威脅情報服務(wù)可幫助企業(yè)更好地了解針對其的威脅和風(fēng)險,例如零日和高級持續(xù)威脅等,威脅情報服務(wù)會分析和篩選數(shù)據(jù),并以管理報告和數(shù)據(jù)源的形式生成有用的信息用于自動化安全控制系統(tǒng)。
如果企業(yè)只是確保防火墻、反惡意軟件和類似的保護措施良好運作以及保持更新,并不足以抵御現(xiàn)在的惡意威脅。威脅情報服務(wù)可幫助企業(yè)保持其IT基礎(chǔ)設(shè)施的更新,讓安全專業(yè)人員更好地積極阻止安全漏洞,并采取行動來防止數(shù)據(jù)丟失或系統(tǒng)故障,從而有效地抵御攻擊者。
然而,并不是每個企業(yè)都適合使用威脅情報服務(wù),這主要是因為全面的情報訂閱非常昂貴。如果企業(yè)確定威脅情報是不錯的選擇和投資,并且已經(jīng)開始調(diào)查威脅情報服務(wù)的采購過程,這些企業(yè)會發(fā)現(xiàn)現(xiàn)在有很多不同的服務(wù)可供選擇。
為了幫助企業(yè)更好地做出選擇,下面列出了當(dāng)今市場上頂級威脅情報產(chǎn)品:
Cyveillance公司
B2B網(wǎng)絡(luò)情報提供商Cyveillance為安全和威脅分析師提供基于云的Cyveillance網(wǎng)絡(luò)威脅中心平臺。該平臺會從數(shù)百萬在線資源收集數(shù)字和物理威脅數(shù)據(jù)信息,并通過安全的FTP或HTTPS Web服務(wù)以XML形式提供有關(guān)網(wǎng)絡(luò)釣魚網(wǎng)址和惡意網(wǎng)址的數(shù)據(jù)信息,包括高風(fēng)險的主機、域名、網(wǎng)站、惡意有效載荷和IP地址等。Cyveillance其中一位客戶是典型的中型或企業(yè)規(guī)模公司,他們有自己的安全運營中心或威脅情報中心,至少有一名全職安全分析師。想要了解更多關(guān)于Cyveillance的信息,請閱讀完整的介紹。
Dell SecureWorks公司
Dell SecureWorks為各種規(guī)模的客戶同時提供有針對性和全球威脅情報,以及高級或附加服務(wù)。戴爾全球威脅情報(Dell Global Threat Intelligence)提供三種基于訂閱的數(shù)據(jù)源:漏洞、威脅和咨詢,這是一個通用或者說非針對性威脅情報服務(wù),它是基于從數(shù)千SecureWorks全球客戶收集的威脅數(shù)據(jù)。另一方面,戴爾針對性威脅情報(Dell Targeted Threat Intelligence)可以根據(jù)特定企業(yè)環(huán)境、品牌和管理人員進行定制化,以發(fā)現(xiàn)潛在威脅和構(gòu)成潛在風(fēng)險的威脅因素。SecureWorks附加服務(wù)包括攻擊者數(shù)據(jù)庫、CTU支持、惡意軟件分析和無邊界威脅監(jiān)控。想要了解更多有關(guān)Dell SecureWorks公司的信息,請閱讀完整的介紹。
FireEye威脅情報
FireEye威脅情報產(chǎn)品(FireEye Threat Intelligence)是基于設(shè)備的自動化抵御零日和其他高級網(wǎng)絡(luò)攻擊的平臺的一部分,小型、中型和大型企業(yè)客戶可以購買FireEye設(shè)備,再訂閱該威脅情報產(chǎn)品。該服務(wù)讓企業(yè)可以查看有關(guān)全球威脅的海量數(shù)據(jù),它旨在幫助FireEye客戶識別威脅因素和網(wǎng)絡(luò)及系統(tǒng)泄露事故的指標(biāo)。該服務(wù)提供三種數(shù)據(jù)源:動態(tài)、高級和高級+,想要了解更多有關(guān)FireEye Threat Intelligence的信息,請閱讀完整的介紹。
Internet Identify (IID) ActiveTrust
作為威脅情報服務(wù),Internet Identify(IID) ActiveTrust從很多經(jīng)審核的來源獲取數(shù)據(jù),包括執(zhí)法部門、互聯(lián)網(wǎng)基礎(chǔ)設(shè)施提供商、開源提供商和安全公司等。ActiveTrust對這些數(shù)據(jù)進行驗證、分析、篩選和分類,向客戶提供結(jié)構(gòu)化、規(guī)范化和語境化的數(shù)據(jù),其客戶通常是具有先進安全程序的較大型企業(yè)。IDD客戶通過以標(biāo)準(zhǔn)格式文件(例如CSV)訪問數(shù)據(jù)源,或者通過在不可路由IP空間的安全隧道使用API來獲取數(shù)據(jù)。這些數(shù)據(jù)會整合到客戶的安全信息和事件管理器(SIEM)、防火墻、入侵檢測系統(tǒng)/入侵防御系統(tǒng)或應(yīng)用。想要了解更多有關(guān)IID ActiveTrust的信息,請閱讀完整的介紹。
LogRhythm安全情報產(chǎn)品
LogRhythm安全情報產(chǎn)品是基于硬件的日志管理和SIEM產(chǎn)品,其中還包含集成軟件用于安裝,該產(chǎn)品為開箱即用。企業(yè)可基于其基礎(chǔ)設(shè)施規(guī)模和日志量來選擇適合自己的設(shè)備。該產(chǎn)品會收集和分析企業(yè)內(nèi)的日志、應(yīng)用、漏洞、事件、工作流和其他機器數(shù)據(jù),然后使用其人工智能引擎來識別以前未被發(fā)現(xiàn)的新出現(xiàn)的威脅。此平臺會將威脅情報直接整合到LogRhythm公司的平臺(不是作為單獨的數(shù)據(jù)源),它還提供工具用于主機取證、案例管理、白名單和文件完整性監(jiān)控。想要了解更多有關(guān)LogRhythm安全情報產(chǎn)品的信息,請閱讀完整的介紹。
RSA Live和RSA安全分析產(chǎn)品
RSA安全分析產(chǎn)品是一個監(jiān)控網(wǎng)絡(luò)平臺,它提供網(wǎng)絡(luò)取證和分析工具用于調(diào)查事件、分析數(shù)據(jù)包以及結(jié)合端點數(shù)據(jù)和日志信息。它讓客戶可對新出現(xiàn)的高級威脅(其他安全防御可能會錯過)進行快速檢測和采取行動。RSA Live是提供給RSA安全分析產(chǎn)品客戶使用的基于Web的威脅情報交付系統(tǒng)。RSA Live主要包含兩個層次:基本和增強層,這兩種包括威脅報告和警報、開源社區(qū)情報、通用協(xié)議和命令及控制報告、漏洞利用報識別、零日攻擊和攻擊指標(biāo),以及優(yōu)先的風(fēng)險水平。增強層還包含很多高級RSA FirstWatch功能。想要了解更多有關(guān)RSA Live和RSA安全分析產(chǎn)品的信息,請閱讀完整的介紹。
Symantec DeepSight安全情報產(chǎn)品
Symantec DeepSight安全情報產(chǎn)品是一種威脅情報服務(wù),它從賽門鐵克全球情報網(wǎng)絡(luò)(GIN)獲取信息,這是一個巨大的威脅數(shù)據(jù)資料庫,其中的數(shù)據(jù)主要來自數(shù)百萬客戶計算機和設(shè)備中運行的賽門鐵克安全產(chǎn)品的反饋,以及200多個國家數(shù)十萬傳感器的數(shù)據(jù)。GIN數(shù)據(jù)庫是世界上最大的威脅情報數(shù)據(jù)源之一。賽門鐵克向其客戶提供DeepSight情報數(shù)據(jù)源,其中包含聲譽、安全風(fēng)險和漏洞情報。聲譽數(shù)據(jù)通過SOAP Web服務(wù)連接以XML、CSV和CEF(通用事件格式)提供給客戶;安全風(fēng)險和漏洞數(shù)據(jù)則只以XML格式提供。賽門鐵克主要想具有內(nèi)部安全人員的較大型企業(yè)提供這些威脅信息。想要了解更多有關(guān)Symantec DeepSight安全情報產(chǎn)品的信息,請閱讀完整的介紹。
VeriSign iDefense
VeriSign iDefense安全情報服務(wù)補充了該公司現(xiàn)有的安全防御能力,該情報服務(wù)主要分析和提供有關(guān)零日威脅、惡意軟件和類似漏洞的可操作情報,并提供由各種政治和社會行為者對關(guān)鍵基礎(chǔ)設(shè)施發(fā)起的攻擊情報。除了提供實時威脅數(shù)據(jù)源,該服務(wù)還提供有關(guān)全國和地區(qū)性新興事件的詳細(xì)信息,并為特定行業(yè)和企業(yè)定制化報告。客戶可在VeriSign的iDefense Web門戶網(wǎng)站創(chuàng)建配置文件,在該門戶網(wǎng)站中他們還可以搜索威脅信息以及注冊接收每天自動情報提醒和定期總結(jié)及趨勢報告—專注于已知和新興威脅等??蛻羯踔量梢耘c威脅情報主題專家進行互動。VeriSign iDefense數(shù)據(jù)源主要來自400多家供應(yīng)商超過3萬臺受監(jiān)控系統(tǒng)和應(yīng)用。想要了解更多有關(guān)VeriSign iDefense的信息,請閱讀完整的介紹。
總結(jié)
現(xiàn)在市場上有大量威脅情報服務(wù),并且它們都以不同的方式提供和收集有關(guān)新興威脅的數(shù)據(jù)。有些服務(wù)很好地提供詳細(xì)的全球威脅報告,而有些則能夠深度分析以及向客戶提供針對行業(yè)或公司的定制化報告。此外,有些服務(wù)可更適用于已部署防御設(shè)備的企業(yè),而有些威脅情報服務(wù)則更容易集成到企業(yè)現(xiàn)有的安全控制—無論是否部署設(shè)備。
在企業(yè)選擇威脅情報服務(wù)時,預(yù)算將是主要考慮因素。企業(yè)在決定購買威脅情報服務(wù)之前,應(yīng)該評估本文中列出的每個威脅情報服務(wù)產(chǎn)品,直接比較這些頂級威脅情報服務(wù)。