威胁情报服务可帮助企业更好地了解针对其的威胁和风险,例如零日和高级持续威胁等,威胁情报服务会分析和筛选数据,并以管理报告和数据源的形式生成有用的信息用于自动化安全控制系统。
如果企业只是确保防火墙、反恶意软件和类似的保护措施良好运作以及保持更新,并不足以抵御现在的恶意威胁。威胁情报服务可帮助企业保持其IT基础设施的更新,让安全专业人员更好地积极阻止安全漏洞,并采取行动来防止数据丢失或系统故障,从而有效地抵御攻击者。
然而,并不是每个企业都适合使用威胁情报服务,这主要是因为全面的情报订阅非常昂贵。如果企业确定威胁情报是不错的选择和投资,并且已经开始调查威胁情报服务的采购过程,这些企业会发现现在有很多不同的服务可供选择。
为了帮助企业更好地做出选择,下面列出了当今市场上顶级威胁情报产品:
Cyveillance公司
B2B网络情报提供商Cyveillance为安全和威胁分析师提供基于云的Cyveillance网络威胁中心平台。该平台会从数百万在线资源收集数字和物理威胁数据信息,并通过安全的FTP或HTTPS Web服务以XML形式提供有关网络钓鱼网址和恶意网址的数据信息,包括高风险的主机、域名、网站、恶意有效载荷和IP地址等。Cyveillance其中一位客户是典型的中型或企业规模公司,他们有自己的安全运营中心或威胁情报中心,至少有一名全职安全分析师。想要了解更多关于Cyveillance的信息,请阅读完整的介绍。
Dell SecureWorks公司
Dell SecureWorks为各种规模的客户同时提供有针对性和全球威胁情报,以及高级或附加服务。戴尔全球威胁情报(Dell Global Threat Intelligence)提供三种基于订阅的数据源:漏洞、威胁和咨询,这是一个通用或者说非针对性威胁情报服务,它是基于从数千SecureWorks全球客户收集的威胁数据。另一方面,戴尔针对性威胁情报(Dell Targeted Threat Intelligence)可以根据特定企业环境、品牌和管理人员进行定制化,以发现潜在威胁和构成潜在风险的威胁因素。SecureWorks附加服务包括攻击者数据库、CTU支持、恶意软件分析和无边界威胁监控。想要了解更多有关Dell SecureWorks公司的信息,请阅读完整的介绍。
FireEye威胁情报
FireEye威胁情报产品(FireEye Threat Intelligence)是基于设备的自动化抵御零日和其他高级网络攻击的平台的一部分,小型、中型和大型企业客户可以购买FireEye设备,再订阅该威胁情报产品。该服务让企业可以查看有关全球威胁的海量数据,它旨在帮助FireEye客户识别威胁因素和网络及系统泄露事故的指标。该服务提供三种数据源:动态、高级和高级+,想要了解更多有关FireEye Threat Intelligence的信息,请阅读完整的介绍。
Internet Identify (IID) ActiveTrust
作为威胁情报服务,Internet Identify(IID) ActiveTrust从很多经审核的来源获取数据,包括执法部门、互联网基础设施提供商、开源提供商和安全公司等。ActiveTrust对这些数据进行验证、分析、筛选和分类,向客户提供结构化、规范化和语境化的数据,其客户通常是具有先进安全程序的较大型企业。IDD客户通过以标准格式文件(例如CSV)访问数据源,或者通过在不可路由IP空间的安全隧道使用API来获取数据。这些数据会整合到客户的安全信息和事件管理器(SIEM)、防火墙、入侵检测系统/入侵防御系统或应用。想要了解更多有关IID ActiveTrust的信息,请阅读完整的介绍。
LogRhythm安全情报产品
LogRhythm安全情报产品是基于硬件的日志管理和SIEM产品,其中还包含集成软件用于安装,该产品为开箱即用。企业可基于其基础设施规模和日志量来选择适合自己的设备。该产品会收集和分析企业内的日志、应用、漏洞、事件、工作流和其他机器数据,然后使用其人工智能引擎来识别以前未被发现的新出现的威胁。此平台会将威胁情报直接整合到LogRhythm公司的平台(不是作为单独的数据源),它还提供工具用于主机取证、案例管理、白名单和文件完整性监控。想要了解更多有关LogRhythm安全情报产品的信息,请阅读完整的介绍。
RSA Live和RSA安全分析产品
RSA安全分析产品是一个监控网络平台,它提供网络取证和分析工具用于调查事件、分析数据包以及结合端点数据和日志信息。它让客户可对新出现的高级威胁(其他安全防御可能会错过)进行快速检测和采取行动。RSA Live是提供给RSA安全分析产品客户使用的基于Web的威胁情报交付系统。RSA Live主要包含两个层次:基本和增强层,这两种包括威胁报告和警报、开源社区情报、通用协议和命令及控制报告、漏洞利用报识别、零日攻击和攻击指标,以及优先的风险水平。增强层还包含很多高级RSA FirstWatch功能。想要了解更多有关RSA Live和RSA安全分析产品的信息,请阅读完整的介绍。
Symantec DeepSight安全情报产品
Symantec DeepSight安全情报产品是一种威胁情报服务,它从赛门铁克全球情报网络(GIN)获取信息,这是一个巨大的威胁数据资料库,其中的数据主要来自数百万客户计算机和设备中运行的赛门铁克安全产品的反馈,以及200多个国家数十万传感器的数据。GIN数据库是世界上最大的威胁情报数据源之一。赛门铁克向其客户提供DeepSight情报数据源,其中包含声誉、安全风险和漏洞情报。声誉数据通过SOAP Web服务连接以XML、CSV和CEF(通用事件格式)提供给客户;安全风险和漏洞数据则只以XML格式提供。赛门铁克主要想具有内部安全人员的较大型企业提供这些威胁信息。想要了解更多有关Symantec DeepSight安全情报产品的信息,请阅读完整的介绍。
VeriSign iDefense
VeriSign iDefense安全情报服务补充了该公司现有的安全防御能力,该情报服务主要分析和提供有关零日威胁、恶意软件和类似漏洞的可操作情报,并提供由各种政治和社会行为者对关键基础设施发起的攻击情报。除了提供实时威胁数据源,该服务还提供有关全国和地区性新兴事件的详细信息,并为特定行业和企业定制化报告。客户可在VeriSign的iDefense Web门户网站创建配置文件,在该门户网站中他们还可以搜索威胁信息以及注册接收每天自动情报提醒和定期总结及趋势报告—专注于已知和新兴威胁等。客户甚至可以与威胁情报主题专家进行互动。VeriSign iDefense数据源主要来自400多家供应商超过3万台受监控系统和应用。想要了解更多有关VeriSign iDefense的信息,请阅读完整的介绍。
总结
现在市场上有大量威胁情报服务,并且它们都以不同的方式提供和收集有关新兴威胁的数据。有些服务很好地提供详细的全球威胁报告,而有些则能够深度分析以及向客户提供针对行业或公司的定制化报告。此外,有些服务可更适用于已部署防御设备的企业,而有些威胁情报服务则更容易集成到企业现有的安全控制—无论是否部署设备。
在企业选择威胁情报服务时,预算将是主要考虑因素。企业在决定购买威胁情报服务之前,应该评估本文中列出的每个威胁情报服务产品,直接比较这些顶级威胁情报服务。