前兩年大熱的電視劇《偽裝者》中，提到了一份“死間計(jì)劃”，這一幕在戰(zhàn)場曾真實(shí)發(fā)生過。二戰(zhàn)中，盟軍依靠計(jì)算機(jī)之父圖靈破解了德國的密碼，得知德國馬上要對考文垂進(jìn)行轟炸。但是為了爭取更大的決定性勝利，盟軍選擇不讓德國人知道己方已經(jīng)破譯了其密碼。因此盟軍方面沒有對考文垂進(jìn)行有針對性的的防御措施。于是德國人相信其密碼依然是安全的，從而一步步走進(jìn)了盟軍的圈套。

在威脅情報中，安全公司同樣運(yùn)用類似的方法和黑客斗法。例如：穿梭于各大安全論壇，裝作黑客的樣子，開心地與之討論最近哪種攻擊方式最流行，有哪些漏洞可以利用。然后回家修補(bǔ)漏洞。

一、威脅情報

21世紀(jì)已經(jīng)步入科技時代、互聯(lián)網(wǎng)時代，在這個時代，我們獲得了太多的便利。借助互聯(lián)網(wǎng)，似乎只有我們想不到的，沒有搜不到的。互聯(lián)網(wǎng)時代下的網(wǎng)絡(luò)，集合了各類數(shù)據(jù)，為當(dāng)下的生產(chǎn)生活提供了參考指南。然而任何事物的發(fā)展，從來都不會是一蹴而就的，也都不是一帆風(fēng)順的。我們在正視網(wǎng)絡(luò)帶來的諸多好處的同時，也應(yīng)理性、冷靜對待同時帶來的一些弊端。

當(dāng)前，網(wǎng)絡(luò)空間的廣度和深度不斷拓展、安全攻防戰(zhàn)日趨激烈，傳統(tǒng)的安全思維模式和安全技術(shù)已經(jīng)無法有效滿足政企客戶安全防護(hù)的需要，新的安全理念、新的安全技術(shù)不斷涌現(xiàn)，當(dāng)前的網(wǎng)絡(luò)安全正處在一個轉(zhuǎn)型升級的上升期。

1. 傳統(tǒng)網(wǎng)絡(luò)防御

傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)手段主要采取攻擊行為感知、收集與分析、通報等防御手段，通過部署防火墻、入侵檢測系統(tǒng)等安全產(chǎn)品，配置相應(yīng)訪問控制策略和審計(jì)策略，對網(wǎng)絡(luò)安全狀況進(jìn)行監(jiān)測。當(dāng)發(fā)生網(wǎng)絡(luò)安全事件時，采取應(yīng)急響應(yīng)和地域措施，事后進(jìn)行備份與恢復(fù)操作。雖然這種防護(hù)模式能抵御一定的網(wǎng)絡(luò)安全攻擊，但仍具有滯后性，事件處理效果受限于安全事件的識別能力、響應(yīng)速度及時候數(shù)據(jù)備份與恢復(fù)的效率。

目前，安全界普遍認(rèn)同的一個理念是：僅僅防御是不夠的，被動的“挨打”永遠(yuǎn)不會是解決之道，要想保證自身的安全，需要拿起武器，主動反擊。在這樣的反擊戰(zhàn)中，所謂“知己知彼，百戰(zhàn)不殆”，實(shí)時掌握對方形勢動態(tài)，才能更好的響應(yīng)與應(yīng)對。安全情報，就像是八百里加急快報送來的敵情。

2. 安全情報與威脅情報

安全情報(Security Intelligence)是一個寬泛的概念，主要包括了威脅情報、漏洞情報、事件情報以及基礎(chǔ)數(shù)據(jù)情報。其中，威脅情報已然成為近幾年國內(nèi)外安全領(lǐng)域的熱點(diǎn)。這里的“情報”既是知識，也是載體，既是輸入，也是輸出。

如果將威脅情報單純的理解為“敵情”和“知彼”，安全情報在這個基礎(chǔ)上還需要關(guān)注“我情”和“知己”，因此安全情報也可以被稱為“廣義威脅情報”。

3. 威脅情報重要性

信息安全教主級公司Gartner認(rèn)為，威脅情報是一種基于證據(jù)的知識，包括了情境、機(jī)制、指標(biāo)、隱含和實(shí)際可行的建議。威脅情報描述了現(xiàn)存的、或者是即將出現(xiàn)的針對資產(chǎn)的威脅或危險，并可以用于通知主體針對相關(guān)威脅或危險采取某種響應(yīng)。簡言之，威脅情報可以幫助企業(yè)和組織快速了解到敵對方對自己的威脅信息，從而幫助他們提前做好威脅防范、更快速地進(jìn)行攻擊檢測與響應(yīng)、更高效地進(jìn)行事后攻擊溯源。

具體來說，威脅情報可以幫助人們解決如下問題：

• 如何跟得上包括惡意攻擊、攻擊方法、安全漏洞、黑客目標(biāo)等等在內(nèi)的如潮水般海量的安全威脅信息?
• 面對未來的安全威脅，如何獲取更多的主動?
• 如何向領(lǐng)導(dǎo)匯報具體安全威脅的危險和影響?

“所有的系統(tǒng)一定可以被入侵。”這是威脅情報專家，Sec-UN網(wǎng)站創(chuàng)始人金湘宇給出的“悲觀論斷”。他認(rèn)為，互聯(lián)網(wǎng)攻擊的技術(shù)在不斷提高，而所有的系統(tǒng)都存在漏洞，避免被攻擊在邏輯上并不成立。

原來認(rèn)為網(wǎng)絡(luò)安全就是做木桶，只要補(bǔ)上短板就可以高枕無憂，現(xiàn)在發(fā)現(xiàn)安全玩的是塔防，要實(shí)時應(yīng)對到來的威脅。往往網(wǎng)站信息泄露數(shù)天之后，被攻擊者才得知自己遭受攻擊，這樣的攻防已經(jīng)完全失衡了。

因此，可以想象一份及時、精準(zhǔn)的威脅情報對于網(wǎng)絡(luò)防御是多么的重要。通過威脅情報，企業(yè)會對未來的攻擊擁有免疫力，這就徹底改變了原本的攻防態(tài)勢。原來也許黑客可以用上整整一年的攻擊手段，一旦進(jìn)入威脅情報，就被重點(diǎn)監(jiān)控。如果攻擊者第二次還在用同樣的后門，就等于主動跑到了探照燈下羊入虎口，你還死不死?

小編聯(lián)想到之前某個論壇上有“大神”爆料，目前美國正在有計(jì)劃有組織地曝光其他國家對其基礎(chǔ)設(shè)施發(fā)動的攻擊。這句話讓人細(xì)思極恐，這表明美國或許已經(jīng)擁有了一份精準(zhǔn)的威脅情報，對其攻擊者的攻擊路徑已經(jīng)了如指掌。為了不打草驚蛇，其中有60%—70%的攻擊路徑，美國并沒有曝光，目的就是給對手造成一種假象。沒錯，美國正在靜靜地看著對手“表演”。

4 .威脅情報處理流程

• 計(jì)劃、要求和方向——情報收集的計(jì)劃和方向包括對整個情報工作的管理(從有限情報要求到最終情報產(chǎn)品)。
• 收集——建立好的方向，威脅情報服務(wù)從相關(guān)來源里收集潛在有用的原始數(shù)據(jù)。
• 處理——將收集到的數(shù)據(jù)轉(zhuǎn)換為更適用于詳細(xì)分析的標(biāo)準(zhǔn)格式。
• 分析和產(chǎn)品——收集到的數(shù)據(jù)被安全行業(yè)內(nèi)的專家分析以辨識出對消費(fèi)者環(huán)境的潛在威脅，用來對相應(yīng)威脅產(chǎn)生響應(yīng)的威脅對策也在這一階段開發(fā)。
• 傳播——情報分析結(jié)果提交給客戶，以便執(zhí)行保護(hù)性措施。

二、威脅情報廠商

根據(jù)真實(shí)事件改編的電影《斯諾登》中的一句話，“Secrecy is security and security is victory”，其中的含義不言而喻。

在小編看來，電影中的情節(jié)并不夸張。生活在互聯(lián)網(wǎng)時代，無論是從國家層面還是企業(yè)層面，安全領(lǐng)域打的就是信息戰(zhàn)。如今，越來越多的企業(yè)高層意識到，威脅情報是針對高級網(wǎng)絡(luò)攻擊的有力武器。根據(jù)Gartner分析師Rob McMillan和Khusbu Pratap的說法：“到2018年，全球60%的大型企業(yè)將使用商用威脅情報服務(wù)，幫助他們制定安全策略。”

那么，世界上現(xiàn)在有哪些代表性的威脅情報廠商呢?

1. 美國廠商

(1) Palo Alto Networks

創(chuàng)立于2005年，總部位于美國加利福尼亞州圣克拉拉，是一家為網(wǎng)絡(luò)及資訊安全軟件制作商，提供網(wǎng)絡(luò)安全解決方案，其核心平臺的防火牆，為在整個企業(yè)網(wǎng)路上傳輸?shù)膽?yīng)用程式、使用者和內(nèi)容提供可視度和控制。

產(chǎn)品：Palo Alto Networks AutoFocus

Palo Alto Networks AutoFocus威脅情報服務(wù)，能夠?yàn)楦鞣N規(guī)模的組織提供威脅分析，包括智能分析、相關(guān)性分析、上下文分析，并自動響應(yīng)實(shí)時事件，做出實(shí)時流量防護(hù)分析。

(2) AlienVault

AlienVault是硅谷初創(chuàng)網(wǎng)絡(luò)安全企業(yè)，業(yè)務(wù)主要針對中小型企業(yè)提供統(tǒng)一安全管理平臺(USM)、開放式威脅情報交換平臺(OTX)等網(wǎng)絡(luò)安全產(chǎn)品。該公司已于2018年7月被美國移動運(yùn)營商AT&T宣布收購。

產(chǎn)品：OTX開源威脅情報社區(qū)、USM安全管理平臺(軟件部署)

AlienVault旗下產(chǎn)品OTX是全球最大的免費(fèi)威脅情報社區(qū)，每天能夠提供超過400，000個威脅情報指標(biāo)。另一產(chǎn)品USM統(tǒng)一安全管理平臺(Unified Security Management)是通過單一平臺進(jìn)行企業(yè)整體安全業(yè)務(wù)管理。聲稱能夠從網(wǎng)絡(luò)中的任何地方發(fā)現(xiàn)威脅，而不僅僅通過防火墻，且能夠?qū)l(fā)現(xiàn)的威脅以KILL CHAIN的不同階段進(jìn)行歸類。USM能夠提供：統(tǒng)一、協(xié)調(diào)的安全監(jiān)控;簡單安全事件管理和報告;持續(xù)的威脅情報信息;快速部署;集成多項(xiàng)安全功能。

(3) IBM Security

IBM(國際商業(yè)機(jī)器公司)或萬國商業(yè)機(jī)器公司，簡稱IBM(International Business Machines Corporation)?？偣驹诩~約州阿蒙克市。1911年托馬斯·沃森創(chuàng)立于美國，是全球最大的信息技術(shù)和業(yè)務(wù)解決方案公司。2006年IBM收購Internet Security Systems 和X-Force,2007年收購的Watchfire，2013年收購的Trusteer，加上自己的安全部門和研發(fā)部門，開拓了自己的威脅情報業(yè)務(wù)。IBM的威脅情報業(yè)務(wù)基本與其他服務(wù)捆綁在一起，只有X-Force威脅分析服務(wù)和高級網(wǎng)絡(luò)威脅情報服務(wù)是例外。IBM的內(nèi)容分析SDK也可以介入威脅情報源。

產(chǎn)品：x-force 情報社區(qū)、脅情報服務(wù)(MSSP)、QRadar安全情報平臺

x-force 情報社區(qū)是一個協(xié)同威脅情報平臺，它能幫助安全分析師研究威脅目標(biāo)，以幫助加快行動的速度，并且每個月能夠免費(fèi)提供5000條安全記錄。它擁有查詢功能和無限的可擴(kuò)展性，并可以提供IP和URL、web應(yīng)用程序、惡意軟件、漏洞和垃圾郵件相關(guān)的情報。

(4) Anomali

威脅情報平臺供應(yīng)商，總部位于美國。截至2018年1約17日，該公司累計(jì)融資9600萬美金，其背后有谷歌公司、中央情報局(CIA)投資。

產(chǎn)品：ThreatStream

ThreatStream聚集了數(shù)以萬計(jì)的威脅情報信息來識別新的攻擊,并發(fā)現(xiàn)已知的漏洞,使安全團(tuán)隊(duì)能夠快速發(fā)現(xiàn)并阻止相關(guān)威脅。 其主要功能包括:重復(fù)數(shù)據(jù)刪除，清除誤報,與其他安全工具集成，并防止釣魚郵件竊取你的數(shù)據(jù)。 該公司還提供幾個免費(fèi)的威脅情報工具。

(5) Crowdstrike

CrowdStrike由兩名McAfee前員工于2011年創(chuàng)立。該公司提供專注于檢測和阻止定向攻擊，特色是主動防御。幫助政府和企業(yè)發(fā)現(xiàn)并阻止正在發(fā)生的黑客攻擊?？蛻舫^170個國家，全球十大企業(yè)中有三家，全球十大金融機(jī)構(gòu)有五家使用crowdstrike的服務(wù)。其產(chǎn)品Falcon系統(tǒng)是一個主動防御的大數(shù)據(jù)云平臺。

產(chǎn)品：Falcon終端EDR、Falcon威脅情報訂閱和Falcon平臺

Falcon終端EDR：Falcon終端檢測和響應(yīng)服務(wù)方案能夠解決Silent failure的問題。(Silent failure:威脅發(fā)生到警報響起中間的這段時間)。其聲稱只需5秒調(diào)查就能發(fā)現(xiàn)歷史和正在進(jìn)行的終端行為;結(jié)合威脅情報能力，具備更全面的視角和戰(zhàn)術(shù)、技術(shù)的事件響應(yīng)能力。部署簡單，無需硬件和存儲資源。

Falcon威脅情報訂閱(Falcon Threat Intelligence)：能夠獲取及時準(zhǔn)確的情報信息。支持多種輸出格式：yara, snort, CEF等。提供API方式獲取情報信息，包括IOC。已分析出了超過70個攻擊者的技術(shù)、戰(zhàn)術(shù)和規(guī)程信息(TTPs)和攻擊團(tuán)伙信息。提供有API和 Feeds，可以輕松和現(xiàn)存基礎(chǔ)設(shè)施對接。目前已聯(lián)合以下公司加入威脅情報交換計(jì)劃：Agiliance, Centripetal Networks, Check Point Software Technologies, Ltd., General Dynamics Fidelis Cybersecurity Solutions, LogRhythm, ThreatQuotient, and ThreatStream.

Falcon平臺：基于大數(shù)據(jù)分析的主動防御平臺，可監(jiān)控企業(yè)的數(shù)據(jù)，偵測零日威脅，并防止定向攻擊造成的破壞。平臺還可以識別惡意軟件，學(xué)習(xí)攻擊者特征，然后形成一套響應(yīng)措施，提高對方攻擊的風(fēng)險和代價。

(6) Secureworks

Secureworks是Dell旗下公司，去年獨(dú)立上市。SecureWorks 是比較典型的MSSP(托管安全服務(wù)商)，因此較為中立，整合了全球多家技術(shù)和方案為客戶提供服務(wù)，主要為客戶提供安全服務(wù)、安全與風(fēng)險咨詢以及威脅情報等。

產(chǎn)品：Enterprise Security Counter Threat Platform(SaaS)

為各種規(guī)模的客戶同時提供有針對性和全球威脅情報，以及高級或附加服務(wù)。戴爾全球威脅情報(Dell Global Threat Intelligence)提供三種基于訂閱的數(shù)據(jù)源：漏洞、威脅和咨詢，這是一個通用或者說非針對性威脅情報服務(wù)，它是基于從數(shù)千SecureWorks全球客戶收集的威脅數(shù)據(jù)。另一方面，戴爾針對性威脅情報(Dell Targeted Threat Intelligence)可以根據(jù)特定企業(yè)環(huán)境、品牌和管理人員進(jìn)行定制化，以發(fā)現(xiàn)潛在威脅和構(gòu)成潛在風(fēng)險的威脅因素。SecureWorks附加服務(wù)包括攻擊者數(shù)據(jù)庫、CTU支持、惡意軟件分析和無邊界威脅監(jiān)控。

(7) Fireeye(火眼)

FireEye是一家提供APT防護(hù)產(chǎn)品及服務(wù)的公司，成立于2004年。FireEye近年來積極開展威脅情報業(yè)務(wù)并進(jìn)行戰(zhàn)略合作。FireEye的高級威脅情報(ATI+)從FireEye全球傳感器(核心是其大名鼎鼎的沙箱系列產(chǎn)品)中提取威脅數(shù)據(jù)，并與旗下公司曼迪昂特(Mandiant)的事件響應(yīng)數(shù)據(jù)相融合，產(chǎn)生情報產(chǎn)品。FireEye目前能夠提供戰(zhàn)術(shù)、戰(zhàn)略和運(yùn)營情報。2016年它收購了老牌的威脅情報廠商iSightPartners，使其在威脅情報方面的實(shí)力更上一層樓。

產(chǎn)品：iSIGHT威脅情報訂閱、威脅情報服務(wù)、郵件安全(硬件)、終端安全、威脅分析平臺

FireEye提供5種不同的iSIGHT情報訂閱，專門為不同的安全工作角色而設(shè)計(jì)：

• iSIGHT戰(zhàn)術(shù)情報：針對戰(zhàn)術(shù)性技術(shù)性用戶，該基本訂閱服務(wù)提供豐富的數(shù)據(jù)源和警報。戰(zhàn)術(shù)性用戶沒有門戶訪問權(quán)限，所以他們不會收到情報報告。
• iSIGHT操作情報：針對安全運(yùn)營中心(SOC)人員以及事件響應(yīng)(IR)團(tuán)隊(duì)，此訂閱服務(wù)提供可操作內(nèi)容，例如威脅行為者和惡意軟件配置文件，以及數(shù)據(jù)源和情報。它還包括優(yōu)先級過濾器，以幫助安全人員首先關(guān)注高優(yōu)先級威脅。
• iSIGHT融合情報：該情報中的分析報告和技術(shù)情報可幫助SOC和IR人員搜索攻擊者，并且，該情報是根據(jù)企業(yè)網(wǎng)絡(luò)風(fēng)險配置文件而定制。該訂閱服務(wù)包含“操作情報訂閱”中所有內(nèi)容，并包括防御方案、行業(yè)分析等。
• iSIGHT高管情報：該訂閱服務(wù)針對首席信息安全官以及管理人員，這可為他們提供精簡的非技術(shù)信息來做出風(fēng)險、投資和戰(zhàn)略決策。
• iSIGHT漏洞情報：此訂閱服務(wù)主要針對負(fù)責(zé)確保補(bǔ)丁管理執(zhí)行以及評估和優(yōu)先排序漏洞的IT人員。該訂閱提供的數(shù)據(jù)包括修補(bǔ)程序的信息，以及新興威脅信息。

FireEye Threat Intelligence是基于設(shè)備的自動化抵御零日和其他高級網(wǎng)絡(luò)攻擊的平臺的一部分，小型、中型和大型企業(yè)客戶可以購買FireEye設(shè)備，再訂閱其威脅情報產(chǎn)品。該服務(wù)讓企業(yè)可以查看有關(guān)全球威脅的海量數(shù)據(jù)，它旨在幫助FireEye客戶識別威脅因素和網(wǎng)絡(luò)及系統(tǒng)泄露事故的指標(biāo)。該服務(wù)提供三種級別的威脅情報訂閱：動態(tài)、高級和高級+。

(8) Symantec(賽門鐵克)

賽門鐵克是信息安全領(lǐng)域全球領(lǐng)先的解決方案提供商, 成立于1982年，公司總部位于加利福尼亞州的 Cupertino，現(xiàn)已在全球 40 多個國家和地區(qū)設(shè)有分支機(jī)構(gòu)。

產(chǎn)品：DeepSight Intelligence

在威脅情報市場，賽門鐵克最知名的就是DeepSight服務(wù)，屬于實(shí)時監(jiān)控和通知的范疇，提供安全風(fēng)險，漏洞，IP，URL，域名信用庫情報。賽門鐵克較高端的服務(wù)提供更深入的分析，基于這一點(diǎn)，賽門鐵克在威脅情報的獲取和分析方面并不突出。賽門鐵克提供分集的服務(wù)，以滿足低預(yù)算和高預(yù)算的需求，大部分客戶購買的為低價服務(wù)，而高價服務(wù)的交易額占其收入的很大部分。像賽門鐵克這樣大型的企業(yè)，業(yè)務(wù)遍布全球多個地區(qū)，但略微偏向北美，涉及眾多垂直行業(yè)，較為倚重金融服務(wù)。

(9) RiskIQ

RiskIQ成立于2009年，RiskIQ定位為數(shù)字風(fēng)險監(jiān)控廠商。致力于讓企業(yè)及組織客戶能夠訪問安全智能和應(yīng)用程序，從而保護(hù)數(shù)字攻擊面、定位業(yè)務(wù)風(fēng)險?？蛻裟軌螂S時發(fā)現(xiàn)和處理惡意軟件、惡意廣告和惡意 App，降低網(wǎng)絡(luò)、移動及社交工具的威脅。RiskIQ 通過全球代理網(wǎng)絡(luò)每天持續(xù)掃描數(shù)以千萬計(jì)的網(wǎng)站，隨時向客戶報告異常情況。據(jù)悉美國前十大金融機(jī)構(gòu)中有八家都適用RiskIQ追蹤監(jiān)控企業(yè)web和移動應(yīng)用資產(chǎn)。2015年收購Passive Total的威脅分析平臺擴(kuò)張自己的服務(wù)領(lǐng)域。

產(chǎn)品： PassiveTotal威脅分析平臺、安全情報服務(wù)

(10) TrendMicro(趨勢科技)

總部位于日本東京和美國硅谷，在全球38個國家和地區(qū)設(shè)有分公司，擁有7個全球研發(fā)中心，是一家高速成長的跨國信息安全軟件公司。

產(chǎn)品：趨勢科技旗下Digital Vaccine Labs提供實(shí)時、準(zhǔn)確的威脅情報，TippingPoint Advanced Threat Protection系列產(chǎn)品可通過監(jiān)控所有端口和100多種協(xié)議，檢測入侵，出站或橫向移動的未知威脅，將未知數(shù)據(jù)轉(zhuǎn)化為已知數(shù)據(jù)，并與眾多安全工具(包括TippingPoint NGIPS)共享威脅信息。

2. 俄羅斯廠商

(1) Group-IB

總部位于俄羅斯莫斯科，對東歐網(wǎng)絡(luò)威脅和詐騙活動深入研究。該廠商主要為金融行業(yè)服務(wù)。

產(chǎn)品：威脅情報解決方案

Group IB的威脅情報經(jīng)驗(yàn)與能力已經(jīng)被融合進(jìn)高復(fù)雜度的軟硬件生態(tài)系統(tǒng)解決方案中，以實(shí)現(xiàn)對網(wǎng)絡(luò)威脅的監(jiān)控、識別和預(yù)防。同時，Group IB也提供高級威脅情報咨詢和應(yīng)急響應(yīng)服務(wù)。

(2) Kaspersky(卡巴斯基)

總部設(shè)在俄羅斯首都莫斯科，全名“卡巴斯基實(shí)驗(yàn)室”，是國際著名的信息安全領(lǐng)導(dǎo)廠商，創(chuàng)始人為俄羅斯人尤金·卡巴斯基。

產(chǎn)品：HuMachine Intelligence

HuMachine Intelligence是卡巴斯基推出的基于行為分析和機(jī)器學(xué)習(xí)算法的保護(hù)手段，結(jié)合了人工智能技術(shù)和卡巴斯基自身安全團(tuán)隊(duì)的優(yōu)勢，是基于下一代技術(shù)的高級解決方案。

3. 英國廠商

(1) Sophos

Sophos全球總部位于英國牛津近郊。該公司開發(fā)用于通信端點(diǎn)、加密、網(wǎng)絡(luò)安全、電子郵件安全、移動安全和統(tǒng)一威脅管理的產(chǎn)品。

產(chǎn)品：Sophos Labs

Sophos Labs是Sophos的全球安全研究中心，從事對全球的安全隱患的調(diào)查研究，并24小時提供對任何地區(qū)任何新型病毒的預(yù)防和有效防御的分析報告。

(2) Digital Shadows

網(wǎng)絡(luò)安全公司，重點(diǎn)關(guān)注互聯(lián)網(wǎng)攻擊和數(shù)據(jù)竊取問題。會監(jiān)控互聯(lián)網(wǎng)和暗網(wǎng)，防止竊取個人資料(包括員工的電子郵件和密碼)、敏感文件線上共享安全、以及聊天室網(wǎng)絡(luò)犯罪等。

產(chǎn)品：SearchLight

Digital Shadows的旗艦產(chǎn)品SearchLight是一款網(wǎng)絡(luò)數(shù)據(jù)監(jiān)控工具，現(xiàn)支持30多種語言，1億多條數(shù)據(jù)源。這些數(shù)據(jù)源包括社交媒體、犯罪論壇、GitHub、加密暗網(wǎng)Tor、I2P等等。

4. 以色列廠商

CheckPoint

全稱Check Point軟件技術(shù)有限公司，成立于1993年，總部位于美國加利福尼亞州紅木城，國際總部位于以色列萊莫干市，是全球首屈一指的Internet 安全解決方案供應(yīng)商。

產(chǎn)品：ThreatCloud IntelliStore

CheckPoint旗下的ThreatCloud IntelliStore能夠讓高度相關(guān)且最新的網(wǎng)絡(luò)威脅情報源轉(zhuǎn)化為用戶網(wǎng)絡(luò)中基于特定地理位置、行業(yè)和保護(hù)類型的威脅情報，從而將威脅情報數(shù)據(jù)轉(zhuǎn)化為可行的安全保護(hù)，主動阻止威脅，管理安全服務(wù)，監(jiān)控網(wǎng)絡(luò)攻擊事件，從而快速響應(yīng)和解決攻擊。

三、總結(jié)

威脅情報一直是安全行業(yè)熱議的話題，實(shí)際上在國內(nèi)的發(fā)展還比較稚嫩。威脅情報具有優(yōu)秀的預(yù)警能力、快速響應(yīng)能力，并且能改善管理層之間的溝通、加強(qiáng)策略規(guī)劃和投資。但是大部分企業(yè)機(jī)構(gòu)并不具備充分利用威脅情報的能力：數(shù)據(jù)量太大且過于復(fù)雜;擁有相關(guān)知識的人才匱乏。

大數(shù)據(jù)時代，人類利用機(jī)器的超級計(jì)算能力輔助收集和處理海量數(shù)據(jù)，從中找出有價值的信息和情報，如何利用好這些信息和情報還是要依賴人的知識和決策能力。獲得實(shí)用化情報固然重要，但一個高水平的安全團(tuán)隊(duì)對于利用好這些情報，作出正確的決策是更重要的。任何一個先進(jìn)的安全情報系統(tǒng)也不可能取代安全團(tuán)隊(duì)。請記?。?ldquo;人”才是威脅情報利用的核心。掌握了“人”這一力量，方能構(gòu)建威脅情報體系，協(xié)同聯(lián)動，扭轉(zhuǎn)攻防失衡的局面。