威脅情報簡介及市場淺析

前言

如今，多數IT執行者都已經意識到，情報是針對高級網路攻擊的有力武器。根據Gartner分析師Rob McMillan和Khusbu Pratap的說法：

到2018年，全球60%的大型企業將使用商用威脅情報服務，幫助他們制定安全策略。

但是，你真的知道威脅情報是什麼么？網路威脅情報服務市場當然仍然相對年輕，而且市場上有哪些可供選擇的方案也不是特別明朗。

本文將就網路威脅情報的定義、市場行情、廠商概況等信息進行匯總整合，以期增進讀者對威脅情報的了解。

1什麼是威脅情報？

1.1 為什麼會有威脅情報？

如今，新一代的攻擊者常常向企業和組織發起針對性的網路攻擊。這樣的網路威脅，用術語來說就是「高級持續性攻擊」（Daly (2009)）。這種針對特定企業或行業的攻擊，一般經過了精心的策劃，攻擊方法錯綜複雜，常導致嚴重的數據泄露或者破壞。

最近幾個備受關注的案例包括：網路犯罪者向零售商、銀行和其他組織發起針對性攻擊，以獲得經濟利益；「激進黑客」（hacktivist）和國家背景的黑客攻擊媒體、金融組織、政府機構，以實現政治目的。其他的案例包括：私營或國營企業盜取國防企業及製造商的工程和業務流程信息；懂金融的黑客攻擊醫療和製藥公司，來獲取影響股票價格的內部信息。

這些黑客不斷改變現有的攻擊方式，開發新的方法；單獨依賴防火牆、入侵防禦系統和反病毒軟體，無法阻止這些黑客的攻擊。這類攻擊無法通過惡意程序簽名或者過去的攻擊技術報告進行檢測。而且，實際上，大多數企業面臨的現狀是收到的原始威脅數據過多：有太多警報，太多漏洞預警和補丁，太多關於各類惡意軟體、釣魚攻擊和DDoS攻擊的報告。

急速增長的針對性網路攻擊直接催生了威脅情報服務。或者用現在流行的一句話來概括即：

攻防不對等——而威脅情報的出現就是為了儘可能消除這種不對等。

1.2 威脅情報的定義

行業內關於「威脅情報」的討論很多，但是這個詞的定義卻各有各的說法，但大多數文獻中援引的是Gartner在2014年發表的《安全威脅情報服務市場指南》（Market Guide for Security Threat Intelligence Service）中提出的定義，所以我們也來看看Gartner的威脅情報定義，即：

「威脅情報是關於IT或信息資產所面臨的現有或潛在威脅的循證知識，包括情境、機制、指標、推論與可行建議，這些知識可為威脅響應提供決策依據。」

如果認為Gartner為威脅情報所下的定義比較讓人費解，我們可以參考Jon Friedman和Mark Bouchard在2015年發表的《網路威脅情報權威指南》（Definitive Guide to Cyber Threat Intelligence）中對威脅情報所下的定義：

「對敵方的情報，及其動機、企圖和方法進行收集、分析和傳播，幫助各個層面的安全和業務成員保護企業關鍵資產。」

信息vs情報

威脅情報與普通的威脅數據源有什麼差別？

darkreading

對比了傳統的信息與情報，可以幫助我們理解情報的特點：

iSight Partners將威脅信息服務分為三種不同的階段：

簽名與信譽源

，

威脅數據源

和

網路威脅情報

。

簽名與信譽源

，一般指的是惡意程序「簽名」（文件哈希）、URL信譽數據和入侵指標，有時也包括一些基本的數據（例如「今日10大惡意程序威脅」）。威脅數據源的主要價值在於提升下一代防火牆（NGFW）、入侵防禦系統（IPS）、安全網關（SWG）、反惡意程序和反垃圾郵件包以及其他技術的有效性。

簽名與信譽源是縱深防禦策略的其中一面，但這類服務存局限性。簽名與信譽源能夠阻擋多數攻擊，但卻無法阻擋沒有簽名的針對性攻擊。簽名與信譽源針對個體威脅指標提供數據，卻無法提供上下文，無法幫助企業識別，企業自身、企業員工或者客戶是否已經成為攻擊目標。大量的簽名和信譽分值，也會讓SIEM系統和防火牆產生大量告警，而如此大量的數據安全團隊是無法評估的。

威脅數據源

，對常見惡意程序和攻擊活動的波及範圍、源頭和目標進行統計分析。某些安全研究團隊針對特定惡意程序發布的攻擊解析，或者對高級、多階段攻擊的攻擊順序觀察，都屬於此類。威脅報告對於安全管理平台（SOC）和應急響應團隊（IR team）是很有價值的，能夠幫助他們分辨攻擊模式。

但是大多數「威脅實驗室」所作的分析都有明顯的缺陷。數據收集是被動的（「我們在防火牆和網路感測器上看到了什麼？」），經常與該供應商客戶群的地理位置和行業情形有關。這類分析是後顧型的（「過去六個月我們在網路攻擊中觀察到了什麼」）。這類分析無法用於識別黑客的新策略和技術。

威脅情報

包含了前兩者的基礎數據，但同時在幾個重點方面作了提升，包括在全球範圍內收集及分析活躍黑客的信息和技術信息，也就是說持續監控黑客團體和地下站點，了解網路犯罪者和激進黑客共享的信息、技術、工具和基礎設施。此類服務還要求其團隊擁有多樣化的語言能力和文化背景，以便理解全球各地黑客的動機和關係。

另外，威脅情報以對手為重點，具有前瞻性，針對攻擊者及其戰術、技術與程序（TTP）提供豐富的上下文數據。數據可能包括不同犯罪者的動機與目標，針對的漏洞，使用的域、惡意程序和社工方式，攻擊活動的結構及其變化，以及黑客規避現有安全技術的技巧。

針對攻擊方的威脅情報應該包含的要點包括了：

- 攻擊者身份：威脅情報需要能夠幫助企業將攻擊/惡意活動最終溯源至相應組織（網路犯罪團體、黑客、政府/國家機構等）

- 攻擊的原因：了解地方動機，以及他們會在攻擊中投入多少精力（APT或僅是投機型攻擊），及其針對性有多強等

- 攻擊目的：了解攻擊者的目的，對於企業和組織基於資產重要性調整響應優先順序也是有意義的

- 具體是怎麼做的：也就是所謂的TTP（Tatics策略、Technique技術和Procedure程序），這其中也包含了攻擊者所用的工具、基礎設施等

- 攻擊者的位置：結合地方所在國家，以及其地緣政治狀況，自然能夠幫助企業和組織更好地理解地方情況

- 如何組織情報：包括IOC一類的技術指標（比如IP地址、哈希值等）提供的信息可用來更準確地檢測和標記惡意行為

- 如何緩解攻擊：企業可用以保護自身的信息

威脅情報針對不同客戶進行個性化定製。真正的威脅情報服務會收集每個客戶的環境數據和情報要求，針對客戶企業所處行業、技術和特定環境作出分析。定製化的信息能夠給企業提供充足的上下文信息，企業可依據自身的特定需求和風險狀況，來設定優先順序、作出最佳決策，而不是根據整個行業的普遍情況。

1.3 威脅情報的部署

Gartner認為，情報是過程的產物，而非獨立數據點的合集。Gartner刻畫了

威脅情報的生命周期

：

其中各項具體含義如下：

定向：定義目標並完善

收集：從多種開放或封閉的源收集數據；電子的、人工的

處理：如有需要，翻譯；進行可靠性評估；核對多個源

分析：判斷此信息的意義；評估信息的重要性；推薦相應措施

傳遞：將情報傳遞給客戶

反饋：依照需求調整

將威脅情報和內部信息相關聯，企業或組織對於攻擊會有更清晰的認識，也能夠對威脅進行事先防禦。那麼這些威脅情報究竟具體是怎麼應用到安全策略中的呢？

一般來說，基於受眾的差異，威脅情報包含兩個不同的層面。第一種威脅情報是「戰略層面」的，也就是供人閱讀的。這類威脅情報不需要非常技術，主要為各類高管準備（如CEO、COO、CTO等），讓他們能夠了解威脅對於業務連續性的影響，幫助他們做出正確的決策。這類威脅情報的典型呈現方式就是報告。

另一類是「可操作層面」的，或者說是可機讀的數據——安全設備能夠利用這些數據來加固安全性，比如上面提到SIEM和威脅情報的配合。這些數據很多是XML格式化過的，易於處理。所以說威脅情報本身對於企業內部各個層面的人而言都是有意義的，包括SOC（安全運營中心）分析師、事件響應團隊，甚至到做出決策的董事會。

威脅情報主要服務

Gartner的《安全威脅情報服務市場指南》對威脅情報服務進行了切分：

由於Gartner的這份市場指導只著重於第一和第三類，也就是核心威脅情報，我們也就針對這一部分作一些說明。

這裡的「

獲取和分析

」可理解為收集自各種源（如電子或人工的）「純粹」的情報，融合了類似黑客意圖等內容，內容可包含人工敘述式的分析——專為客戶定製，同時也包含部分預測內容。

「

實時監測與通知

」則反映了更廣闊範圍的信息，是對情報更為具體的呈現，也是這塊市場的真正支點。這部分主要相關那些已經發生的活動信息，並且是從技術角度來進行解讀的。這種情報不包含指標之外的大量分析，也不給出黑客攻擊意圖等深度信息。比如說殭屍網路C&C IP地址信息，就屬於此類情報的典型。

1.4 威脅情報的主要優點

讓威脅更加清晰可見

熟悉當地語言、行話的研究人員能夠在新的地點發現新型威脅團體，發現他們使用的新惡意程序變種和新的社工方式。威脅情報幫助企業安全人員了解新的入侵威脅指標（IOC）及其他信息，以預防和檢測更多攻擊。威脅情報還可幫助IT管理人員和安全分析師了解哪些應用、系統和用戶群最有可能遭受攻擊，從而優先保護這些高風險目標。

更快速響應針對性攻擊

威脅情報會為客戶安全團隊提供詳盡的信息，幫助他們了解哪些威脅最有可能影響客戶所處行業及該企業本身環境。由此，客戶可以只關注與其自身緊密相關的攻擊產生的預警和通知。威脅情報提供含有上下文信息的威脅分析，能令SIEM工具自動提升真正有意義的預警的優先順序。安全團隊可獲得所需的上下文，以識別特定攻擊者的攻擊模式。

威脅情報還可幫助企業優化漏洞修復，更快速響應緊急威脅。企業不再根據「高危/重要/中危/低危」這樣簡單粗暴的評級，來決定應優先修復哪些漏洞，威脅情報可以為他們提供每個漏洞的詳情，包括漏洞的原理、利用的難易程度以及外界是否已經出現利用方法或工具。優先次序安排得當則可以縮短對緊急威脅的響應時間，而不是浪費時間去修復一些「高危」但實際沒有風險的漏洞。

改善管理層溝通

如何與業務經理、執行層和董事會溝通安全問題的相關信息，是CISO常常面臨的挑戰。這種情況就導致在面對真正的安全威脅時，相關部門無法獲得其他部門的配合和資金支持。威脅情報提供的信息，可以將攻擊者具象化，明確其動機，幫助CISO將網路威脅轉換為業務風險。

CISO可以通過威脅情報獲得更多業務風險相關術語，彙報時，沒有技術背景的領導層也能夠理解。安全管理人員在與CFO或其他管理層彙報時，不必繼續使用技術術語（如，「上周我們評估了1000條預警，阻止了200個惡意程序」），而可以這樣說——「上周，有黑客試圖破壞我們的網站，損壞公司品牌，我們成功阻止了他。」

加強策略規劃和投資

威脅情報能夠針對新的攻擊者和威脅提供確實的證據和詳盡的分析。此類信息可以指導企業就安全方面作出更好的規劃和投資決策，以改善其安全形勢，與此同時又可以減少不必要的風險和開支。反之，威脅情報能夠分析出某些威脅與特定的行業或企業類型不相關，幫助企業避免將有限的資源放置在錯誤的位置。

2 威脅情報市場現狀

2.1 調查對象

由於國內威脅情報市場還比較不成熟，我們也沒有國內的數據，因此依然以國際市場的數據作為參考。SANS在去年8月發布了《SANS網路威脅情報調查》（The SANS State of Cyber Threat Intelligence Survey: CTI Important and Maturing）。SANS選取了全球220個企業，涉及IT、政府、銀行和金融、製造、教育、醫療、諮詢和通信等行業。其中規模超過5000人的企業佔比48%。

2.2 項目成熟度

在2014和2015年的調查中，許多安全人員也還不清楚威脅情報到底是什麼，以及如何更好地使用威脅情報。但即便在前兩年的調查中，已經有48%的企業反映依據威脅情報後採取的預防措施，能夠減少安全事件的數量。

- 94%的受訪企業表示目前已有威脅情報項目；

- 28%的企業表示其威脅情報項目正處於萌芽或不成熟的階段；

- 約41%的企業表示其威脅情報項目正在企業環境中逐漸成熟；

- 26%的企業認為其項目已經成熟或非常成熟。

2.3 具體的改進之處

64%的受訪企業表示威脅情報改善了企業的安全狀況和響應能力，3%認為報沒有改善，其他則表示改善狀況「不明」。這個數據與2015年的調查數據較為一致。上述64%的企業認為具體的改進之處如下：

- 73%認為能夠做出更好、更明智的決策；

- 71%認為威脅更加可視化，但也有34%不明確

- 58%認為安全響應更快、更準確

- 53%表示對未知威脅的檢測有所提升

- 48%表示安全事件減少

- 39%表示威脅情報有效減少了事件的影響

2.4 威脅情報來源

隨著安全團隊越來越習慣於使用威脅情報數據，許多安全團隊一直在尋找新的以及不同的源。目前，

- 74%從公共情報源獲取情報；

- 70%採用威脅情報供應商的商業源；

- 約57%使用開源情報源；

- 46%使用內部數據

供應商提供的威脅情報

在上述採用威脅情報供應商的企業中，56%收集並分析IDS、IPS、UTM和防火牆系統產生的預警信息，47%的數據來源於端點安全供應商，44%來源於SIEM供應商。而在去年，來源主要是端點安全供應商，其次是IDS、IPS、防火牆和威脅情報平台供應商。

其中一項比較有趣的數據是，只有25%的受訪企業採用了專用威脅情報服務，這個數據讓人比較意外。這就意味著，企業採用的大部分數據是來自比較傳統的供應商。

2.5 威脅情報主要用途

SANS今年調查了受訪企業使用威脅情報數據的主要用途，根據統計結果，三個最重要的用途為：

在出口處（如防火牆）攔截惡意域或IP地址（63%）

為調查或事件評估提供上下文（50%）

檢查DNS伺服器日誌，以發現惡意域或IP地址（30%）

其他用途還包括：在端點主動尋找文件系統指標指示器，為團隊及管理層提供趨勢數據和報告，結合內部生成指標與商業指標進行攻擊溯源，為惡意流量定製IDS簽名，在端點主動尋找註冊指示器，從商用資源庫下載惡意程序樣本、逆向工程以獲得更多指標

2.6 威脅情報與防禦響應體系的整合

為了將威脅情報數據用於防禦與響應體系，41%的企業表示正使用供應商提供的API，而36%的企業正建設自己的API，來將威脅情報數據整合至安全工具與進程中。還有企業使用情報供應商、第三方整合工具等，具體情況如下圖所示。

2.7 威脅情報的處理

根據統計數據，用於管理威脅情報源的主要工具為SIEM系統。第二常用的為入侵監測平台，商用威脅情報管理平台為第三，有52%的企業正在使用。開源威脅情報平台使用頻率較低，有43%的企業在使用，並且需要與其他工具整合及協作。其他的還包括自主開發的工具、分析平台、商業情報工具和取證工具等。

2.8 威脅情報管理解決方案

35%的安全團隊利用惡意程序信息共享平台（MISP）；

23%使用可信指標信息自動交換（TAXII）；

22%使用威脅協作研究（CRIT）

其他解決方案還包括金融服務信息共享和分析中心（FS-ISAC）開發的Avalanche和威脅情報源模型化分析（MANTIS）平台。

MISP是一個開放平台，其中整合了多種安全和報告工具，同時也分享組織和企業需要的信息。

美國邁特公司（MITRE）開發了TAXII標準，用於安全交換威脅情報數據。目前，TAXII標準已經過渡給了OASIS（國際開放標準聯盟）

CRIT是開源惡意程序與威脅資源庫，用於存儲和分析威脅情報數據。

2.9 標準與框架

SANS調查了企業在使用威脅情報項目時，採用了哪些標準和框架，並將2015年的數據與2016年數據進行了對比，如下表所示

其中，CybOX、STIX和TAXII為最常見的三種標準，眾多文獻與報告都多次提及，因此我們在這裡也對這三種標準做一個簡單的介紹。

TAXII

TAXII並非信息共享程序，並不定義信任協議。TAXII是一系列關於交換威脅情報信息的技術規格，可幫助企業與其合作夥伴共享信息。

TAXII有以下三個共享模型：

Hub and Spoke：信息收集中心

Source/Subscriber：一個組織，提供單一信息源

Peer-to-Peer：多個組織共享信息

TAXII定義了以下四種服務，每一個服務都是可選項，還可以結合不同的服務，用於不同的共享模型：

Inbox：用於接收推送內容

Poll：用於請求內容

Collection Management：用於請求訂閱數據收集和學習

Discovery：學習哪種服務得到了支持，並且如何與這些服務交互

關於TAXII的詳細內容，讀者可以在GitHub上查閱。目前，TAXII定義了基於HTTP(S)的XML信息傳遞，但TAXII的設計還可以支持其他格式的數據傳輸。

CybOX

Cyber Observables eXpression (CybOX) 提供了一個通用結構，用於表徵企業安全各運作區的網路觀察對象。網路觀察對象可以是動態的事件，也可以是靜態的資產。CybOX對象可能是從某個特定地址發來的一封郵件，指向某個特定地址的網路連接，一個文件的MD5哈希，一個進程，一個URI或者註冊碼的變化。CybOX可用於威脅評估，日誌管理，惡意軟體特徵描述，指標共享和事件響應。

STIX

STIX是用於表徵網路威脅信息標準化溝通的語言。與TAXII類似，STIX並非一個共享程序或工具，更接近於支持程序或工具的組件。STIX語言本身也有許多的組件，包括：

- 觀察對象（Observable）：用CybOX表徵的動態事件或靜態資產

- 指標（Indicator）：帶有上下文的觀察對象。一個指標可以包含時間範圍、信息源、入侵檢測系統的規則等

- TTP：表徵對手的方法與操作方式

- Exploit目標：受害者的弱點

- 行動過程（COA）：針對威脅的防禦行動（預防、補救、緩解）

- Campaign：一系列相關的TTP、指標、時間和exploit目標

- 威脅源起方：網路對手

總體來看，使用這些知名標準和框架的企業數量有所下降。究其原因，回答「其他」的企業表示，他們正使用定製的API或者自主開發的解決方案，這種趨勢可能會繼續增長（雖然此類回答的數量並不多）。許多企業，包括SANS都在用STIX，但是一些付費的方案和其他方法可能也正處於發展之中。

2.10 威脅情報團隊建設

在今年的報告當中，28%的受訪企業表示他們擁有正式的威脅情報團隊，而在2015年，這一數據為34%。另外，有18%的企業有一位員工專門處理威脅情報（2015年為14%），另有21%表示他們目前沒有處理威脅情報的專員，但計劃培訓現有員工（與2015年類似）。詳情見下圖：

只有2%的企業表示完全將其威脅情報外包，13%既有外包也有內部專員，還有6%未來將外包威脅情報業務。

2.11 展望

大多數受訪企業（69%）認為威脅情報對於防禦與響應非常重要，54%認為威脅情報對於風險優先順序劃分和未來5年計劃的制定有價值。

為了更好地整合及使用威脅情報數據，企業希望威脅情報項目能夠更加契合各個標準，減少誤報，更全面覆蓋工控系統行業，進一步擴充數據，改善數據分析，加強對各標準的理解，收購更優質的管理層。

2.12 市場分析

從上面的數據也可以看出，有些企業會為產品選擇多個供應商的授權威脅情報源，不過這也會增加整個系統的複雜性和成本。所以實際上選擇威脅情報提供商才是最值得考慮的問題。評估威脅情報源的關鍵有以下幾點：

- 威脅情報的數據來源為何，以及具體是怎麼來的，及數據來源針對全球威脅版圖的覆蓋情況；

- 數據的新鮮程度，包括數據何時從來源獲取，以及處理數據需要多長時間；

- 數據有效性，不僅包括誤報/漏報率，還包括與其他數據的關聯能力；這一點尤為值得一提，相對頂級的威脅情報提供商已經開發了關聯技術，能夠自動在web信譽、IP信譽、文件威脅信譽等情報源之間進行交叉參考，對未分類的潛在威脅進行抑制。比如說有個威脅情報中原本未分級的URL地址，如果它與惡意程序感染文件或者已知不良IP地址相關聯，則很容易將這個URL歸類到不良之中。

- 針對企業、行業乃至不同地域需求的關聯能力。

- 大數據和機器學習能力，數以億計的域名、IP地址、移動應用、URL和文件行為記錄，都需要大數據分析能力。藉由機器學習來進行更為準確和可擴展的web威脅分析。

2.13 代表廠商

Gartner對總結比較了幾個代表性威脅情報供應商，其中就其價格作了區分：年交易額低於10萬美元的為低端，年交易額高於50萬美元為高端，介於之間的為中等。

BAE Systems Applied Intelligence

CESG認證的英國企業，協助響應國家級網路中出現的安全事件。此協助工作和供應商自己的MSSP業務，為其情報來源的一個組成部分。BAE Systems Applied Intelligence擁有一套強大的流程，奠定了他們能力的基礎。此公司目前主要專註於英國、美國和澳大利亞市場，但在歐洲、中東和非洲與亞太地區的28個國家也有業務。BAE Systems Applied Intelligence與政府的聯繫很密切。就價格而言，該公司處於中等位置。

Booz Allen

Booz Allen主要關註定制的、預測性的威脅情報。與此定位相一致，Booz Allen的人員配置中大部分為分析師。Booz Allen似乎也擁有一套強大的流程，為其能力打下基礎。該公司的大部分業務源起北美，在歐洲、中東和非洲業務較少。Booz Allen主要的垂直行業為金融服務業，在製造與自然資源及其他行業也有少量業務。Booz Allen的服務報價較高。

BrandProtect

BrandProtect的主要關注點是品牌監測，此外還包括反釣魚，較少關注針對用戶基礎設施的直接攻擊的情報。所以，BrandProtect是威脅情報市場中的新手，也較為邊緣化。就品牌監測而言，BrandProtect相當有競爭力。該廠商的方法非常簡單：監控多個渠道中的關鍵字，最主要的渠道是社交媒體。該廠商有一套定價體系，服務對象可以是小企業，也可以是大企業。BrandProtect主要業務分布在北美，只要垂直行業為金融服務業。

Check Point Software Technologies

Check Point的服務只限於針對現有活動的情報，而非預測性情報。該廠商提供的信息源包括惡意程序簽名，文件指標，地址指標，Check Point設備可以使用這些數據實時決定政策（Check Point的情報只有Check Point的設備能用）。報價較低，是整個市場中最低的報價之一，這點並不意外，因為他們的服務比較基礎。Check Point通過其他產品線，在全球範圍內運營。

Codenomicon

Codenomicon的產品與其他多數廠商都不一樣，Codenomicon推出的是一個軟體平台（AbuseSA）而不是傳統的信息交付服務。該廠商不會自己出產情報，因此在威脅情報市場中也較為邊緣化；但是，Codenomicon的平台，是值得關注的，該平台彙集了從其他源收集的信息。Codenomicon的主要市場是歐洲、中東和非洲地區的政府部門，特別是國家計算機安全事件響應團隊（各國的CSIRT）。

CrowdStrike

CrowdStrike是一個較新的企業，但因其專業性而擁有良好的聲譽。情報內容涵蓋各個決策層面，從短期（比如，幾分鐘）的行動決策，到長期（比如，五年）的策略決定，包含人工的也包含自動化的決策。定價介於中等到高端，與其服務內容較為相襯，潛在客戶也會關注這點。CrowdStrike的主要業務位於北美，關注領域涉及多個垂直行業，包括媒體、政府和其他。

CSIS Security Group

雖然和加拿大安全情報服務的縮寫相同，這個丹麥企業是一家獨立的實體。該廠商主要關注金融電子犯罪的預防和響應，特別是在歐洲市場。CSIS Security Group大部分業務分布在歐洲、中東及非洲地區，主要針對金融服務行業。CSIS為提供價格數據。

Cyveillance

Cyveillance從1997年開始就專註於威脅情報服務，2009年被QinetiQ收購。Cyveillance的名氣可以說是基於他們監控品牌問題和金融犯罪的能力，但是Cyveillance和客戶都提到其情報內容也被用於保護實際資產和事件。該廠商的人員構成中，分析師佔了較高的比重。報價介於低端和中等之間，大部分業務分布於北美，涉及包括金融服務、媒體、製造和自然能源、零售、交通和公共事業在內的多個垂直行業。

Dell SecureWorks

Dell SecureWorks提供的威脅情報服務多種多樣，包括全球通用情報源和定製化情報源，以滿足高端客戶的需求。該廠商因其專業能力，享有良好的聲譽，在所有競爭者中，被提及次數位居第二，報價有高有低，與客戶需求掛鉤，一些潛在客戶較為擔心其高報價。

Digital Shadows

Digital Shadows沒有明確提供商品化的實時監控和通知內容，這在威脅情報市場中較為少見，不過該廠商可以實時生成內容，並以STIX兼容的格式導出。該廠商認為自身的優勢在於，其追蹤的威脅源起方涵蓋面很廣。報價介於低端到中等之間，但是分析佔了其服務的大部分比重，報價偏低，有些出人意料。Digital Shadows大部分客戶位於北美和歐洲市場，主要垂直行業為金融服務，還有其他一些零散的客戶，處於媒體、製造和自然能源、公共事業等行業。

FireEye

FireEye的服務基於其2014年收購的Mandiant。FireEye起家於調查取證服務和事件響應服務。FireEye在2013年早些時候，發表了關於APT攻擊的研究報告，備受關注，也得到了許多好評，同時引起了全球對該問題的關注。獨立的威脅情報服務對於FireEye而言還是比較新的業務，與某些競爭對手相比可能還略顯不足。報價處於中等水平，主要垂直行業包括金融服務、製造和自然資源。

Fox-IT

Fox-IT推出了各種不同的內容，以支持戰術性決策和策略性決策；Fox-IT的服務還覆蓋了基礎設施威脅以及一定程度的金融犯罪和品牌保護。這點值得關注，因為Fox-IT的規模比較小；但是，Fox-IT的人員構成中，分析師的比重略低。Fox-IT認為其總部位於荷蘭，可以從俄羅斯等歐洲國家獲得高質量的情報。該廠商的傳統市場為歐洲，尤其是斯堪的納維亞和英國。主要垂直行業包括金融服務、零售和媒體。報價為中等水平。、

Group-IB

東歐一般被認為是威脅和詐騙活動的重要源頭。Group-IB，總部位於莫斯科，可以對東歐地區的活動深入研究，具有一定市場優勢。Group-IB主要關注網路詐騙和品牌問題。該廠商已有堅實的客戶基礎，集中在歐洲，主要垂直行業為金融服務，報價為中等水平。

IBM

IBM的威脅情報服務脫胎於其收購能力和組織能力，包括2006年收購Internet Security Systems和X-Force，2007年收購Watchfire，2013年收購Trusteer，加上自己的安全部門和研發部門。IBM的威脅情報服務基本與其他服務捆綁在一起，只有X-Force威脅分析服務和高級網路威脅情報服務是例外。IBM的內容分析SDK也可以接入威脅情報源。X-Force威脅分析服務僅僅象徵性收費。內容分析SDK和高級網路威脅情報服務的報價各有不同。

IID

IID起家於反釣魚服務和DNS服務，最後演化為威脅情報服務。IID的優勢在於其實時監控和通知服務，勉強能夠歸類於威脅情報的獲取和分析。IID的主要垂直行業為金融服務，主要市場位於北美地區。報價基本處於中等水平。

iSIGHT Partners

iSIGHT Partners一直以來都專註於威脅情報服務，後來又加入了一些事件響應服務。該廠商的核心能力廣受認可，人員構成中分析師佔了很大比重。iSIGHT Partners在所有主要地區都有情報收集專員，包括東歐西歐、亞洲、中東和南美，這在廠商當中並不多見。iSIGHT Partners很擅長樹立品牌意識，在所有競爭者匯總，被幾次的次數最多，網站被引用的次數也最多。主要垂直行業為金融服務和政府。iSIGHT Partners採用了新穎的報價模式，報價融合了客戶的市場價值及其他因素。因此，iSIGHT Partners得報價也有高有低，價位大體是中等到高。

Lookingglass

Lookingglass的主要產品為一個平台，該平台整合并分析從多個源獲得的情報，不過該平台也能生成原創內容。參考網站也有提及Lookingglass能夠高度響應用戶需求，但是Lookingglass人員不足有時也會引起關注。該廠商的主要業務分布於北美，專註於金融服務和政府，報價高低不等，大體為中等水平。

Malcovery

Malcovery在市場上相對較新的供應商，在檢測基於郵件的威脅方面有創新突破，特別是針對釣魚活動的檢測，加上Malcovery價格適中，贏得了一片讚譽。Malcovery的所有業務都在北美，主要垂直行業為金融服務，也涉及其他一些媒體和零售等行業。報價為低到中等水平，大多數交易趨於低端。

Norse

Norse提供相對標準的MRTI類型的內容，比如IP地址和惡意程序URL，定位數據，由Norse自家的蜜罐網路生成（而不是客戶的網路）。Norse的蜜罐偽裝為各種不同的設備，從標準的伺服器到專有的醫療服務系統。Norse的創新點很有意思，基於貼近攻擊源的設備進行准預測。參考客戶反饋稱，Norse的內容很優質，特別是基於Tor的網路。因為缺乏資源產生的問題有時會削弱Norse的客戶響應能力，市場中的其他較新、較小規模的供應商也有同樣的問題。Norse的大部分業務分布於北美，客戶群所處行業各不相同，涵蓋銀行和證券、政府、技術、通信和媒體。報價處於低到中等水平，大部分交易趨於中等價格。

One World Labs

One World Labs認為其自動化收集、分析內容的能力較為獨特——特別是從Tor或其他暗網流量獲取的內容。價格從低到中等各異，大部分集中於中等水平。主要業務集中於北美，垂直行業涉及範圍較廣，最關於金融服務與醫療行業。

RSA——EMC公司信息安全事業部

RSA的服務於市面上其他供應商的服務有些不同。RSA的威脅情報聚焦基礎設施（通過RSA Live）和欺詐（通過FraudAction），其中FraudAction也可以作為獨立產品使用。FraudAction的性能比較完善，現已用於多個垂直行業，而不僅局限於傳統的金融服務。其中一家參考網站特別提及，RSA的客戶滿意度高部分原因在於RSA理解了特定的用戶需求。RSA的報價信息不明。

SenseCy

SenseCy是威脅情報市場中相對較新的玩家。SenseCy主要聚焦於威脅情報的獲取和分析，同時也提供實時監控和通知內容，主要關注的領域包括伊斯蘭背景的激進黑客活動，以及中國和俄羅斯的黑客。SenseCy的總部位於以色列內坦亞，因此該廠商的主要業務分布於中東地區，主要服務於金融服務行業，價格高低不等，取決於客戶所選的服務，已成交的業務多為低價服務。

Symantec

在威脅情報市場，賽門鐵克最知名的就是其長盛不衰的DeepSight服務，屬於實時監控和通知的範疇。賽門鐵克較高端的服務提供更深入的分析，基於這一點，賽門鐵克在威脅情報的獲取和分析方面並不突出。賽門鐵克提供分集的服務，以滿足低預算和高預算的需求，大部分客戶購買的為低價服務，而高價服務的交易額占其收入的很大部分。像賽門鐵克這樣大型的企業，業務遍布全球多個地區，但略微偏向北美，涉及眾多垂直行業，較為倚重金融服務。

Team Cymru

Team Cymru推出了一系列付費服務和非營利服務，後者是通過Team Cymru Research NFP提供的。除了官網和推廣手冊上的少量信息，Team Cymru並未過多地介紹自家的能力和服務。因此，很難評估Team Cymru的服務質量和付費服務價格。

ThreatStream

ThreatStream是另一家較新、規模較小的企業。ThreatStream的核心高層人員擁有強大的SIEM背景（來自ArcSight），這一點也體現在其產品中。該廠商的自動化能力得到了用戶的認可，而對SIEM的整合也是其重要優勢之一。ThreatStream的主要業務位於北美，主要關注政府和金融服務。價格為低到中等。

Verisign

Verisign通過iDefense服務，較早進入市場，品牌知名度高。Verisign不斷優化，吸引客戶，比如全面的服務、強大的情報處理能力和大量遍布各地的分析師（並擁有多語言背景）；但是，其他競爭者也有了這些特色。因此，iDefense現在面臨著激烈的競爭。Verisign的主要業務位於北美，主要垂直行業為金融服務和媒體，價格趨於中等水平。

Webroot

Webroot最早是惡意程序解決方案供應商，但在2010年有了業務拓展，推出BrightCloud威脅情報服務。Webroot大部分威脅情報業務通過OEM渠道交付，主要客戶為其他供應商。因此，我們無法獲得關於Webroot垂直行業的相關信息。Webroot還推出了針對企業的相應服務。Webroot的大部分業務位於北美，歐洲也有部分業務。價格信息不明，不過交易規模有大有小（OEM交易趨向於大規模）。

2.14 市場推薦

購買服務之前，客戶應先制定威脅情報使用計劃。客戶需了解誰需要威脅情報，以及他們將如何使用威脅情報。同時，客戶還需了解，需了解己方需要根據威脅情報內容作出何種決定，並且了解這些決定如何作出。

市場上威脅情報供應商眾多，而且數量還將增長。但並非所有威脅情報服務都能提供客戶需要的內容，以幫助客戶理解要解決的問題。比方說，客戶對漏洞信息感興趣，這就不是威脅情報相關的內容。如果客戶想要了解對手的行為或者他們的計劃，並且想在不暴露自己的情況下，獲得對手的相關信息，那麼威脅情報便可以發揮作用。

注意，並非所有「威脅情報」都是一樣的。有些廠商提供的信息僅僅是當前活動的IP地址和URL的含義。這些信息能夠讓客戶快速響應當前威脅環境，但無法預測未來的活動。有些供應商提供的信息包括對手信息和相關計劃，但是此類信息的價格通常偏高，而且一般需要根據眾多信息作出推測。

客戶可使用威脅情報的獲取與分析相關服務，根據相關信息，制定長期的安全策略。要成功應對潛在威脅，可能需要兩年或更長時間。這些服務可以幫助你深入了解潛在對手的身份、能力和計劃。客戶可使用實時監控和通知服務，快速響應外界威脅的變化。可以考慮用MRTI自動化威脅響應。

不過，需要注意的是，威脅情報市場還不成熟，我們可以預見許多廠商及其能力都可能在中短期內發生變化。

參考資料

CBEST Intelligence-Led Testing: Understanding Cyber Threat Intelligence Operations

Executive Perspectives on Cyber Threat Intelligence

Market Guide for Security Threat Intelligence Services

Who』s Using Cyberthreat Intelligence and How?

The SANS State of Cyber Threat Intelligence Survey: CTI Important and Maturing

Cyber Threats: Information vs. Intelligence

【WitAwards 2016 「年度安全產品」參評巡禮】天際友盟Alice威脅情報溯源平台產品解讀

【WitAwards 2016 「年度安全產品」參評巡禮】微步在線ThreatBook威脅情報產品分析

* FreeBuf官方出品，FB小編kuma整理，未經許可禁止轉載

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！

本站內容充實豐富，博大精深，小編精選每日熱門資訊，隨時更新，點擊「搶先收到最新資訊」瀏覽吧！

請您繼續閱讀更多來自 FreeBuf 的精彩文章: