年度安全峰會RSA2017已于美國時間2月13日盛大開幕。從最近三年RSA所有演講的主題詞熱度可以看出，“Threat”和“Intelligence”都是大家關注的重點。威脅情報廠商也如雨后春筍般出現在網絡安全領域，除了新起之秀外，也有不少傳統安全廠商將業務擴展到威脅情報領域，紛紛爭相推出自己的威脅情報產品。

“威脅情報”從理念到產品再到客戶投入使用只用了短短幾年時間，這些嗅覺敏銳的企業是如何占得市場先機的呢？小編從本屆RSA大會上選出幾家有代表性的威脅情報廠商，介紹下他們是如何將理念付諸實際的，排名不分先后。

1. AlienVault

國家：美國

網站：www.alienvault.com

威脅情報產品：OTX開源威脅情報社區、USM安全平臺(軟件部署)

AlienVault現處于Pre-IPO階段，發展勢頭良好。旗下產品OTX是全球最大的免費威脅情報社區，每天能夠提供超過400，000個威脅情報指標?，F在有來自全球140個國家的4萬7千名參與者，且用戶活躍度很高。社區改變情報的單向發布模式，讓訂閱者可以和研究人員可以合作溝通，提高情報質量。

另一產品USM統一安全管理平臺（Unified Security Management）是通過單一平臺進行企業整體安全業務管理。聲稱能夠從網絡中的任何地方發現威脅，而不僅僅通過防火墻，且能夠將發現的威脅以KILL CHAIN的不同階段進行歸類。USM能夠提供：

統一、協調的安全監控；

簡單安全事件管理和報告；

持續的威脅情報信息；

快速部署；

集成多項安全功能。

　　2. Crowdstrike

國家：美國

網站：www.crowdstrike.com

威脅情報產品：Falcon終端EDR、Falcon威脅情報訂閱和Falcon平臺

CrowdStrike由兩名McAfee前員工于2011年創立。該公司提供專注于檢測和阻止定向攻擊，特色是主動防御。幫助政府和企業發現并阻止正在發生的黑客攻擊。客戶超過170個國家，全球十大企業中有三家，全球十大金融機構有五家使用crowdstrike的服務。其產品Falcon系統是一個主動防御的大數據云平臺。

Falcon終端EDR

Falcon終端檢測和響應服務方案能夠解決Silent failure的問題。(Silent failure:威脅發生到警報響起中間的這段時間)。聲稱只需5秒調查就能發現歷史和正在進行的終端行為；結合威脅情報能力，具備更全面的視角和戰術、技術的事件響應能力。

部署簡單，無需硬件和存儲資源。

Falcon威脅情報訂閱（Falcon Threat Intelligence）

能夠獲取及時準確的情報信息。支持多種輸出格式：yara, snort, CEF等。提供API方式獲取情報信息，包括IOC。已分析出了超過70個攻擊者的技術、戰術和規程信息（TTPs）和攻擊團伙信息。提供有API和 Feeds，可以輕松和現存基礎設施對接。

目前已聯合以下公司加入威脅情報交換計劃：Agiliance, Centripetal Networks, Check Point Software Technologies, Ltd., General Dynamics Fidelis Cybersecurity Solutions, LogRhythm, ThreatQuotient, and ThreatStream.

Falcon平臺

基于大數據分析的主動防御平臺，可監控企業的數據，偵測零日威脅，并防止定向攻擊造成的破壞。平臺還可以識別惡意軟件，學習攻擊者特征，然后形成一套響應措施，提高對方攻擊的風險和代價。

　　3. Secureworks

國家：美國

網站：www.secureworks.com

威脅情報產品：Enterprise Security Counter Threat Platform（SaaS）

Secureworks是Dell旗下公司，去年獨立上市。SecureWorks 是比較典型的MSSP(托管安全服務商)，因此較為中立，整合了全球多家技術和方案為客戶提供服務，主要為客戶提供安全服務、安全與風險咨詢以及威脅情報等。為各種規模的客戶同時提供有針對性和全球威脅情報，以及高級或附加服務。戴爾全球威脅情報(Dell Global Threat Intelligence)提供三種基于訂閱的數據源：漏洞、威脅和咨詢，這是一個通用或者說非針對性威脅情報服務，它是基于從數千SecureWorks全球客戶收集的威脅數據。另一方面，戴爾針對性威脅情報(Dell Targeted Threat Intelligence)可以根據特定企業環境、品牌和管理人員進行定制化，以發現潛在威脅和構成潛在風險的威脅因素。SecureWorks附加服務包括攻擊者數據庫、CTU支持、惡意軟件分析和無邊界威脅監控。

　　4. Fireeye

國家：美國

網站：www.Fire.com

威脅情報產品：iSIGHT威脅情報訂閱、威脅情報服務、郵件安全(硬件)、終端安全、威脅分析平臺

FireEye先后收購了Mandiant和iSight Partners，從威脅情報訂閱服務到Hunting，從硬件到軟件到數據，產品線豐富。威脅情報產品有：iSIGHT威脅情報訂閱、威脅情報服務、郵件安全(硬件)、終端安全、威脅分析平臺。

FireEye Threat Intelligence是基于設備的自動化抵御零日和其他高級網絡攻擊的平臺的一部分，小型、中型和大型企業客戶可以購買FireEye設備，再訂閱該威脅情報產品。該服務讓企業可以查看有關全球威脅的海量數據，它旨在幫助FireEye客戶識別威脅因素和網絡及系統泄露事故的指標。該服務提供三種級別的威脅情報訂閱：動態、高級和高級+。

　　5. 360

國家：中國

網站：360.cn

威脅情報產品：天擎終端、天堤防火墻、天眼APT檢測

360提供免費個人安全服務多年，在國內個人終端市場有相當高的占有率。近年來開始向企業安全轉型，算是企業安全新軍，銳氣十足。主打反APT產品，收購了網神和網康防火墻。360在APT領域持續投入，RSA大會期間發布了2016年度APT報告。

擁有多款企業安全產品，分為終端和網絡兩個層面，軟硬件兼備。

　　6. 微步在線/ThreatBook

國家：中國

網站：Threatbook.cn

威脅情報產品：威脅情報訂閱服務、威脅分析平臺和API、威脅情報平臺(軟件部署)

微步是國內最早提供威脅情報服務的公司，發展勢頭迅猛，已于16年中完成A輪融資。客戶覆蓋金融、能源、互聯網等行業，也包含多家世界500強公司。微步旗下產品包括威脅情報訂閱服務、威脅情報平臺、免費威脅分析平臺。

微步在線產品成熟度高，RSA大會期間發布的威脅情報軟件平臺可私有化部署，，較好地解決了威脅情報落地問題。

　　7. IBM Security

國家：美國

網站：www.ibm.com

威脅情報產品：X-Force情報社區、威脅情報服務(MSSP)、QRadar安全情報平臺

IBM安全2015年的收入為20億美金，保守估計2016年收入25億美金，是美國安全業務收入增長最快的大公司公司之一。

X-Force是IBM基于SAAS的威脅情報平臺。每天監控20B的安全事件來獲取匿名威脅資訊。

QRadar可以收集各種安全產品數據包括設備應用、網絡流等海量數據進行智能分析，并進行優先級排序。QRadar本身就是一個大數據平臺，專門針對安全信息數據，比如日志，應用日志、設備日志、操作系統日志，包括網絡流數據、漏洞的信息、資產的信息、防火墻配置信息等等都會進行收集，然后一起做關聯分析。IBM QRadar有集成的分析模型和關聯規則，通過關聯規則發現潛在威脅。

其威脅情報服務主要依托QRadar平臺、安全服務和X-Force。

　　8. Anomali

國家：美國

網站：www.anomali.com

威脅情報產品： STAXX客戶端、Anomali企業版、威脅情報平臺

Anomali原名ThreatStream。是國際威脅情報領域很有特色的廠商，發展迅猛。去年獲得了CIA(美國中央情報局)旗下In-Q-Tel的戰略投資，主要產品包括幫助企業匹配客戶日志數據和威脅情報。

Anomali威脅情報平臺（現在叫threatstream）是Anomali最早的產品，匯集第三方情報信息， ISAC和開源情報信息等。現在已經能和大多數主流安全設備相連，如SIEM，FW，終端等。

Anomali企業版是一種新型可擴展的，基于云端的平臺。解決了大量不相關IOCs導致傳統安全設備（SIEM, NGFW）負擔過重這一問題，通過讀取日志尋找潛在IOCs，并將其與數據庫中威脅情報數據對比，選出合適的數據推送給設備。系統保存一年的日志IOCs以方便分析比對。

Anomali 去年年底還發布了免費的STAXX工具以方便威脅情報傳送。STAXX沒有內置任何限制，企業可隨意配置饋送源。Anomali的目標是讓STAXX成為發現、訪問和管理威脅情報饋送最簡單最高效的方式。

　　9. Kaspersky

國家：俄羅斯

網站：www.kaspersky.com

威脅情報產品： 威脅情報訂閱服務

卡巴斯基以技術扎實著稱于世，目前主要業務依然圍繞殺毒軟件展開。其APT和威脅分析和研究在全球安全界占據獨特的位置?，F在已經可以檢測如下威脅：惡意鏈接、釣魚鏈接以及命令和控制URL鏈接，移動威脅并具備IP信譽數據，可以提供IP訂閱服務。提供的情報數據機器可讀，能和SIEM, Splunk, IBM Qrader等設備整合。

　　10. RiskIQ

國家：美國

網站：www.riskiq.com

威脅情報產品： PassiveTotal威脅分析平臺、安全情報服務

RiskIQ成立于2009年，RiskIQ定位為數字風險監控廠商。致力于讓企業及組織客戶能夠訪問安全智能和應用程序，從而保護數字攻擊面、定位業務風險。客戶能夠隨時發現和處理惡意軟件、惡意廣告和惡意 App，降低網絡、移動及社交工具的威脅。RiskIQ 通過全球代理網絡每天持續掃描數以千萬計的網站，隨時向客戶報告異常情況。據悉美國前十大金融機構中有八家都適用RiskIQ追蹤監控企業web和移動應用資產。2015年收購Passive Total的威脅分析平臺擴張自己的服務領域。

　　11. Recorded future

國家：美國

網站：www.recordedfuture.com

威脅情報產品： 提供多款開源情報產品，包括Cyber、DarkWeb、威脅監控等等

Recorded future全球最大的開源情報公司，核心技術是一套Web Intelligence Engine。提供多款開源情報產品，包括Cyber、DarkWeb、威脅監控等等 。Recorded Future提供免費的威脅情報日報，和豐富的SIEM及分析類產品的對接插件。

Web Intelligence Engine的工作原理基本是按照情報循環的步驟進行的：

i. 首先從全網獲取實時信息：包括開源數據、深網、暗網、Tor網站、論壇、社交網絡等；

ii. 其次，提取和組織威脅信息：使用NLP（natural language processing）和機器學習技術組織重建威脅相關信息（作者，事件，目標和IOCs等），并且聲稱具備多語言提取技術，包括中文、英文、俄語、阿拉伯語、波斯語等。

iii. 最后使威脅信息相關聯并提供可指導行動的上下文信息。

　　12. ThreatConntect

國家：美國

網站：www.Threatconnect.com

威脅情報產品： 威脅情報平臺(SaaS和軟件)

ThreatConnect是威脅情報代表性企業之一，著名的鉆石模型理論提出者。主要產品有威脅情報平臺，包括基于SaaS版本的和軟件版本。以ThreatConnect威脅分析平臺為核心，根據客戶群體的不同，將平臺分為四種：TC Identify, TC Manage, TC Analyze和TC Complete。