选型指南 | 全球威胁情报厂商如何选择？ – 作者:yudun2019

众所周知，企业信息安全建立在对风险把控的基础上，而影响风险最主要的两个因素是威胁和脆弱性。

今天我们就来聊一聊，为了便于威胁信息的共享而标准化的内容——威胁情报。

关于威胁情报Threat Intelligence，Gartner给出的定义是：“关于已出现或新的资产威胁和危险的、基于证据的信息，包括情景、机制、指标、影响和可行建议，可用来通知企业针对相关威胁或危险做出决策。”

此外，在国家标准GB/T 36643-2018《信息安全技术 网络安全威胁信息格式规范》的引言中，描述了威胁情报标准化和规范化的重要性：

“传统的网络安全防护方案仅仅依靠各个组织独立实施垂直的防护机制，在应对这些复杂网络攻击时显得越来越低效，亟待采取新的技术手段来提升整体网络安全防护能力。

网络安全威胁信息共享和利用是提升整体网络安全防护效率的重要措施，旨在采用多种技术手段，通过采集大规模、多渠道的碎片式攻击或异常数据，集中地进行深度融合、归并和分析，形成与网络安全防护有关的威胁信息线索，并在此基础上进行主动、协同式的网络安全威胁预警、检测和响应，以降低网络安全威胁的防护成本，并提升整体的网络安全防护效率。

……

规范网络安全威胁信息的格式和交换方式是实现网络安全威胁信息共享和利用的前提和基础，因此它在推动网络安全威胁信息技术发展和产业化应用方面具有重要意义。”

可见，信息安全威胁情报的产生是市场所需，形势所迫。

让我们紧随市场的步伐，查看国内外威胁情报企业的市场份额和相关产品，了解用户的想法和最终采用这些产品的原因。

我们在Gartner的Peerinsights中键入关键字“Threat Intelligence”，即可检索国际市场上威胁情报企业和产品的评论数量。对于每款产品，都能够查看到各项指标的评分和摘要，还包含了用户在使用该产品时的体验和评价。然而市场变化瞬息万千，且企业架构和规模亦各不相同，没有一款产品能够完美适应所有用户需求，由于文章篇幅有限，所以本文仅对去年12个月内评论数前列的产品进行描述，目的是抛砖引玉，让读者对国际市场的威胁情报有所了解。

▲截止至2020年11月30日”Gartner Security Threat Intelligence Products and Services”得分较高产品

Kaspersky Threat Intelligence 

简介：

卡巴斯基的威胁情报服务使用户能够获得降低威胁所需的情报，这些情报由卡巴斯基全球领先的研究人员和分析师团队提供。

卡巴斯基在网络安全各个方面的知识、经验和深度情报使其成为世界主要执法和政府机构的可信赖的合作伙伴，包括国际刑警组织和领先的反恐中心。今天，用户可以在他的组织中利用这一威胁情报。

卡巴斯基威胁情报服务包括:

• Threat Data Feeds

• CyberTrace

• APT Intelligence Reporting

• Digital Footprint Intelligence

• Threat Lookup

• Cloud Sandbox

• ICS Threat Intelligence Reporting

架构图：

▲实施卡巴斯基外部威胁情报

功能特点：

• 多源威胁情报接入管理

为用户威胁情报接入和管理提供了有效手段，支持商业情报和开源情报的接入，同时也集成了部分经过筛选的开源情报源供用户选择，丰富用户的威胁情报数据。同时利用威胁情报平台可以实现多个威胁情报源的统一管理和自动情报更新，在接入完成后无需用户再进行干预和维护。

• 威胁情报查询

在情报接入和落地的基础之上，为用户提供了针对威胁指标的实时调查和监控功能，包括针对IP、URL、domain、hash以及安全漏洞信息的查询和检索，帮助用户了解威胁指标的详细信息以辅助其管理决策，同时也提供了扩展查询的API接口，帮助用户进一步追踪云端的威胁指标信息。

• 威胁情报自动聚合分发

通过情报的聚合来达到情报信息的校对、去重、信息丰富，以提升威胁情报质量，减少在安全威胁发现过程中的漏报和误报。

• APT武器库

收集和整理公开的APT情报，帮助客户及时了解最新的APT攻击组织及其采用的战术、技术和流程（TTP）。

• 钓鱼网站监控预警

利用威胁情报对用户的互联网域名、网站等信息进行实时监控和追踪，同时利用平台本地的算法对用户的网站资产进行专门的钓鱼网站的发现，对疑似网站自动判断相似度并且取证。

• 资产统一监控管理

为用户提供了针对其互联网资产的统一管理和监控功能，结合威胁情报实时发现用户失陷的互联网资产，包括风险类型、存在的安全漏洞以及被钓鱼仿冒的情况。

用户评价：

分析过去12个月的用户评价，总体参与评价的用户数量为31名，其中29名给了5星评价，剩余2名给了4星评价。在这31名用户中，前3大行业分别是：服务行业（9名）、能源和公共事业（7名）和金融行业（6名）。

从用户的评价中，购买卡巴斯基威胁情报的考虑因素有：

• 改进合规和风险管理

• 成本管理

• 推动创新

• 改进业务流程结果

• 缩短上市时间

• 提高内部/运营效率

购买卡巴斯基威胁情报的关键的决定性因素有：

• 定价（总拥有成本）

• 产品功能

• 行业专业知识

• 符合企业的技术标准

• 良好的经验

点评：

卡巴斯基作为一家老牌安全企业，凭借其雄厚的信息安全技术能力和丰富的行业经验而全球闻名，这也使得卡巴斯基在威胁情报方面具有巨大的优势和竞争力。

Threat Intelligence Platform (TIP) 

简介：

IntSights 成立于 2015 年，由以色列国防军的一个精锐情报单位的前成员创建。他们对威胁参与者的想法、协作和行动有深刻的理解，并构建了一个解决方案，使公司能够利用外部情报来改变他们保护自己的方式。

如今，IntSights受到许多全球大公司的信任，能够检测、分析和消除明网、深网和暗网的网络威胁。IntSights具有专业的收集引擎、专家分析团队和基于资产的情报方法，为外部威胁防护提供了完整的解决方案。

IntSights威胁情报平台为单一集中的可视化管理平台，在他们官方网站的宣传中可以看到一段话，翻译过来就是：“安全团队受到来自多个来源和跨多个平台的网络威胁警报的‘轰炸’。了解IntSights威胁情报平台（TIP）如何通过综合威胁数据并提供在上下文中经过验证的警报（所有这些都在一个单一的综合平台中）使用户实施其威胁情报工作。”

可以看出IntSights也是通过关联内部信息安全数据与外部威胁情报数据，然后在统一的信息展示平台（TIP）给到用户集合的信息反馈。

IntSights对用户展示TIP的功能和优势有：

• 自动化和集中式的威胁信息的收集和易于展示的仪表板

• 丰富的威胁情报信息和易用性

• 可视化的威胁数据，能够验证威胁的范围和风险

• 强大的（Powerful）定制集成化，使用户能够最大化的实施安全堆栈

架构图：

IntSights在产品TIP 的Ebook手册中并未展现具体的部署架构，但不难推测，TIP的架构极有可能与SIEM的方式相似，是一个收集数据、关联数据和对外展示信息的单一集中的可视化管理平台。

功能特点：

• 数据集中化（Aggregate & Centralize）

将所有威胁数据源自动化聚合和组织到一个易于使用的仪表板中，可实现单一窗口的可视化和实时地上传下载数据流量，可对需要调查和补救工作的事件进行直观排名。（能够通过点击“关键点critical dots”以实现智能优先级划分）

• 丰富及可视化的内容（Enrich & Visualize）

通过将原始指标转化为可行的、丰富的情报来简化运营。将新的IOC（Indicator of compromise，指示指标）与企业的独特数字资产相关联，以更好地了解潜在影响。（能够评估采取行动的风险）

• 数据分析和调查（Analyze & Investigate）

即时的数据可视化，快速分析新的活动如何与已知的威胁情报建立关联，协助企业进行深入的威胁调查。（通过使用交互式调查模块）

• 策略整合和主动阻拦（Integrate & Block）

能够在TIP中直接管理IOC和其他威胁。自动与现有的安全系统和设备集成。（主动监控和阻止威胁）

用户评价：

分析过去12个月的用户评价，总体参与评价的用户数量为18名，其中16名给了5星评价，剩余2名给了4星评价。在这18名用户中，前3大行业分别是：制造业（5名）、金融行业（3名）和能源与公共事业（2名）。

从用户的评价中，购买IntSights威胁情报的考虑因素有：

• 推动创新

• 改进业务流程结果

• 加强决策

• 改进合规和风险管理

• 推动收入增长

• 成本管理

• 提高业务流程敏捷性

• 提高内部运营效率

• 改善客户关系/服务

购买IntSights威胁情报的关键的决定性因素有：

• 丰富的行业专业知识

• 预期性能和可扩展性

• 项目实施方法

• 定价（总拥有成本）

• 产品功能

• 集成解决方案

• 了解业务需求

点评：

不得不说以色列在情报方面还是有一手的，且IntSights市场反应也相当不错。其产品TIP宣传能够自动化集成其它安全软件，但可能是对国外市场的部分主流安全软件做了相应的数据对接。无论怎么说，这是一个值得关注的企业！

ThreatFusion 

简介：

SOCRadar公司成立于2018年，公司位于美国弗吉尼亚费尔法克斯（Virginia Fairfax）。不同于名声在外的卡巴斯基，SOCRadar公司规模目前只有不到50人，是一支年轻的团队。SOCRadar公司的主要产品就是威胁情报，其中以ThreatFusion最具代表。

ThreatFusion提供了一个由大数据驱动的威胁调查模块，以帮助威胁情报团队搜索更深入的数据上下文，协助实时威胁研究和分析。ThreatFusion威胁情报工具从大量数据源（表网、暗网和深网的论坛）中获取数据，ThreatFusion威胁情报模块还包括可从多种API来源获取的其它情报，以提供针对行业的潜在威胁源和威胁目标，为企业的执行决策保驾护航。

ThreatFusion威胁情报包括：

• Vulnerability Intelligence

• Global Phishing Radar

• Threat Actors Monitoring

• CyberSec News Monitoring

架构图：

▲ThreatFusion威胁情报的工作模式

由上图可知，ThreatFusion威胁情报是基于云的平台架构模式。ThreatFusion可提供有关各种网络威胁的API就绪实时信息，以此满足客户关于威胁情报的需求。

此外，在ThreatFusion的白皮书中提到：超厉害的（Superior）第三方集成——与SIEM、SOAR和票据平台的平滑集成，可加快事件响应和调查的速度。

功能特点：

• 暗网可视化（Visibility into dark web）

获得深度且可行的威胁情报，以分析当前和将来的威胁。

• 快速调查（Accelerate investigation）

从互联网最黑暗的部分获得快速、相关和准确的结果。

• 快速响应（Respond quicker）

通过主动对抗（Combat and mitigate）来打击和缓解已识别的威胁。

• APT标识（Shed light on APT actors）

深入了解国家赞助的 APT 团体的最新活动。

• 趋势的可视化（Trends visualization）

访问每周的漏洞趋势以及自动聚合、可自定义的新闻。

用户评价：

分析过去12个月的用户评价，总体参与评价的用户数量为15名，其中14名给了5星评价，剩余1名给了4星评价。在这15名用户中，前3大行业分别是：金融行业（6名）、零售业（3名）和能源与公共事业（1名）。

从用户的评价中，购买SOCRadar威胁情报的考虑因素有：

• 提高内部运营效率

• 提高业务流程敏捷性

• 加强决策

• 改善客户关系/服务

购买SOCRadar威胁情报的关键的决定性因素有：

• 功能

• 定价（总拥有成本）

• 可行性和财务实力

• 行业专业知识

• 积极反馈

• RFP 响应质量和功能呈现

点评：

SOCRadar在主页就提供了社区版本的链接，可供企业试用下载。且据用户反馈：“自免费试用的第一天起，SOCRadar 团队就致力于满足我们的具体要求。与他们的沟通是开放的，充满信任的。”SOCRadar以良好的服务、信任的合作关系、灵活的支持、定制的情报等吸引了不少用户，与SOCRadar合作的用户相对多为中小型企业，选择SOCRadar不仅仅因为其价格优势，也与团队氛围有很大关系。但由于是新生团队，在国内市场上，SOCRadar知名度相对较低。

看完了国际市场的威胁情报，让我们回过头来看中国市场的威胁情报环境。目前在Peerinsights中无国内威胁情报的相关收录，最新的权威统计数据是IDC《2020上半年中国安全分析和威胁情报市场份额》，其中产品范围包括了SIEM/SOC软件和威胁情报。由于产品范围不仅局限于威胁情报，所以该市场份额图不能完全反映出当前国内市场上威胁情报的态势，仅供参考。

▲IDC发布2020上半年中国安全分析和威胁情报市场份额图

就国内威胁情报总体看来，体现出了“百花齐放、百家争鸣”的特征。市场份额占比最大的奇安信也仅仅是占了10%，且TOP 5总体占据了40%的市场份额，剩余60%由其它产品瓜分，可以看出未来国内市场上威胁情报的竞争和舞台都很大。

“IDC认为，2020年上半年，全球ICT市场遭受到新冠肺炎疫情的剧烈冲击。但随着中国在第二季度有效扼制了疫情发展，并采取多项有效措施帮助企业全面复工复产，中国IT安全市场也快速扭转颓势，向好发展。据其预测，随着中国疫情得到稳定有效的控制，本地化场景的安全市场需求也将逐渐回暖，并将与云安全市场共同推动中国IT安全软件市场实现2020全年的快速发展。”

下文对上图中提及的威胁情报进行了一个简单的罗列（排名不分先后）。由于这些安全厂商都具有一定的知名度，且每个用户和企业都对这些安全厂商有自己的偏好和理解，遂在下文中不对这些公司进行详细的介绍，仅列举出他们的威胁情报的网页链接，方便读者自行查看。

奇安信威胁情报中心 

地址：https://ti.qianxin.com/

安恒威胁情报中心 

地址：https://ti.dbappsecurity.com.cn/

启明星辰威胁情报中心VenusEye 

地址：https://www.venuseye.com.cn/

深信服安全感知平台SIP 

地址：https://www.sangfor.com.cn/product/net-safe-bigdata-sis.html

*暂无检索到深信服的威胁情报展示窗口，威胁情报被集成到安全感知平台中

绿盟威胁情报中心NT

地址：https://nti.nsfocus.com/

情报查询入口：https://ti.nsfocus.com/

除了IDC的TOP5，微步在线也有对外的情报查询入口：

微步在线情报社区 

地址：https://x.threatbook.cn/

关于更多的国内市场的威胁情报厂商，可参考《CCSP 2020中国网络安全产业全景图》2020年11月第一版，由于厂商众多，在文章中就不一一列举，可通过Freebuf网站中访问查看。以下是关于“威胁情报”部分的相关截图：

▲CCSP 2020中国网络安全产业全景图——威胁情报

本文总结：

威胁情报能够为企业的安全团队提供及时识别和应对已知攻击的能力，提供快速反应和高效处理的建议和方法，让企业拥有快速应对和响应安全事件的能力。情报即为信息，信息不一定是情报，把握好情报的利用，会对企业的业务与行业安全产生极大的推进作用。

此外，威胁情报产品层出不穷，在选择威胁情报厂商时，不仅需要考虑到厂商的专业程度和安全实力，还需要考虑到与企业业务的一致性、产品与企业的兼容性、产品的可扩展性、易用性、数据分析和检索能力、威胁数据源和威胁情报的数量和更新速度、是否可定制化的威胁情报服务、是否提供快速和专业的及时响应和其它因素。希望读者能够根据自己企业的实际情况，负责任地选用一款或多款威胁情报产品，为企业带来预期的投资回报。

来源：freebuf.com 2021-04-19 14:17:13 by: yudun2019