針對網(wǎng)絡(luò)威脅提供準(zhǔn)確可行信息的威脅情報系統(tǒng)可以幫助IT人在攻擊產(chǎn)生真正的損害前將其消弭于無形。

威脅情報+大數(shù)據(jù)=真正的安全

8月初在拉斯維加斯舉行的黑帽大會上，威脅情報和用以標(biāo)記關(guān)鍵安全指示器的數(shù)據(jù)，理所應(yīng)當(dāng)?shù)爻蔀榱藷衢T話題。由于企業(yè)難以弄清他們網(wǎng)絡(luò)中的漏洞情況，他們不得不考慮用多層防御來保衛(wèi)最重要的數(shù)據(jù)。安全團隊被大量威脅數(shù)據(jù)淹沒，難以負(fù)荷指派無數(shù)人工從大量噪音數(shù)據(jù)中分揀出真正威脅的負(fù)擔(dān)。

十年前，威脅情報(TI)還只主要在聯(lián)邦政府部門和機構(gòu)中通行。如今，隨著商業(yè)世界的需要引發(fā)對威脅情報的需求，很多政府工作人員跳槽至私營產(chǎn)業(yè)，將可用于發(fā)展商業(yè)產(chǎn)品的大量協(xié)議知識也一并帶了過來。

廠商在不斷開發(fā)可令分析師的工作更為輕松的以客戶為中心的產(chǎn)品。各種各樣的平臺可被定制成適合不同企業(yè)特定需求的樣子。然而，要理解，有關(guān)此類產(chǎn)品的知識僅僅是成熟TI程序的一個部分：公司仍需要進(jìn)行內(nèi)部風(fēng)險評估并設(shè)計一套行動方案。

雖然TI正快速成為各種平臺和服務(wù)如雨后春筍般冒出的擁擠行當(dāng)，以下8種產(chǎn)品仍能幫助任何安全團隊有效利用他們的威脅數(shù)據(jù)并規(guī)整出適合他們公司的TI程序。

1. Endgame

成立于2008年的Endgame為美國國防部和廣大情報界提供軟件解決方案。在此領(lǐng)域，他們已遭遇過嚴(yán)峻敵對環(huán)境中某些相當(dāng)高端的網(wǎng)絡(luò)對手。

Endgame利用已知科學(xué)和政府及商業(yè)機構(gòu)必備的軟件自動化技術(shù)，結(jié)合業(yè)界對企業(yè)漏洞的認(rèn)識和不斷發(fā)展的威脅狀況，“換位思考”，像一個網(wǎng)絡(luò)罪犯一樣看問題。Endgame令客戶得以在造成破壞和損失前自動化地捕獵、追蹤、獲取和清除最先進(jìn)的威脅。

依靠公司數(shù)據(jù)科學(xué)家團隊的研究，Endgame宣稱要打造全面的檢測和響應(yīng)策略，即使在虛擬環(huán)境中也能部署，意圖阻擋瞄準(zhǔn)關(guān)鍵商業(yè)資產(chǎn)的高端網(wǎng)絡(luò)恐怖分子。

2. ThreatQuotient

Threat Q是ThreatQuotient在威脅情報技術(shù)上的最新創(chuàng)新。這一本地威脅情報平臺使用中央分析庫來自動化、結(jié)構(gòu)化和管理所有威脅情報。

ThreatQuotient在過去2年里研究了威脅情報領(lǐng)域紛亂復(fù)雜的情況以確定什么才是業(yè)界所缺乏的，以及提供商需要創(chuàng)建怎樣的商業(yè)平臺。ThreatQuotient總裁江偉恩說：“我們專注于4個關(guān)鍵特性?？蓴U展性、豐富性、集成性和評分?！?/p>

ThreatQuotient發(fā)現(xiàn)，商業(yè)平臺威脅情報提供商往往提供大量數(shù)據(jù)，但如江所指出的，“沒有中央庫，安全團隊無法有效利用這些數(shù)據(jù)。因此，客戶方被迫從大量威脅數(shù)據(jù)中挑揀出自己能用的?！盩hreatQ則不然，它旨在令用戶攝入并集中數(shù)據(jù)，自動化部署。

3. TruSTAR

使用TruSTAR，企業(yè)安全團隊可以匿名共享安全事件和共同協(xié)作而不用擔(dān)心追責(zé)、法律問題或名譽受損。

TruSTAR技術(shù)公司首席執(zhí)行官保羅·克茲說：“我們致力于使公司共享數(shù)據(jù)。我們賦予他們匿名性。他們可以與我們共享數(shù)據(jù)，而我們可以關(guān)聯(lián)那些數(shù)據(jù)。我們同時也采用端對端加密令首席信息安全官們協(xié)同工作?！?/p>

TruSTAR正在10家財富500強企業(yè)中對其服務(wù)進(jìn)行貝塔測試。它還擁有一個正在申請專利的匿名保證算法——用戶可借此匿名發(fā)送威脅報告而不用擔(dān)心會被追蹤到。

匿名性是關(guān)鍵。如克茲所說：“我們需要跨產(chǎn)業(yè)共享以開啟更快的攻擊攔阻。壞人利用同一套命令與控制基礎(chǔ)設(shè)施追逐多種產(chǎn)業(yè)里的目標(biāo)，而我們使用大家都用的常見硬件和軟件。”換句話說，單一領(lǐng)域內(nèi)的專家不能解決問題。

4. BrightPoint

無論企業(yè)是否想知道自己是不是被攻擊，或在發(fā)現(xiàn)奇異行為時該怎樣響應(yīng)，威脅情報都可以通知其響應(yīng)部門并確定那些威脅時可作出反應(yīng)的。

BrightPoint安全公司旨在針對當(dāng)前和緊急網(wǎng)絡(luò)威脅情況下提供可自動化收集、分析、關(guān)聯(lián)和安全共享結(jié)構(gòu)化及非結(jié)構(gòu)化數(shù)據(jù)的威脅情報平臺。BrightPoint的標(biāo)準(zhǔn)包括吸收結(jié)構(gòu)化及非結(jié)構(gòu)化威脅反饋，但他們也優(yōu)先考慮與其他可信任組織共享威脅情報以及情報可視化。

根據(jù)企業(yè)戰(zhàn)略集團的《2015威脅情報調(diào)查報告》，用戶最重視的就是這一共享特性。這包括了在政府機構(gòu)和私營企業(yè)之間共享威脅情報信息。像BrightPoint這樣的平臺能夠幫助威脅情報共享的自動化進(jìn)程。

5. Norse

Norse提供實時攻擊情報，并宣稱其結(jié)合了自動化和人工威脅監(jiān)視的混合模型能夠幫助公司封鎖住其他系統(tǒng)會遺漏的威脅。Norse情報網(wǎng)絡(luò)服務(wù)于金融、政府和技術(shù)機構(gòu)，以其遍布全球的數(shù)百萬傳感器、蜜罐、爬蟲程序和代理組成的“遠(yuǎn)程預(yù)警”網(wǎng)格穩(wěn)坐威脅偵測領(lǐng)域全球領(lǐng)先位置。事實上，他們的Norse攻擊地圖就能實時顯示Norse網(wǎng)絡(luò)中正在發(fā)生的網(wǎng)絡(luò)攻擊事件總攬，包括攻擊來源、攻擊目的地址、攻擊類型等等詳細(xì)信息。

6. Webroot

Webroot研究惡意網(wǎng)頁活動超過了15年，其安全情報主管格雷森·米爾本聲稱：“所有網(wǎng)站中的5%要么是惡意的要么是可疑的?！北M管這一數(shù)字看起來不高，卻仍然代表了大約2千萬個網(wǎng)站。

Webroot的BrightCloud威脅情報服務(wù)平臺采用一種能在收集到的大量數(shù)據(jù)中畫出關(guān)聯(lián)關(guān)系的機器學(xué)習(xí)技術(shù)。他們提供實時反網(wǎng)絡(luò)釣魚技術(shù)，以及一套聲稱能幫助識別并挫敗99%所遇威脅的評分系統(tǒng)。

他們還采用了主動式學(xué)習(xí)技術(shù)，利用即時反饋環(huán)作為對機器學(xué)習(xí)模型進(jìn)行再訓(xùn)練的方法，使得Webroot的研究人員可以動態(tài)調(diào)整信任值。

7. Twistlock

容器采用的最大障礙——安全，是Twistlock希望解決的事務(wù)。利用一套最新通用漏洞披露(CVE)和安全標(biāo)準(zhǔn)的集成情報流，Twistlock的解決方案工具為容器及其中的內(nèi)容提供帶有高級身份驗證和授權(quán)能力的粒狀安全策略。

Twistlock的架構(gòu)有3個層級。第一層，情報流提供近實時的CVE和來自開源社區(qū)、廠商和政府?dāng)?shù)據(jù)源的推薦配置的聯(lián)結(jié)。第二層，容器控制臺，消費這一情報流。第三層是容器防御者，消費并施行防御策略。

8. LogRhythm

LogRhythm宣稱要減少公司企業(yè)在網(wǎng)絡(luò)入侵者找到立足點和造成任何真實損害前偵測到他們所用的時間。它的整體威脅分析套裝聲稱能夠通過分析一些潛在入口——用戶、網(wǎng)絡(luò)和終端，來檢測到行為異常，令他們的軟件得以識別出各種各樣來自高級網(wǎng)絡(luò)威脅的系統(tǒng)被侵入事件。該整體威脅分析模塊，連同LogRhythm的用戶威脅分析模塊和網(wǎng)絡(luò)威脅分析模塊一起，應(yīng)當(dāng)能是客戶更早地偵測到入侵，無論這些入侵源自何處。

LogRhythm還融入了來自商業(yè)廠家和大量開源情報反饋的實時威脅情報數(shù)據(jù)，可以幫助他們的客戶將網(wǎng)絡(luò)安全節(jié)點與他們已經(jīng)收集、處理和分析的數(shù)據(jù)連接上。而這種連接行為，又可幫助他們采取任何需要的對策以防護(hù)自身免遭大型入侵的破壞。

原文地址：http://www.aqniu.com/neo-points/9979.html