2023年7月27日发(作者：)

威胁情报简介及市场浅析前⾔如今，多数IT执⾏者都已经意识到，情报是针对⾼级⽹络攻击的有⼒武器。根据Gartner分析师Rob McMillan和KhusbuPratap的说法：到2018年，全球60%的⼤型企业将使⽤商⽤威胁情报服务，帮助他们制定安全策略。但是，你真的知道威胁情报是什么么？⽹络威胁情报服务市场当然仍然相对年轻，⽽且市场上有哪些可供选择的⽅案也不是特别明朗。本⽂将就⽹络威胁情报的定义、市场⾏情、⼚商概况等信息进⾏汇总整合，以期增进读者对威胁情报的了解。1什么是威胁情报？1.1 为什么会有威胁情报？如今，新⼀代的攻击者常常向企业和组织发起针对性的⽹络攻击。这样的⽹络威胁，⽤术语来说就是“⾼级持续性攻击”（Daly (2009)）。这种针对特定企业或⾏业的攻击，⼀般经过了精⼼的策划，攻击⽅法错综复杂，常导致严重的数据泄露或者破坏。最近⼏个备受关注的案例包括：⽹络犯罪者向零售商、银⾏和其他组织发起针对性攻击，以获得经济利益；“激进⿊客”（hacktivist）和国家背景的⿊客攻击媒体、⾦融组织、政府机构，以实现政治⽬的。其他的案例包括：私营或国营企业盗取国防企业及制造商的⼯程和业务流程信息；懂⾦融的⿊客攻击医疗和制药公司，来获取影响股票价格的内部信息。这些⿊客不断改变现有的攻击⽅式，开发新的⽅法；单独依赖防⽕墙、⼊侵防御系统和反病毒软件，⽆法阻⽌这些⿊客的攻击。这类攻击⽆法通过恶意程序签名或者过去的攻击技术报告进⾏检测。⽽且，实际上，⼤多数企业⾯临的现状是收到的原始威胁数据过多：有太多警报，太多漏洞预警和补丁，太多关于各类恶意软件、钓鱼攻击和DDoS攻击的报告。急速增长的针对性⽹络攻击直接催⽣了威胁情报服务。或者⽤现在流⾏的⼀句话来概括即：攻防不对等——⽽威胁情报的出现就是为了尽可能消除这种不对等。1.2 威胁情报的定义⾏业内关于“威胁情报”的讨论很多，但是这个词的定义却各有各的说法，但⼤多数⽂献中援引的是Gartner在2014年发表的《安全威胁情报服务市场指南》（Market Guide for Security Threat Intelligence Service）中提出的定义，所以我们也来看看Gartner的威胁情报定义，即：“威胁情报是关于IT或信息资产所⾯临的现有或潜在威胁的循证知识，包括情境、机制、指标、推论与可⾏建议，这些知识可为威胁响应提供决策依据。”如果认为Gartner为威胁情报所下的定义⽐较让⼈费解，我们可以参考Jon Friedman和Mark Bouchard在2015年发表的《⽹络威胁情报权威指南》（Definitive Guide to Cyber Threat Intelligence）中对威胁情报所下的定义：“对敌⽅的情报，及其动机、企图和⽅法进⾏收集、分析和传播，帮助各个层⾯的安全和业务成员保护企业关键资产。”信息vs情报威胁情报与普通的威胁数据源有什么差别？darkreading对⽐了传统的信息与情报，可以帮助我们理解情报的特点：iSight Partners将威胁信息服务分为三种不同的阶段：签名与信誉源，威胁数据源和⽹络威胁情报。签名与信誉源，⼀般指的是恶意程序“签名”（⽂件哈希）、URL信誉数据和⼊侵指标，有时也包括⼀些基本的数据（例签名与信誉源，⼀般指的是恶意程序“签名”（⽂件哈希）、URL信誉数据和⼊侵指标，有时也包括⼀些基本的数据（例如“今⽇10⼤恶意程序威胁”）。威胁数据源的主要价值在于提升下⼀代防⽕墙（NGFW）、⼊侵防御系统（IPS）、安全⽹关（SWG）、反恶意程序和反垃圾邮件包以及其他技术的有效性。签名与信誉源是纵深防御策略的其中⼀⾯，但这类服务存局限性。签名与信誉源能够阻挡多数攻击，但却⽆法阻挡没有签名的针对性攻击。签名与信誉源针对个体威胁指标提供数据，却⽆法提供上下⽂，⽆法帮助企业识别，企业⾃⾝、企业员⼯或者客户是否已经成为攻击⽬标。⼤量的签名和信誉分值，也会让SIEM系统和防⽕墙产⽣⼤量告警，⽽如此⼤量的数据安全团队是⽆法评估的。威胁数据源，对常见恶意程序和攻击活动的波及范围、源头和⽬标进⾏统计分析。某些安全研究团队针对特定恶意程序发布的攻击解析，或者对⾼级、多阶段攻击的攻击顺序观察，都属于此类。威胁报告对于安全管理平台（SOC）和应急响应团队（IR team）是很有价值的，能够帮助他们分辨攻击模式。但是⼤多数“威胁实验室”所作的分析都有明显的缺陷。数据收集是被动的（“我们在防⽕墙和⽹络传感器上看到了什么？”），经常与该供应商客户群的地理位置和⾏业情形有关。这类分析是后顾型的（“过去六个⽉我们在⽹络攻击中观察到了什么”）。这类分析⽆法⽤于识别⿊客的新策略和技术。威胁情报包含了前两者的基础数据，但同时在⼏个重点⽅⾯作了提升，包括在全球范围内收集及分析活跃⿊客的信息和技术信息，也就是说持续监控⿊客团体和地下站点，了解⽹络犯罪者和激进⿊客共享的信息、技术、⼯具和基础设施。此类服务还要求其团队拥有多样化的语⾔能⼒和⽂化背景，以便理解全球各地⿊客的动机和关系。另外，威胁情报以对⼿为重点，具有前瞻性，针对攻击者及其战术、技术与程序（TTP）提供丰富的上下⽂数据。数据可能包括不同犯罪者的动机与⽬标，针对的漏洞，使⽤的域、恶意程序和社⼯⽅式，攻击活动的结构及其变化，以及⿊客规避现有安全技术的技巧。针对攻击⽅的威胁情报应该包含的要点包括了：- 攻击者⾝份：威胁情报需要能够帮助企业将攻击/恶意活动最终溯源⾄相应组织（⽹络犯罪团体、⿊客、政府/国家机构等）- 攻击的原因：了解地⽅动机，以及他们会在攻击中投⼊多少精⼒（APT或仅是投机型攻击），及其针对性有多强等- 攻击⽬的：了解攻击者的⽬的，对于企业和组织基于资产重要性调整响应优先级也是有意义的- 具体是怎么做的：也就是所谓的TTP（Tatics策略、Technique技术和Procedure程序），这其中也包含了攻击者所⽤的⼯具、基础设施等- 攻击者的位置：结合地⽅所在国家，以及其地缘政治状况，⾃然能够帮助企业和组织更好地理解地⽅情况- 如何组织情报：包括IOC⼀类的技术指标（⽐如IP地址、哈希值等）提供的信息可⽤来更准确地检测和标记恶意⾏为- 如何缓解攻击：企业可⽤以保护⾃⾝的信息威胁情报针对不同客户进⾏个性化定制。真正的威胁情报服务会收集每个客户的环境数据和情报要求，针对客户企业所威胁情报针对不同客户进⾏个性化定制。真正的威胁情报服务会收集每个客户的环境数据和情报要求，针对客户企业所处⾏业、技术和特定环境作出分析。定制化的信息能够给企业提供充⾜的上下⽂信息，企业可依据⾃⾝的特定需求和风险状况，来设定优先级、作出最佳决策，⽽不是根据整个⾏业的普遍情况。1.3 威胁情报的部署Gartner认为，情报是过程的产物，⽽⾮独⽴数据点的合集。Gartner刻画了威胁情报的⽣命周期：其中各项具体含义如下：定向：定义⽬标并完善收集：从多种开放或封闭的源收集数据；电⼦的、⼈⼯的处理：如有需要，翻译；进⾏可靠性评估；核对多个源分析：判断此信息的意义；评估信息的重要性；推荐相应措施传递：将情报传递给客户反馈：依照需求调整将威胁情报和内部信息相关联，企业或组织对于攻击会有更清晰的认识，也能够对威胁进⾏事先防御。那么这些威胁情报究竟具体是怎么应⽤到安全策略中的呢？⼀般来说，基于受众的差异，威胁情报包含两个不同的层⾯。第⼀种威胁情报是“战略层⾯”的，也就是供⼈阅读的。这类威胁情报不需要⾮常技术，主要为各类⾼管准备（如CEO、COO、CTO等），让他们能够了解威胁对于业务连续性的影响，帮助他们做出正确的决策。这类威胁情报的典型呈现⽅式就是报告。另⼀类是“可操作层⾯”的，或者说是可机读的数据——安全设备能够利⽤这些数据来加固安全性，⽐如上⾯提到SIEM和威胁情报的配合。这些数据很多是XML格式化过的，易于处理。所以说威胁情报本⾝对于企业内部各个层⾯的⼈⽽⾔都是有意义的，包括SOC（安全运营中⼼）分析师、事件响应团队，甚⾄到做出决策的董事会。威胁情报主要服务Gartner的《安全威胁情报服务市场指南》对威胁情报服务进⾏了切分：由于Gartner的这份市场指导只着重于第⼀和第三类，也就是核⼼威胁情报，我们也就针对这⼀部分作⼀些说明。这⾥的“获取和分析”可理解为收集⾃各种源（如电⼦或⼈⼯的）“纯粹”的情报，融合了类似⿊客意图等内容，内容可包含⼈⼯叙述式的分析——专为客户定制，同时也包含部分预测内容。“实时监测与通知”则反映了更⼴阔范围的信息，是对情报更为具体的呈现，也是这块市场的真正⽀点。这部分主要相关那些已经发⽣的活动信息，并且是从技术⾓度来进⾏解读的。这种情报不包含指标之外的⼤量分析，也不给出⿊客攻击意图等深度信息。⽐如说僵⼫⽹络C&C IP地址信息，就属于此类情报的典型。1.4 威胁情报的主要优点让威胁更加清晰可见熟悉当地语⾔、⾏话的研究⼈员能够在新的地点发现新型威胁团体，发现他们使⽤的新恶意程序变种和新的社⼯⽅式。威胁情报帮助企业安全⼈员了解新的⼊侵威胁指标（IOC）及其他信息，以预防和检测更多攻击。威胁情报还可帮助IT管理⼈员和安全分析师了解哪些应⽤、系统和⽤户群最有可能遭受攻击，从⽽优先保护这些⾼风险⽬标。更快速响应针对性攻击威胁情报会为客户安全团队提供详尽的信息，帮助他们了解哪些威胁最有可能影响客户所处⾏业及该企业本⾝环境。由此，客户可以只关注与其⾃⾝紧密相关的攻击产⽣的预警和通知。威胁情报提供含有上下⽂信息的威胁分析，能令SIEM⼯具⾃动提升真正有意义的预警的优先级。安全团队可获得所需的上下⽂，以识别特定攻击者的攻击模式。威胁情报还可帮助企业优化漏洞修复，更快速响应紧急威胁。企业不再根据“⾼危/重要/中危/低危”这样简单粗暴的评级，来决定应优先修复哪些漏洞，威胁情报可以为他们提供每个漏洞的详情，包括漏洞的原理、利⽤的难易程度以及外界是否已经出现利⽤⽅法或⼯具。优先次序安排得当则可以缩短对紧急威胁的响应时间，⽽不是浪费时间去修复⼀些“⾼危”但实际没有风险的漏洞。改善管理层沟通如何与业务经理、执⾏层和董事会沟通安全问题的相关信息，是CISO常常⾯临的挑战。这种情况就导致在⾯对真正的安全威胁时，相关部门⽆法获得其他部门的配合和资⾦⽀持。威胁情报提供的信息，可以将攻击者具象化，明确其动机，帮助CISO将⽹络威胁转换为业务风险。CISO可以通过威胁情报获得更多业务风险相关术语，汇报时，没有技术背景的领导层也能够理解。安全管理⼈员在与CFO或其他管理层汇报时，不必继续使⽤技术术语（如，“上周我们评估了1000条预警，阻⽌了200个恶意程序”），⽽可以这样说——“上周，有⿊客试图破坏我们的⽹站，损坏公司品牌，我们成功阻⽌了他。”加强策略规划和投资威胁情报能够针对新的攻击者和威胁提供确实的证据和详尽的分析。此类信息可以指导企业就安全⽅⾯作出更好的规划和投资决策，以改善其安全形势，与此同时⼜可以减少不必要的风险和开⽀。反之，威胁情报能够分析出某些威胁与特定的⾏业或企业类型不相关，帮助企业避免将有限的资源放置在错误的位置。2 威胁情报市场现状2.1 调查对象由于国内威胁情报市场还⽐较不成熟，我们也没有国内的数据，因此依然以国际市场的数据作为参考。SANS在去年8⽉发布了《SANS⽹络威胁情报调查》（The SANS State of Cyber Threat Intelligence Survey: CTI Important andMaturing）。SANS选取了全球220个企业，涉及IT、政府、银⾏和⾦融、制造、教育、医疗、咨询和通信等⾏业。其中规模超过5000⼈的企业占⽐48%。2.2 项⽬成熟度在2014和2015年的调查中，许多安全⼈员也还不清楚威胁情报到底是什么，以及如何更好地使⽤威胁情报。但即便在前两年的调查中，已经有48%的企业反映依据威胁情报后采取的预防措施，能够减少安全事件的数量。- 94%的受访企业表⽰⽬前已有威胁情报项⽬；- 28%的企业表⽰其威胁情报项⽬正处于萌芽或不成熟的阶段；- 约41%的企业表⽰其威胁情报项⽬正在企业环境中逐渐成熟；- 26%的企业认为其项⽬已经成熟或⾮常成熟。2.3 具体的改进之处64%的受访企业表⽰威胁情报改善了企业的安全状况和响应能⼒，3%认为报没有改善，其他则表⽰改善状况“不明”。这个数据与2015年的调查数据较为⼀致。上述64%的企业认为具体的改进之处如下：- 73%认为能够做出更好、更明智的决策；- 71%认为威胁更加可视化，但也有34%不明确- 58%认为安全响应更快、更准确- 53%表⽰对未知威胁的检测有所提升- 48%表⽰安全事件减少- 39%表⽰威胁情报有效减少了事件的影响2.4 威胁情报来源随着安全团队越来越习惯于使⽤威胁情报数据，许多安全团队⼀直在寻找新的以及不同的源。⽬前，- 74%从公共情报源获取情报；- 70%采⽤威胁情报供应商的商业源；- 约57%使⽤开源情报源；- 46%使⽤内部数据供应商提供的威胁情报在上述采⽤威胁情报供应商的企业中，56%收集并分析IDS、IPS、UTM和防⽕墙系统产⽣的预警信息，47%的数据来源于端点安全供应商，44%来源于SIEM供应商。⽽在去年，来源主要是端点安全供应商，其次是IDS、IPS、防⽕墙和威胁情报平台供应商。其中⼀项⽐较有趣的数据是，只有25%的受访企业采⽤了专⽤威胁情报服务，这个数据让⼈⽐较意外。这就意味着，企业采⽤的⼤部分数据是来⾃⽐较传统的供应商。2.5 威胁情报主要⽤途SANS今年调查了受访企业使⽤威胁情报数据的主要⽤途，根据统计结果，三个最重要的⽤途为：在出⼝处（如防⽕墙）拦截恶意域或IP地址（63%）为调查或事件评估提供上下⽂（50%）检查DNS服务器⽇志，以发现恶意域或IP地址（30%）其他⽤途还包括：在端点主动寻找⽂件系统指标指⽰器，为团队及管理层提供趋势数据和报告，结合内部⽣成指标与商业指标进⾏攻击溯源，为恶意流量定制IDS签名，在端点主动寻找注册指⽰器，从商⽤资源库下载恶意程序样本、逆向⼯程以获得更多指标2.6 威胁情报与防御响应体系的整合为了将威胁情报数据⽤于防御与响应体系，41%的企业表⽰正使⽤供应商提供的API，⽽36%的企业正建设⾃⼰的API，来将威胁情报数据整合⾄安全⼯具与进程中。还有企业使⽤情报供应商、第三⽅整合⼯具等，具体情况如下图所⽰。2.7 威胁情报的处理根据统计数据，⽤于管理威胁情报源的主要⼯具为SIEM系统。第⼆常⽤的为⼊侵监测平台，商⽤威胁情报管理平台为第三，有52%的企业正在使⽤。开源威胁情报平台使⽤频率较低，有43%的企业在使⽤，并且需要与其他⼯具整合及协作。其他的还包括⾃主开发的⼯具、分析平台、商业情报⼯具和取证⼯具等。2.8 威胁情报管理解决⽅案35%的安全团队利⽤恶意程序信息共享平台（MISP）；23%使⽤可信指标信息⾃动交换（TAXII）；22%使⽤威胁协作研究（CRIT）其他解决⽅案还包括⾦融服务信息共享和分析中⼼（FS-ISAC）开发的Avalanche和威胁情报源模型化分析（MANTIS）平台。MISP是⼀个开放平台，其中整合了多种安全和报告⼯具，同时也分享组织和企业需要的信息。美国迈特公司（MITRE）开发了TAXII标准，⽤于安全交换威胁情报数据。⽬前，TAXII标准已经过渡给了OASIS（国际开放标准联盟）CRIT是开源恶意程序与威胁资源库，⽤于存储和分析威胁情报数据。2.9 标准与框架SANS调查了企业在使⽤威胁情报项⽬时，采⽤了哪些标准和框架，并将2015年的数据与2016年数据进⾏了对⽐，如下表所⽰其中，CybOX、STIX和TAXII为最常见的三种标准，众多⽂献与报告都多次提及，因此我们在这⾥也对这三种标准做⼀个简单的介绍。TAXIITAXII并⾮信息共享程序，并不定义信任协议。TAXII是⼀系列关于交换威胁情报信息的技术规格，可帮助企业与其合作伙伴共享信息。TAXII有以下三个共享模型：Hub and Spoke：信息收集中⼼Source/Subscriber：⼀个组织，提供单⼀信息源Peer-to-Peer：多个组织共享信息TAXII定义了以下四种服务，每⼀个服务都是可选项，还可以结合不同的服务，⽤于不同的共享模型：Inbox：⽤于接收推送内容Poll：⽤于请求内容Collection Management：⽤于请求订阅数据收集和学习Discovery：学习哪种服务得到了⽀持，并且如何与这些服务交互关于TAXII的详细内容，读者可以在GitHub上查阅。⽬前，TAXII定义了基于HTTP(S)的XML信息传递，但TAXII的设计还可以⽀持其他格式的数据传输。CybOXCyber Observables eXpression (CybOX) 提供了⼀个通⽤结构，⽤于表征企业安全各运作区的⽹络观察对象。⽹络观察对象可以是动态的事件，也可以是静态的资产。CybOX对象可能是从某个特定地址发来的⼀封邮件，指向某个特定地址的⽹络连接，⼀个⽂件的MD5哈希，⼀个进程，⼀个URI或者注册码的变化。CybOX可⽤于威胁评估，⽇志管理，恶意软件特征描述，指标共享和事件响应。STIXSTIX是⽤于表征⽹络威胁信息标准化沟通的语⾔。与TAXII类似，STIX并⾮⼀个共享程序或⼯具，更接近于⽀持程序或⼯具的组件。STIX语⾔本⾝也有许多的组件，包括：- 观察对象（Observable）：⽤CybOX表征的动态事件或静态资产- 指标（Indicator）：带有上下⽂的观察对象。⼀个指标可以包含时间范围、信息源、⼊侵检测系统的规则等- TTP：表征对⼿的⽅法与操作⽅式- Exploit⽬标：受害者的弱点- ⾏动过程（COA）：针对威胁的防御⾏动（预防、补救、缓解）- Campaign：⼀系列相关的TTP、指标、时间和exploit⽬标- 威胁源起⽅：⽹络对⼿总体来看，使⽤这些知名标准和框架的企业数量有所下降。究其原因，回答“其他”的企业表⽰，他们正使⽤定制的API或者⾃主开发的解决⽅案，这种趋势可能会继续增长（虽然此类回答的数量并不多）。许多企业，包括SANS都在⽤STIX，但是⼀些付费的⽅案和其他⽅法可能也正处于发展之中。2.10 威胁情报团队建设在今年的报告当中，28%的受访企业表⽰他们拥有正式的威胁情报团队，⽽在2015年，这⼀数据为34%。另外，有18%的企业有⼀位员⼯专门处理威胁情报（2015年为14%），另有21%表⽰他们⽬前没有处理威胁情报的专员，但计划培训现有员⼯（与2015年类似）。详情见下图：只有2%的企业表⽰完全将其威胁情报外包，13%既有外包也有内部专员，还有6%未来将外包威胁情报业务。2.11 展望⼤多数受访企业（69%）认为威胁情报对于防御与响应⾮常重要，54%认为威胁情报对于风险优先级划分和未来5年计划的制定有价值。为了更好地整合及使⽤威胁情报数据，企业希望威胁情报项⽬能够更加契合各个标准，减少误报，更全⾯覆盖⼯控系统⾏业，进⼀步扩充数据，改善数据分析，加强对各标准的理解，收购更优质的管理层。2.12 市场分析2.12 市场分析从上⾯的数据也可以看出，有些企业会为产品选择多个供应商的授权威胁情报源，不过这也会增加整个系统的复杂性和成本。所以实际上选择威胁情报提供商才是最值得考虑的问题。评估威胁情报源的关键有以下⼏点：- 威胁情报的数据来源为何，以及具体是怎么来的，及数据来源针对全球威胁版图的覆盖情况；- 数据的新鲜程度，包括数据何时从来源获取，以及处理数据需要多长时间；- 数据有效性，不仅包括误报/漏报率，还包括与其他数据的关联能⼒；这⼀点尤为值得⼀提，相对顶级的威胁情报提供商已经开发了关联技术，能够⾃动在web信誉、IP信誉、⽂件威胁信誉等情报源之间进⾏交叉参考，对未分类的潜在威胁进⾏抑制。⽐如说有个威胁情报中原本未分级的URL地址，如果它与恶意程序感染⽂件或者已知不良IP地址相关联，则很容易将这个URL归类到不良之中。- 针对企业、⾏业乃⾄不同地域需求的关联能⼒。- ⼤数据和机器学习能⼒，数以亿计的域名、IP地址、移动应⽤、URL和⽂件⾏为记录，都需要⼤数据分析能⼒。借由机器学习来进⾏更为准确和可扩展的web威胁分析。2.13 代表⼚商Gartner对总结⽐较了⼏个代表性威胁情报供应商，其中就其价格作了区分：年交易额低于10万美元的为低端，年交易额⾼于50万美元为⾼端，介于之间的为中等。BAE Systems Applied IntelligenceBAE Systems Applied IntelligenceCESG认证的英国企业，协助响应国家级⽹络中出现的安全事件。此协助⼯作和供应商⾃⼰的MSSP业务，为其情报来源的⼀个组成部分。BAE Systems Applied Intelligence拥有⼀套强⼤的流程，奠定了他们能⼒的基础。此公司⽬前主要专注于英国、美国和澳⼤利亚市场，但在欧洲、中东和⾮洲与亚太地区的28个国家也有业务。BAE Systems AppliedIntelligence与政府的联系很密切。就价格⽽⾔，该公司处于中等位置。Booz AllenBooz Allen主要关注定制的、预测性的威胁情报。与此定位相⼀致，Booz Allen的⼈员配置中⼤部分为分析师。BoozAllen似乎也拥有⼀套强⼤的流程，为其能⼒打下基础。该公司的⼤部分业务源起北美，在欧洲、中东和⾮洲业务较少。Booz Allen主要的垂直⾏业为⾦融服务业，在制造与⾃然资源及其他⾏业也有少量业务。Booz Allen的服务报价较⾼。BrandProtectBrandProtect的主要关注点是品牌监测，此外还包括反钓鱼，较少关注针对⽤户基础设施的直接攻击的情报。所以，BrandProtect是威胁情报市场中的新⼿，也较为边缘化。就品牌监测⽽⾔，BrandProtect相当有竞争⼒。该⼚商的⽅法⾮常简单：监控多个渠道中的关键字，最主要的渠道是社交媒体。该⼚商有⼀套定价体系，服务对象可以是⼩企业，也可以是⼤企业。BrandProtect主要业务分布在北美，只要垂直⾏业为⾦融服务业。Check Point Software TechnologiesCheck Point的服务只限于针对现有活动的情报，⽽⾮预测性情报。该⼚商提供的信息源包括恶意程序签名，⽂件指标，地址指标，Check Point设备可以使⽤这些数据实时决定政策（Check Point的情报只有Check Point的设备能⽤）。报价较低，是整个市场中最低的报价之⼀，这点并不意外，因为他们的服务⽐较基础。Check Point通过其他产品线，在全球范围内运营。CodenomiconCodenomicon的产品与其他多数⼚商都不⼀样，Codenomicon推出的是⼀个软件平台（AbuseSA）⽽不是传统的信息交付服务。该⼚商不会⾃⼰出产情报，因此在威胁情报市场中也较为边缘化；但是，Codenomicon的平台，是值得关注的，该平台汇集了从其他源收集的信息。Codenomicon的主要市场是欧洲、中东和⾮洲地区的政府部门，特别是国家计算机安全事件响应团队（各国的CSIRT）。CrowdStrikeCrowdStrike是⼀个较新的企业，但因其专业性⽽拥有良好的声誉。情报内容涵盖各个决策层⾯，从短期（⽐如，⼏分钟）的⾏动决策，到长期（⽐如，五年）的策略决定，包含⼈⼯的也包含⾃动化的决策。定价介于中等到⾼端，与其服务内容较为相衬，潜在客户也会关注这点。CrowdStrike的主要业务位于北美，关注领域涉及多个垂直⾏业，包括媒体、政府和其他。CSIS Security Group虽然和加拿⼤安全情报服务的缩写相同，这个丹麦企业是⼀家独⽴的实体。该⼚商主要关注⾦融电⼦犯罪的预防和响应，特别是在欧洲市场。CSIS Security Group⼤部分业务分布在欧洲、中东及⾮洲地区，主要针对⾦融服务⾏业。CSIS为提供价格数据。CyveillanceCyveillance从1997年开始就专注于威胁情报服务，2009年被QinetiQ收购。Cyveillance的名⽓可以说是基于他们监控品牌问题和⾦融犯罪的能⼒，但是Cyveillance和客户都提到其情报内容也被⽤于保护实际资产和事件。该⼚商的⼈员构成中，分析师占了较⾼的⽐重。报价介于低端和中等之间，⼤部分业务分布于北美，涉及包括⾦融服务、媒体、制造和⾃然能源、零售、交通和公共事业在内的多个垂直⾏业。Dell SecureWorksDell SecureWorks提供的威胁情报服务多种多样，包括全球通⽤情报源和定制化情报源，以满⾜⾼端客户的需求。该⼚商因其专业能⼒，享有良好的声誉，在所有竞争者中，被提及次数位居第⼆，报价有⾼有低，与客户需求挂钩，⼀些潜在客户较为担⼼其⾼报价。Digital ShadowsDigital Shadows没有明确提供商品化的实时监控和通知内容，这在威胁情报市场中较为少见，不过该⼚商可以实时⽣成内容，并以STIX兼容的格式导出。该⼚商认为⾃⾝的优势在于，其追踪的威胁源起⽅涵盖⾯很⼴。报价介于低端到中等之间，但是分析占了其服务的⼤部分⽐重，报价偏低，有些出⼈意料。Digital Shadows⼤部分客户位于北美和欧洲市场，主要垂直⾏业为⾦融服务，还有其他⼀些零散的客户，处于媒体、制造和⾃然能源、公共事业等⾏业。FireEyeFireEye的服务基于其2014年收购的Mandiant。FireEye起家于调查取证服务和事件响应服务。FireEye在2013年早些时候，发表了关于APT攻击的研究报告，备受关注，也得到了许多好评，同时引起了全球对该问题的关注。独⽴的威胁情报服务对于FireEye⽽⾔还是⽐较新的业务，与某些竞争对⼿相⽐可能还略显不⾜。报价处于中等⽔平，主要垂直⾏业包括⾦融服务、制造和⾃然资源。Fox-ITFox-IT推出了各种不同的内容，以⽀持战术性决策和策略性决策；Fox-IT的服务还覆盖了基础设施威胁以及⼀定程度的⾦融犯罪和品牌保护。这点值得关注，因为Fox-IT的规模⽐较⼩；但是，Fox-IT的⼈员构成中，分析师的⽐重略低。Fox-IT认为其总部位于荷兰，可以从俄罗斯等欧洲国家获得⾼质量的情报。该⼚商的传统市场为欧洲，尤其是斯堪的纳维亚和英国。主要垂直⾏业包括⾦融服务、零售和媒体。报价为中等⽔平。、Group-IB东欧⼀般被认为是威胁和诈骗活动的重要源头。Group-IB，总部位于莫斯科，可以对东欧地区的活动深⼊研究，具有⼀定市场优势。Group-IB主要关注⽹络诈骗和品牌问题。该⼚商已有坚实的客户基础，集中在欧洲，主要垂直⾏业为⾦融服务，报价为中等⽔平。IBMIBM的威胁情报服务脱胎于其收购能⼒和组织能⼒，包括2006年收购Internet Security Systems和X-Force，2007年收购Watchfire，2013年收购Trusteer，加上⾃⼰的安全部门和研发部门。IBM的威胁情报服务基本与其他服务捆绑在⼀起，只有X-Force威胁分析服务和⾼级⽹络威胁情报服务是例外。IBM的内容分析SDK也可以接⼊威胁情报源。X-Force威胁分析服务仅仅象征性收费。内容分析SDK和⾼级⽹络威胁情报服务的报价各有不同。IIDIID起家于反钓鱼服务和DNS服务，最后演化为威胁情报服务。IID的优势在于其实时监控和通知服务，勉强能够归类于威胁情报的获取和分析。IID的主要垂直⾏业为⾦融服务，主要市场位于北美地区。报价基本处于中等⽔平。iSIGHT PartnersiSIGHT Partners⼀直以来都专注于威胁情报服务，后来⼜加⼊了⼀些事件响应服务。该⼚商的核⼼能⼒⼴受认可，⼈员构成中分析师占了很⼤⽐重。iSIGHT Partners在所有主要地区都有情报收集专员，包括东欧西欧、亚洲、中东和南美，这在⼚商当中并不多见。iSIGHT Partners很擅长树⽴品牌意识，在所有竞争者汇总，被⼏次的次数最多，⽹站被引⽤的次数也最多。主要垂直⾏业为⾦融服务和政府。iSIGHT Partners采⽤了新颖的报价模式，报价融合了客户的市场价值及其他因素。因此，iSIGHT Partners得报价也有⾼有低，价位⼤体是中等到⾼。LookingglassLookingglass的主要产品为⼀个平台，该平台整合并分析从多个源获得的情报，不过该平台也能⽣成原创内容。参考⽹站也有提及Lookingglass能够⾼度响应⽤户需求，但是Lookingglass⼈员不⾜有时也会引起关注。该⼚商的主要业务分布于北美，专注于⾦融服务和政府，报价⾼低不等，⼤体为中等⽔平。MalcoveryMalcovery在市场上相对较新的供应商，在检测基于邮件的威胁⽅⾯有创新突破，特别是针对钓鱼活动的检测，加上Malcovery价格适中，赢得了⼀⽚赞誉。Malcovery的所有业务都在北美，主要垂直⾏业为⾦融服务，也涉及其他⼀些媒体和零售等⾏业。报价为低到中等⽔平，⼤多数交易趋于低端。NorseNorse提供相对标准的MRTI类型的内容，⽐如IP地址和恶意程序URL，定位数据，由Norse⾃家的蜜罐⽹络⽣成（⽽不是客户的⽹络）。Norse的蜜罐伪装为各种不同的设备，从标准的服务器到专有的医疗服务系统。Norse的创新点很有意思，基于贴近攻击源的设备进⾏准预测。参考客户反馈称，Norse的内容很优质，特别是基于Tor的⽹络。因为缺乏资源产⽣的问题有时会削弱Norse的客户响应能⼒，市场中的其他较新、较⼩规模的供应商也有同样的问题。Norse的⼤部分业务分布于北美，客户群所处⾏业各不相同，涵盖银⾏和证券、政府、技术、通信和媒体。报价处于低到中等⽔平，⼤部分交易趋于中等价格。One World LabsOne World Labs认为其⾃动化收集、分析内容的能⼒较为独特——特别是从Tor或其他暗⽹流量获取的内容。价格从低到中等各异，⼤部分集中于中等⽔平。主要业务集中于北美，垂直⾏业涉及范围较⼴，最关于⾦融服务与医疗⾏业。RSA——EMC公司信息安全事业部RSA的服务于市⾯上其他供应商的服务有些不同。RSA的威胁情报聚焦基础设施（通过RSA Live）和欺诈（通过FraudAction），其中FraudAction也可以作为独⽴产品使⽤。FraudAction的性能⽐较完善，现已⽤于多个垂直⾏业，⽽不仅局限于传统的⾦融服务。其中⼀家参考⽹站特别提及，RSA的客户满意度⾼部分原因在于RSA理解了特定的⽤户需求。RSA的报价信息不明。SenseCySenseCy是威胁情报市场中相对较新的玩家。SenseCy主要聚焦于威胁情报的获取和分析，同时也提供实时监控和通知内容，主要关注的领域包括伊斯兰背景的激进⿊客活动，以及中国和俄罗斯的⿊客。SenseCy的总部位于以⾊列内坦亚，因此该⼚商的主要业务分布于中东地区，主要服务于⾦融服务⾏业，价格⾼低不等，取决于客户所选的服务，已成交的业务多为低价服务。Symantec在威胁情报市场，赛门铁克最知名的就是其长盛不衰的DeepSight服务，属于实时监控和通知的范畴。赛门铁克较⾼端的服务提供更深⼊的分析，基于这⼀点，赛门铁克在威胁情报的获取和分析⽅⾯并不突出。赛门铁克提供分集的服务，以满⾜低预算和⾼预算的需求，⼤部分客户购买的为低价服务，⽽⾼价服务的交易额占其收⼊的很⼤部分。像赛门铁克这样⼤型的企业，业务遍布全球多个地区，但略微偏向北美，涉及众多垂直⾏业，较为倚重⾦融服务。Team CymruTeam Cymru推出了⼀系列付费服务和⾮营利服务，后者是通过Team Cymru Research NFP提供的。除了官⽹和推⼴⼿册上的少量信息，Team Cymru并未过多地介绍⾃家的能⼒和服务。因此，很难评估Team Cymru的服务质量和付费服务价格。ThreatStreamThreatStream是另⼀家较新、规模较⼩的企业。ThreatStream的核⼼⾼层⼈员拥有强⼤的SIEM背景（来⾃ArcSight），这⼀点也体现在其产品中。该⼚商的⾃动化能⼒得到了⽤户的认可，⽽对SIEM的整合也是其重要优势之⼀。ThreatStream的主要业务位于北美，主要关注政府和⾦融服务。价格为低到中等。VerisignVerisign通过iDefense服务，较早进⼊市场，品牌知名度⾼。Verisign不断优化，吸引客户，⽐如全⾯的服务、强⼤的情报处理能⼒和⼤量遍布各地的分析师（并拥有多语⾔背景）；但是，其他竞争者也有了这些特⾊。因此，iDefense现在⾯临着激烈的竞争。Verisign的主要业务位于北美，主要垂直⾏业为⾦融服务和媒体，价格趋于中等⽔平。WebrootWebroot最早是恶意程序解决⽅案供应商，但在2010年有了业务拓展，推出BrightCloud威胁情报服务。Webroot⼤部分威胁情报业务通过OEM渠道交付，主要客户为其他供应商。因此，我们⽆法获得关于Webroot垂直⾏业的相关信息。Webroot还推出了针对企业的相应服务。Webroot的⼤部分业务位于北美，欧洲也有部分业务。价格信息不明，不过交易规模有⼤有⼩（OEM交易趋向于⼤规模）。易规模有⼤有⼩（OEM交易趋向于⼤规模）。2.14 市场推荐购买服务之前，客户应先制定威胁情报使⽤计划。客户需了解谁需要威胁情报，以及他们将如何使⽤威胁情报。同时，客户还需了解，需了解⼰⽅需要根据威胁情报内容作出何种决定，并且了解这些决定如何作出。市场上威胁情报供应商众多，⽽且数量还将增长。但并⾮所有威胁情报服务都能提供客户需要的内容，以帮助客户理解要解决的问题。⽐⽅说，客户对漏洞信息感兴趣，这就不是威胁情报相关的内容。如果客户想要了解对⼿的⾏为或者他们的计划，并且想在不暴露⾃⼰的情况下，获得对⼿的相关信息，那么威胁情报便可以发挥作⽤。注意，并⾮所有“威胁情报”都是⼀样的。有些⼚商提供的信息仅仅是当前活动的IP地址和URL的含义。这些信息能够让客户快速响应当前威胁环境，但⽆法预测未来的活动。有些供应商提供的信息包括对⼿信息和相关计划，但是此类信息的价格通常偏⾼，⽽且⼀般需要根据众多信息作出推测。客户可使⽤威胁情报的获取与分析相关服务，根据相关信息，制定长期的安全策略。要成功应对潜在威胁，可能需要两年或更长时间。这些服务可以帮助你深⼊了解潜在对⼿的⾝份、能⼒和计划。客户可使⽤实时监控和通知服务，快速响应外界威胁的变化。可以考虑⽤MRTI⾃动化威胁响应。不过，需要注意的是，威胁情报市场还不成熟，我们可以预见许多⼚商及其能⼒都可能在中短期内发⽣变化。参考资料CBEST Intelligence-Led Testing: Understanding Cyber Threat Intelligence OperationsExecutive Perspectives on Cyber Threat IntelligenceMarket Guide for Security Threat Intelligence ServicesWho’s Using Cyberthreat Intelligence and How?The SANS State of Cyber Threat Intelligence Survey: CTI Important and MaturingCyber Threats: Information vs. Intelligence【WitAwards 2016 “年度安全产品”参评巡礼】天际友盟Alice威胁情报溯源平台产品解读【WitAwards 2016 “年度安全产品”参评巡礼】微步在线ThreatBook威胁情报产品分析* FreeBuf官⽅出品，FB⼩编kuma整理，未经许可禁⽌转载