針對網絡威脅提供準確可行信息的威脅情報系統可以幫助IT人在攻擊產生真正的損害前將其消弭于無形。

威脅情報+大數據=真正的安全

8月初在拉斯維加斯舉行的黑帽大會上，威脅情報和用以標記關鍵安全指示器的數據，理所應當地成為了熱門話題。由于企業難以弄清他們網絡中的漏洞情況，他們不得不考慮用多層防御來保衛最重要的數據。安全團隊被大量威脅數據淹沒，難以負荷指派無數人工從大量噪音數據中分揀出真正威脅的負擔。

十年前，威脅情報（TI）還只主要在聯邦政府部門和機構中通行。如今，隨著商業世界的需要引發對威脅情報的需求，很多政府工作人員跳槽至私營產業，將可用于發展商業產品的大量協議知識也一并帶了過來。

廠商在不斷開發可令分析師的工作更為輕松的以客戶為中心的產品。各種各樣的平臺可被定制成適合不同企業特定需求的樣子。然而，要理解，有關此類產品的知識僅僅是成熟TI程序的一個部分：公司仍需要進行內部風險評估并設計一套行動方案。

雖然TI正快速成為各種平臺和服務如雨后春筍般冒出的擁擠行當，以下8種產品仍能幫助任何安全團隊有效利用他們的威脅數據并規整出適合他們公司的TI程序。

1. Endgame

成立于2008年的Endgame為美國國防部和廣大情報界提供軟件解決方案。在此領域，他們已遭遇過嚴峻敵對環境中某些相當高端的網絡對手。

Endgame利用已知科學和政府及商業機構必備的軟件自動化技術，結合業界對企業漏洞的認識和不斷發展的威脅狀況，“換位思考”，像一個網絡罪犯一樣看問題。Endgame令客戶得以在造成破壞和損失前自動化地捕獵、追蹤、獲取和清除最先進的威脅。

依靠公司數據科學家團隊的研究，Endgame宣稱要打造全面的檢測和響應策略，即使在虛擬環境中也能部署，意圖阻擋瞄準關鍵商業資產的高端網絡恐怖分子。

2. ThreatQuotient

Threat Q是ThreatQuotient在威脅情報技術上的最新創新。這一本地威脅情報平臺使用中央分析庫來自動化、結構化和管理所有威脅情報。

ThreatQuotient在過去2年里研究了威脅情報領域紛亂復雜的情況以確定什么才是業界所缺乏的，以及提供商需要創建怎樣的商業平臺。ThreatQuotient總裁江偉恩說：“我們專注于4個關鍵特性。可擴展性、豐富性、集成性和評分。”

ThreatQuotient發現，商業平臺威脅情報提供商往往提供大量數據，但如江所指出的，“沒有中央庫，安全團隊無法有效利用這些數據。因此，客戶方被迫從大量威脅數據中挑揀出自己能用的。”ThreatQ則不然，它旨在令用戶攝入并集中數據，自動化部署。

3. TruSTAR

使用TruSTAR，企業安全團隊可以匿名共享安全事件和共同協作而不用擔心追責、法律問題或名譽受損。

TruSTAR技術公司首席執行官保羅·克茲說：“我們致力于使公司共享數據。我們賦予他們匿名性。他們可以與我們共享數據，而我們可以關聯那些數據。我們同時也采用端對端加密令首席信息安全官們協同工作。”

TruSTAR正在10家財富500強企業中對其服務進行貝塔測試。它還擁有一個正在申請專利的匿名保證算法——用戶可借此匿名發送威脅報告而不用擔心會被追蹤到。

匿名性是關鍵。如克茲所說：“我們需要跨產業共享以開啟更快的攻擊攔阻。壞人利用同一套命令與控制基礎設施追逐多種產業里的目標，而我們使用大家都用的常見硬件和軟件。”換句話說，單一領域內的專家不能解決問題。

4. BrightPoint

無論企業是否想知道自己是不是被攻擊，或在發現奇異行為時該怎樣響應，威脅情報都可以通知其響應部門并確定那些威脅時可作出反應的。

BrightPoint安全公司旨在針對當前和緊急網絡威脅情況下提供可自動化收集、分析、關聯和安全共享結構化及非結構化數據的威脅情報平臺。BrightPoint的標準包括吸收結構化及非結構化威脅反饋，但他們也優先考慮與其他可信任組織共享威脅情報以及情報可視化。

根據企業戰略集團的《2015威脅情報調查報告》，用戶最重視的就是這一共享特性。這包括了在政府機構和私營企業之間共享威脅情報信息。像BrightPoint這樣的平臺能夠幫助威脅情報共享的自動化進程。

5. Norse

Norse提供實時攻擊情報，并宣稱其結合了自動化和人工威脅監視的混合模型能夠幫助公司封鎖住其他系統會遺漏的威脅。Norse情報網絡服務于金融、政府和技術機構，以其遍布全球的數百萬傳感器、蜜罐、爬蟲程序和代理組成的“遠程預警”網格穩坐威脅偵測領域全球領先位置。事實上，他們的Norse攻擊地圖就能實時顯示Norse網絡中正在發生的網絡攻擊事件總攬，包括攻擊來源、攻擊目的地址、攻擊類型等等詳細信息。

6. Webroot

Webroot研究惡意網頁活動超過了15年，其安全情報主管格雷森·米爾本聲稱：“所有網站中的5%要么是惡意的要么是可疑的。”盡管這一數字看起來不高，卻仍然代表了大約2千萬個網站。

Webroot的BrightCloud威脅情報服務平臺采用一種能在收集到的大量數據中畫出關聯關系的機器學習技術。他們提供實時反網絡釣魚技術，以及一套聲稱能幫助識別并挫敗99%所遇威脅的評分系統。

他們還采用了主動式學習技術，利用即時反饋環作為對機器學習模型進行再訓練的方法，使得Webroot的研究人員可以動態調整信任值。

7. Twistlock

容器采用的最大障礙——安全，是Twistlock希望解決的事務。利用一套最新通用漏洞披露（CVE）和安全標準的集成情報流，Twistlock的解決方案工具為容器及其中的內容提供帶有高級身份驗證和授權能力的粒狀安全策略。

Twistlock的架構有3個層級。第一層，情報流提供近實時的CVE和來自開源社區、廠商和政府數據源的推薦配置的聯結。第二層，容器控制臺，消費這一情報流。第三層是容器防御者，消費并施行防御策略。

8. LogRhythm

LogRhythm宣稱要減少公司企業在網絡入侵者找到立足點和造成任何真實損害前偵測到他們所用的時間。它的整體威脅分析套裝聲稱能夠通過分析一些潛在入口——用戶、網絡和終端，來檢測到行為異常，令他們的軟件得以識別出各種各樣來自高級網絡威脅的系統被侵入事件。該整體威脅分析模塊，連同LogRhythm的用戶威脅分析模塊和網絡威脅分析模塊一起，應當能是客戶更早地偵測到入侵，無論這些入侵源自何處。

LogRhythm還融入了來自商業廠家和大量開源情報反饋的實時威脅情報數據，可以幫助他們的客戶將網絡安全節點與他們已經收集、處理和分析的數據連接上。而這種連接行為，又可幫助他們采取任何需要的對策以防護自身免遭大型入侵的破壞。

Tips本月30日，安全牛承辦的“威脅情報論壇”將在2015中國互聯網安全大會上舉行。前來聽會者，安全牛可奉送當日門票（無餐）。