在线阅读杂志

    2018年05月20日

    第10期 总第484期

    封面文章
    “网银”殊途同归路
    金融服务似乎正在以你想要的方式前行。 相应的,金融的生态及格局也在发生重大变化。技术的推动让金融的数字化转型愈发明显,传统金融机构“离柜率”同互联网银行业务激增形成强烈的对比。[详细]
    精彩推荐
  • 从RSAC2017看威胁情报如何落地

    时间:2017-02-15    来源:至顶网    作者: 我要评论() 字号:T | T

  • 年度安全峰会RSA2017已于美国时间2月13日盛大开幕。从最近三年RSA所有演讲的主题词热度可以看出,“Threat”和“Intelligence”都是大家关注的重点。威胁情报厂商也如雨后春笋般出现在网络安全领域,除了新起之秀外,也有不少传统安全厂商将业务扩展到威胁情报领域,纷纷争相推出自己的威胁情报产品。威胁情报”从理念到产品再到客户投入使用只用了短短几年时间,这些嗅觉敏锐的企业是如何占得市场先机的呢?小编从本届RSA大会上选出几家有代表性的威胁情报厂商,介绍下他们是如何将理念付诸实际的,排名不分先后。

    从RSAC2017看威胁情报如何落地

    1.AlienVault

    国家:美国

    网站:www.alienvault.com

    威胁情报产品:OTX开源威胁情报社区、USM安全平台(软件部署)

    AlienVault现处于Pre-IPO阶段,发展势头良好。旗下产品OTX是全球最大的免费威胁情报社区,每天能够提供超过400,000个威胁情报指标。现在有来自全球140个国家的4万7千名参与者,且用户活跃度很高。社区改变情报的单向发布模式,让订阅者可以和研究人员可以合作沟通,提高情报质量。

    另一产品USM统一安全管理平台(Unified Security Management)是通过单一平台进行企业整体安全业务管理。声称能够从网络中的任何地方发现威胁,而不仅仅通过防火墙,且能够将发现的威胁以KILL CHAIN的不同阶段进行归类。USM能够提供:

    ·统一、协调的安全监控;

    ·简单安全事件管理和报告;

    ·持续的威胁情报信息;

    ·快速部署;

    ·集成多项安全功能。

    从RSAC2017看威胁情报如何落地

    2.Crowdstrike

    国家:美国

    网站:www.crowdstrike.com

    威胁情报产品:Falcon终端EDR、Falcon威胁情报订阅和Falcon平台

    CrowdStrike由两名McAfee前员工于2011年创立。该公司提供专注于检测和阻止定向攻击,特色是主动防御。帮助政府和企业发现并阻止正在发生的黑客攻击。客户超过170个国家,全球十大企业中有三家,全球十大金融机构有五家使用crowdstrike的服务。其产品Falcon系统是一个主动防御的大数据云平台。

    ·Falcon终端EDR

    Falcon终端检测和响应服务方案能够解决Silent failure的问题。(Silent failure:威胁发生到警报响起中间的这段时间)。声称只需5秒调查就能发现历史和正在进行的终端行为;结合威胁情报能力,具备更全面的视角和战术、技术的事件响应能力。

    部署简单,无需硬件和存储资源。

    ·Falcon威胁情报订阅(Falcon Threat Intelligence)

    能够获取及时准确的情报信息。支持多种输出格式:yara, snort, CEF等。提供API方式获取情报信息,包括IOC。已分析出了超过70个攻击者的技术、战术和规程信息(TTPs)和攻击团伙信息。提供有API和 Feeds,可以轻松和现存基础设施对接。

    目前已联合以下公司加入威胁情报交换计划:Agiliance, Centripetal Networks, Check Point Software Technologies, Ltd., General Dynamics Fidelis Cybersecurity Solutions, LogRhythm, ThreatQuotient, and ThreatStream.

    ·Falcon平台

    基于大数据分析的主动防御平台,可监控企业的数据,侦测零日威胁,并防止定向攻击造成的破坏。平台还可以识别恶意软件,学习攻击者特征,然后形成一套响应措施,提高对方攻击的风险和代价。

    从RSAC2017看威胁情报如何落地

    3.Secureworks

    国家:美国

    网站:www.secureworks.com

    威胁情报产品:Enterprise Security Counter Threat Platform(SaaS)

    Secureworks是Dell旗下公司,去年独立上市。SecureWorks 是比较典型的MSSP(托管安全服务商),因此较为中立,整合了全球多家技术和方案为客户提供服务,主要为客户提供安全服务、安全与风险咨询以及威胁情报等。为各种规模的客户同时提供有针对性和全球威胁情报,以及高级或附加服务。戴尔全球威胁情报(Dell Global Threat Intelligence)提供三种基于订阅的数据源:漏洞、威胁和咨询,这是一个通用或者说非针对性威胁情报服务,它是基于从数千SecureWorks全球客户收集的威胁数据。另一方面,戴尔针对性威胁情报(Dell Targeted Threat Intelligence)可以根据特定企业环境、品牌和管理人员进行定制化,以发现潜在威胁和构成潜在风险的威胁因素。SecureWorks附加服务包括攻击者数据库、CTU支持、恶意软件分析和无边界威胁监控。

    从RSAC2017看威胁情报如何落地

    4.Fireeye

    国家:美国

    网站:www.Fire.com

    威胁情报产品:iSIGHT威胁情报订阅、威胁情报服务、邮件安全(硬件)、终端安全、威胁分析平台

    FireEye先后收购了Mandiant和iSight Partners,从威胁情报订阅服务到Hunting,从硬件到软件到数据,产品线丰富。威胁情报产品有:iSIGHT威胁情报订阅、威胁情报服务、邮件安全(硬件)、终端安全、威胁分析平台。

    FireEye Threat Intelligence是基于设备的自动化抵御零日和其他高级网络攻击的平台的一部分,小型、中型和大型企业客户可以购买FireEye设备,再订阅该威胁情报产品。该服务让企业可以查看有关全球威胁的海量数据,它旨在帮助FireEye客户识别威胁因素和网络及系统泄露事故的指标。该服务提供三种级别的威胁情报订阅:动态、高级和高级+。

    从RSAC2017看威胁情报如何落地

    5.360

    国家:中国

    网站:360.cn

    威胁情报产品:天擎终端、天堤防火墙、天眼APT检测

    360提供免费个人安全服务多年,在国内个人终端市场有相当高的占有率。近年来开始向企业安全转型,算是企业安全新军,锐气十足。主打反APT产品,收购了网神和网康防火墙。360在APT领域持续投入,RSA大会期间发布了2016年度APT报告。

    拥有多款企业安全产品,分为终端和网络两个层面,软硬件兼备。

    从RSAC2017看威胁情报如何落地

    6.微步在线/ThreatBook

    国家:中国

    网站:Threatbook.cn

    威胁情报产品:威胁情报订阅服务、威胁分析平台和API、威胁情报平台(软件部署)

    微步是国内最早提供威胁情报服务的公司,发展势头迅猛,已于16年中完成A轮融资。客户覆盖金融、能源、互联网等行业,也包含多家世界500强公司。微步旗下产品包括威胁情报订阅服务、威胁情报平台、免费威胁分析平台。

    微步在线产品成熟度高,RSA大会期间发布的威胁情报软件平台可私有化部署,较好地解决了威胁情报落地问题。

    从RSAC2017看威胁情报如何落地

    7.IBM Security

    国家:美国

    网站:www.ibm.com

    威胁情报产品:X-Force情报社区、威胁情报服务(MSSP)、QRadar安全情报平台

    IBM安全2015年的收入为20亿美金,保守估计2016年收入25亿美金,是美国安全业务收入增长最快的大公司公司之一。

    X-Force是IBM基于SAAS的威胁情报平台。每天监控20B的安全事件来获取匿名威胁资讯。

    QRadar可以收集各种安全产品数据包括设备应用、网络流等海量数据进行智能分析,并进行优先级排序。QRadar本身就是一个大数据平台,专门针对安全信息数据,比如日志,应用日志、设备日志、操作系统日志,包括网络流数据、漏洞的信息、资产的信息、防火墙配置信息等等都会进行收集,然后一起做关联分析。IBM QRadar有集成的分析模型和关联规则,通过关联规则发现潜在威胁。

    其威胁情报服务主要依托QRadar平台、安全服务和X-Force。

    从RSAC2017看威胁情报如何落地

    8.Anomali

    国家:美国

    网站:www.anomali.com

    威胁情报产品: STAXX客户端、Anomali企业版、威胁情报平台

    Anomali原名ThreatStream。是国际威胁情报领域很有特色的厂商,发展迅猛。去年获得了CIA(美国中央情报局)旗下In-Q-Tel的战略投资,主要产品包括帮助企业匹配客户日志数据和威胁情报。

    Anomali威胁情报平台(现在叫threatstream)是Anomali最早的产品,汇集第三方情报信息, ISAC和开源情报信息等。现在已经能和大多数主流安全设备相连,如SIEM,FW,终端等。

    Anomali企业版是一种新型可扩展的,基于云端的平台。解决了大量不相关IOCs导致传统安全设备(SIEM, NGFW)负担过重这一问题,通过读取日志寻找潜在IOCs,并将其与数据库中威胁情报数据对比,选出合适的数据推送给设备。系统保存一年的日志IOCs以方便分析比对。

    Anomali 去年年底还发布了免费的STAXX工具以方便威胁情报传送。STAXX没有内置任何限制,企业可随意配置馈送源。Anomali的目标是让STAXX成为发现、访问和管理威胁情报馈送最简单最高效的方式。

    从RSAC2017看威胁情报如何落地

    9.Kaspersky

    国家:俄罗斯

    网站:www.kaspersky.com

    威胁情报产品: 威胁情报订阅服务

    卡巴斯基以技术扎实著称于世,目前主要业务依然围绕杀毒软件展开。其APT和威胁分析和研究在全球安全界占据独特的位置。现在已经可以检测如下威胁:恶意链接、钓鱼链接以及命令和控制URL链接,移动威胁并具备IP信誉数据,可以提供IP订阅服务。提供的情报数据机器可读,能和SIEM, Splunk, IBM Qrader等设备整合。

    从RSAC2017看威胁情报如何落地

    10.RiskIQ

    国家:美国

    网站:www.riskiq.com

    威胁情报产品: PassiveTotal威胁分析平台、安全情报服务

    RiskIQ成立于2009年,RiskIQ定位为数字风险监控厂商。致力于让企业及组织客户能够访问安全智能和应用程序,从而保护数字攻击面、定位业务风险。客户能够随时发现和处理恶意软件、恶意广告和恶意 App,降低网络、移动及社交工具的威胁。RiskIQ 通过全球代理网络每天持续扫描数以千万计的网站,随时向客户报告异常情况。据悉美国前十大金融机构中有八家都适用RiskIQ追踪监控企业web和移动应用资产。2015年收购Passive Total的威胁分析平台扩张自己的服务领域。

    从RSAC2017看威胁情报如何落地

    11.Recorded future

    国家:美国

    网站:www.recordedfuture.com

    威胁情报产品: 提供多款开源情报产品,包括Cyber、DarkWeb、威胁监控等等

    Recorded future全球最大的开源情报公司,核心技术是一套Web Intelligence Engine。提供多款开源情报产品,包括Cyber、DarkWeb、威胁监控等等 。Recorded Future提供免费的威胁情报日报,和丰富的SIEM及分析类产品的对接插件。

    Web Intelligence Engine的工作原理基本是按照情报循环的步骤进行的:

    i.首先从全网获取实时信息:包括开源数据、深网、暗网、Tor网站、论坛、社交网络等;

    ii.其次,提取和组织威胁信息:使用NLP(natural language processing)和机器学习技术组织重建威胁相关信息(作者,事件,目标和IOCs等),并且声称具备多语言提取技术,包括中文、英文、俄语、阿拉伯语、波斯语等。

    iii.最后使威胁信息相关联并提供可指导行动的上下文信息。

    从RSAC2017看威胁情报如何落地

    12.ThreatConntect

    国家:美国

    网站:www.Threatconnect.com

    威胁情报产品: 威胁情报平台(SaaS和软件)

    ThreatConnect是威胁情报代表性企业之一,著名的钻石模型理论提出者。主要产品有威胁情报平台,包括基于SaaS版本的和软件版本。以ThreatConnect威胁分析平台为核心,根据客户群体的不同,将平台分为四种:TC Identify, TC Manage, TC Analyze和TC Complete。

    从RSAC2017看威胁情报如何落地


     

  • 加入收藏
  • [ 作者: ]
  • 分享到: 更多
    标签:
  • 相关推荐
    无相关信息
  • 最新消息
    · 从RSAC2017看威胁情报如何落地2017-02-15
    · 苹果股价创新高 市值逼近7000亿美元2017-02-15
    · 云狐发布智能工装服务中小微企业2017-02-14
    · Centric 软件在上海开设新办公室2017-02-14
    · RSA2017看点: 微步在线发布威胁情报平台2017-02-14
      已有条评论,查看更多评伦发表评论
  • 用户名:  密码:              匿名发表  | 注册会员
  • 网友评论仅供网友表达个人看法,并不表明本站同意其观点或证实其描述