針對(duì)網(wǎng)絡(luò)威脅提供準(zhǔn)確可行信息的威脅情報(bào)系統(tǒng)可以幫助IT人在攻擊產(chǎn)生真正的損害前將其消弭于無形。

威脅情報(bào)+大數(shù)據(jù)=真正的安全

8月初在拉斯維加斯舉行的黑帽大會(huì)上，威脅情報(bào)和用以標(biāo)記關(guān)鍵安全指示器的數(shù)據(jù)，理所應(yīng)當(dāng)?shù)爻蔀榱藷衢T話題。由于企業(yè)難以弄清他們網(wǎng)絡(luò)中的漏洞情況，他們不得不考慮用多層防御來保衛(wèi)最重要的數(shù)據(jù)。安全團(tuán)隊(duì)被大量威脅數(shù)據(jù)淹沒，難以負(fù)荷指派無數(shù)人工從大量噪音數(shù)據(jù)中分揀出真正威脅的負(fù)擔(dān)。

十年前，威脅情報(bào)(TI)還只主要在聯(lián)邦政府部門和機(jī)構(gòu)中通行。如今，隨著商業(yè)世界的需要引發(fā)對(duì)威脅情報(bào)的需求，很多政府工作人員跳槽至私營(yíng)產(chǎn)業(yè)，將可用于發(fā)展商業(yè)產(chǎn)品的大量協(xié)議知識(shí)也一并帶了過來。

廠商在不斷開發(fā)可令分析師的工作更為輕松的以客戶為中心的產(chǎn)品。各種各樣的平臺(tái)可被定制成適合不同企業(yè)特定需求的樣子。然而，要理解，有關(guān)此類產(chǎn)品的知識(shí)僅僅是成熟TI程序的一個(gè)部分：公司仍需要進(jìn)行內(nèi)部風(fēng)險(xiǎn)評(píng)估并設(shè)計(jì)一套行動(dòng)方案。

雖然TI正快速成為各種平臺(tái)和服務(wù)如雨后春筍般冒出的擁擠行當(dāng)，以下8種產(chǎn)品仍能幫助任何安全團(tuán)隊(duì)有效利用他們的威脅數(shù)據(jù)并規(guī)整出適合他們公司的TI程序。

1. Endgame

成立于2008年的Endgame為美國(guó)國(guó)防部和廣大情報(bào)界提供軟件解決方案。在此領(lǐng)域，他們已遭遇過嚴(yán)峻敵對(duì)環(huán)境中某些相當(dāng)高端的網(wǎng)絡(luò)對(duì)手。

Endgame利用已知科學(xué)和政府及商業(yè)機(jī)構(gòu)必備的軟件自動(dòng)化技術(shù)，結(jié)合業(yè)界對(duì)企業(yè)漏洞的認(rèn)識(shí)和不斷發(fā)展的威脅狀況，“換位思考”，像一個(gè)網(wǎng)絡(luò)罪犯一樣看問題。Endgame令客戶得以在造成破壞和損失前自動(dòng)化地捕獵、追蹤、獲取和清除最先進(jìn)的威脅。

依靠公司數(shù)據(jù)科學(xué)家團(tuán)隊(duì)的研究，Endgame宣稱要打造全面的檢測(cè)和響應(yīng)策略，即使在虛擬環(huán)境中也能部署，意圖阻擋瞄準(zhǔn)關(guān)鍵商業(yè)資產(chǎn)的高端網(wǎng)絡(luò)恐怖分子。

2. ThreatQuotient

Threat Q是ThreatQuotient在威脅情報(bào)技術(shù)上的最新創(chuàng)新。這一本地威脅情報(bào)平臺(tái)使用中央分析庫來自動(dòng)化、結(jié)構(gòu)化和管理所有威脅情報(bào)。

ThreatQuotient在過去2年里研究了威脅情報(bào)領(lǐng)域紛亂復(fù)雜的情況以確定什么才是業(yè)界所缺乏的，以及提供商需要?jiǎng)?chuàng)建怎樣的商業(yè)平臺(tái)。ThreatQuotient總裁江偉恩說：“我們專注于4個(gè)關(guān)鍵特性。可擴(kuò)展性、豐富性、集成性和評(píng)分。”

ThreatQuotient發(fā)現(xiàn)，商業(yè)平臺(tái)威脅情報(bào)提供商往往提供大量數(shù)據(jù)，但如江所指出的，“沒有中央庫，安全團(tuán)隊(duì)無法有效利用這些數(shù)據(jù)。因此，客戶方被迫從大量威脅數(shù)據(jù)中挑揀出自己能用的。”ThreatQ則不然，它旨在令用戶攝入并集中數(shù)據(jù)，自動(dòng)化部署。

3. TruSTAR

使用TruSTAR，企業(yè)安全團(tuán)隊(duì)可以匿名共享安全事件和共同協(xié)作而不用擔(dān)心追責(zé)、法律問題或名譽(yù)受損。

TruSTAR技術(shù)公司首席執(zhí)行官保羅·克茲說：“我們致力于使公司共享數(shù)據(jù)。我們賦予他們匿名性。他們可以與我們共享數(shù)據(jù)，而我們可以關(guān)聯(lián)那些數(shù)據(jù)。我們同時(shí)也采用端對(duì)端加密令首席信息安全官們協(xié)同工作。”

TruSTAR正在10家財(cái)富500強(qiáng)企業(yè)中對(duì)其服務(wù)進(jìn)行貝塔測(cè)試。它還擁有一個(gè)正在申請(qǐng)專利的匿名保證算法——用戶可借此匿名發(fā)送威脅報(bào)告而不用擔(dān)心會(huì)被追蹤到。

匿名性是關(guān)鍵。如克茲所說：“我們需要跨產(chǎn)業(yè)共享以開啟更快的攻擊攔阻。壞人利用同一套命令與控制基礎(chǔ)設(shè)施追逐多種產(chǎn)業(yè)里的目標(biāo)，而我們使用大家都用的常見硬件和軟件。”換句話說，單一領(lǐng)域內(nèi)的專家不能解決問題。

4. BrightPoint

無論企業(yè)是否想知道自己是不是被攻擊，或在發(fā)現(xiàn)奇異行為時(shí)該怎樣響應(yīng)，威脅情報(bào)都可以通知其響應(yīng)部門并確定那些威脅時(shí)可作出反應(yīng)的。

BrightPoint安全公司旨在針對(duì)當(dāng)前和緊急網(wǎng)絡(luò)威脅情況下提供可自動(dòng)化收集、分析、關(guān)聯(lián)和安全共享結(jié)構(gòu)化及非結(jié)構(gòu)化數(shù)據(jù)的威脅情報(bào)平臺(tái)。BrightPoint的標(biāo)準(zhǔn)包括吸收結(jié)構(gòu)化及非結(jié)構(gòu)化威脅反饋，但他們也優(yōu)先考慮與其他可信任組織共享威脅情報(bào)以及情報(bào)可視化。

根據(jù)企業(yè)戰(zhàn)略集團(tuán)的《2015威脅情報(bào)調(diào)查報(bào)告》，用戶最重視的就是這一共享特性。這包括了在政府機(jī)構(gòu)和私營(yíng)企業(yè)之間共享威脅情報(bào)信息。像BrightPoint這樣的平臺(tái)能夠幫助威脅情報(bào)共享的自動(dòng)化進(jìn)程。

5. Norse

Norse提供實(shí)時(shí)攻擊情報(bào)，并宣稱其結(jié)合了自動(dòng)化和人工威脅監(jiān)視的混合模型能夠幫助公司封鎖住其他系統(tǒng)會(huì)遺漏的威脅。Norse情報(bào)網(wǎng)絡(luò)服務(wù)于金融、政府和技術(shù)機(jī)構(gòu)，以其遍布全球的數(shù)百萬傳感器、蜜罐、爬蟲程序和代理組成的“遠(yuǎn)程預(yù)警”網(wǎng)格穩(wěn)坐威脅偵測(cè)領(lǐng)域全球領(lǐng)先位置。事實(shí)上，他們的Norse攻擊地圖就能實(shí)時(shí)顯示Norse網(wǎng)絡(luò)中正在發(fā)生的網(wǎng)絡(luò)攻擊事件總攬，包括攻擊來源、攻擊目的地址、攻擊類型等等詳細(xì)信息。

6. Webroot

Webroot研究惡意網(wǎng)頁活動(dòng)超過了15年，其安全情報(bào)主管格雷森·米爾本聲稱：“所有網(wǎng)站中的5%要么是惡意的要么是可疑的。”盡管這一數(shù)字看起來不高，卻仍然代表了大約2千萬個(gè)網(wǎng)站。

Webroot的BrightCloud威脅情報(bào)服務(wù)平臺(tái)采用一種能在收集到的大量數(shù)據(jù)中畫出關(guān)聯(lián)關(guān)系的機(jī)器學(xué)習(xí)技術(shù)。他們提供實(shí)時(shí)反網(wǎng)絡(luò)釣魚技術(shù)，以及一套聲稱能幫助識(shí)別并挫敗99%所遇威脅的評(píng)分系統(tǒng)。

他們還采用了主動(dòng)式學(xué)習(xí)技術(shù)，利用即時(shí)反饋環(huán)作為對(duì)機(jī)器學(xué)習(xí)模型進(jìn)行再訓(xùn)練的方法，使得Webroot的研究人員可以動(dòng)態(tài)調(diào)整信任值。

7. Twistlock

容器采用的最大障礙——安全，是Twistlock希望解決的事務(wù)。利用一套最新通用漏洞披露(CVE)和安全標(biāo)準(zhǔn)的集成情報(bào)流，Twistlock的解決方案工具為容器及其中的內(nèi)容提供帶有高級(jí)身份驗(yàn)證和授權(quán)能力的粒狀安全策略。

Twistlock的架構(gòu)有3個(gè)層級(jí)。第一層，情報(bào)流提供近實(shí)時(shí)的CVE和來自開源社區(qū)、廠商和政府?dāng)?shù)據(jù)源的推薦配置的聯(lián)結(jié)。第二層，容器控制臺(tái)，消費(fèi)這一情報(bào)流。第三層是容器防御者，消費(fèi)并施行防御策略。

8. LogRhythm

LogRhythm宣稱要減少公司企業(yè)在網(wǎng)絡(luò)入侵者找到立足點(diǎn)和造成任何真實(shí)損害前偵測(cè)到他們所用的時(shí)間。它的整體威脅分析套裝聲稱能夠通過分析一些潛在入口——用戶、網(wǎng)絡(luò)和終端，來檢測(cè)到行為異常，令他們的軟件得以識(shí)別出各種各樣來自高級(jí)網(wǎng)絡(luò)威脅的系統(tǒng)被侵入事件。該整體威脅分析模塊，連同LogRhythm的用戶威脅分析模塊和網(wǎng)絡(luò)威脅分析模塊一起，應(yīng)當(dāng)能是客戶更早地偵測(cè)到入侵，無論這些入侵源自何處。

LogRhythm還融入了來自商業(yè)廠家和大量開源情報(bào)反饋的實(shí)時(shí)威脅情報(bào)數(shù)據(jù)，可以幫助他們的客戶將網(wǎng)絡(luò)安全節(jié)點(diǎn)與他們已經(jīng)收集、處理和分析的數(shù)據(jù)連接上。而這種連接行為，又可幫助他們采取任何需要的對(duì)策以防護(hù)自身免遭大型入侵的破壞。

原文地址：http://www.aqniu.com/neo-points/9979.html