

網站:www.recordedfuture.com

威脅情報產品: 提供多款開源情報產品,包括Cyber、DarkWeb、威脅監控等等

Recorded future全球最大的開源情報公司,核心技術是一套Web Intelligence Engine。提供多款開源情報產品,包括Cyber、DarkWeb、威脅監控等等 。Recorded Future提供免費的威脅情報日報,和豐富的SIEM及分析類產品的對接插件。

Web Intelligence Engine的工作原理基本是按照情報循環的步驟進行的:

i. 首先從全網獲取實時信息:包括開源數據、深網、暗網、Tor網站、論壇、社交網路等;

ii. 其次,提取和組織威脅信息:使用NLP(natural language processing)和機器學習技術組織重建威脅相關信息(作者,事件,目標和IOCs等),並且聲稱具備多語言提取技術,包括中文、英文、俄語、阿拉伯語、波斯語等。

iii. 最後使威脅信息相關聯並提供可指導行動的上下文信息。

12. ThreatConntect

國家:美國

網站:www.Threatconnect.com

威脅情報產品: 威脅情報平台(SaaS和軟體)

ThreatConnect是威脅情報代表性企業之一,著名的鑽石模型理論提出者。主要產品有威脅情報平台,包括基於SaaS版本的和軟體版本。以ThreatConnect威脅分析平台為核心,根據客戶群體的不同,將平台分為四種:TC Identify, TC Manage, TC Analyze和TC Complete。

*本文作者:飛行鴕鳥,轉載請註明來自FreeBuf.COM

推薦閱讀:

通過DNS響應欺騙來繞過域控制驗證
2017年度最不安全密碼報告出爐,你中了幾個?
用彙編語言(ARM 32位)編寫TCP Bind Shell的菜鳥教程
這個名叫「潮蟲」的黑客團隊有點不一樣 囊括多國外交信息
NO.2 第一個月 我感覺我即將成為一名腳本小子

TAG:威胁 | 互联网 | 信息安全 |