前兩年大熱的電視劇《偽裝者》中，提到了一份“死間計劃”，這一幕在戰場曾真實發生過。二戰中，盟軍依靠計算機之父圖靈破解了德國的密碼，得知德國馬上要對考文垂進行轟炸。但是為了爭取更大的決定性勝利，盟軍選擇不讓德國人知道己方已經破譯了其密碼。因此盟軍方面沒有對考文垂進行有針對性的的防御措施。于是德國人相信其密碼依然是安全的，從而一步步走進了盟軍的圈套。

在威脅情報中，安全公司同樣運用類似的方法和黑客斗法。例如：穿梭于各大安全論壇，裝作黑客的樣子，開心地與之討論最近哪種攻擊方式最流行，有哪些漏洞可以利用。然后回家修補漏洞。

一、威脅情報

21世紀已經步入科技時代、互聯網時代，在這個時代，我們獲得了太多的便利。借助互聯網，似乎只有我們想不到的，沒有搜不到的。互聯網時代下的網絡，集合了各類數據，為當下的生產生活提供了參考指南。然而任何事物的發展，從來都不會是一蹴而就的，也都不是一帆風順的。我們在正視網絡帶來的諸多好處的同時，也應理性、冷靜對待同時帶來的一些弊端。

當前，網絡空間的廣度和深度不斷拓展、安全攻防戰日趨激烈，傳統的安全思維模式和安全技術已經無法有效滿足政企客戶安全防護的需要，新的安全理念、新的安全技術不斷涌現，當前的網絡安全正處在一個轉型升級的上升期。

1. 傳統網絡防御

傳統網絡安全防護手段主要采取攻擊行為感知、收集與分析、通報等防御手段，通過部署防火墻、入侵檢測系統等安全產品，配置相應訪問控制策略和審計策略，對網絡安全狀況進行監測。當發生網絡安全事件時，采取應急響應和地域措施，事后進行備份與恢復操作。雖然這種防護模式能抵御一定的網絡安全攻擊，但仍具有滯后性，事件處理效果受限于安全事件的識別能力、響應速度及時候數據備份與恢復的效率。

目前，安全界普遍認同的一個理念是：僅僅防御是不夠的，被動的“挨打”永遠不會是解決之道，要想保證自身的安全，需要拿起武器，主動反擊。在這樣的反擊戰中，所謂“知己知彼，百戰不殆”，實時掌握對方形勢動態，才能更好的響應與應對。安全情報，就像是八百里加急快報送來的敵情。

2. 安全情報與威脅情報

安全情報(Security Intelligence)是一個寬泛的概念，主要包括了威脅情報、漏洞情報、事件情報以及基礎數據情報。其中，威脅情報已然成為近幾年國內外安全領域的熱點。這里的“情報”既是知識，也是載體，既是輸入，也是輸出。

如果將威脅情報單純的理解為“敵情”和“知彼”，安全情報在這個基礎上還需要關注“我情”和“知己”，因此安全情報也可以被稱為“廣義威脅情報”。

3. 威脅情報重要性

信息安全教主級公司Gartner認為，威脅情報是一種基于證據的知識，包括了情境、機制、指標、隱含和實際可行的建議。威脅情報描述了現存的、或者是即將出現的針對資產的威脅或危險，并可以用于通知主體針對相關威脅或危險采取某種響應。簡言之，威脅情報可以幫助企業和組織快速了解到敵對方對自己的威脅信息，從而幫助他們提前做好威脅防范、更快速地進行攻擊檢測與響應、更高效地進行事后攻擊溯源。

具體來說，威脅情報可以幫助人們解決如下問題：

• 如何跟得上包括惡意攻擊、攻擊方法、安全漏洞、黑客目標等等在內的如潮水般海量的安全威脅信息?
• 面對未來的安全威脅，如何獲取更多的主動?
• 如何向領導匯報具體安全威脅的危險和影響?

“所有的系統一定可以被入侵。”這是威脅情報專家，Sec-UN網站創始人金湘宇給出的“悲觀論斷”。他認為，互聯網攻擊的技術在不斷提高，而所有的系統都存在漏洞，避免被攻擊在邏輯上并不成立。

原來認為網絡安全就是做木桶，只要補上短板就可以高枕無憂，現在發現安全玩的是塔防，要實時應對到來的威脅。往往網站信息泄露數天之后，被攻擊者才得知自己遭受攻擊，這樣的攻防已經完全失衡了。

因此，可以想象一份及時、精準的威脅情報對于網絡防御是多么的重要。通過威脅情報，企業會對未來的攻擊擁有免疫力，這就徹底改變了原本的攻防態勢。原來也許黑客可以用上整整一年的攻擊手段，一旦進入威脅情報，就被重點監控。如果攻擊者第二次還在用同樣的后門，就等于主動跑到了探照燈下羊入虎口，你還死不死?

小編聯想到之前某個論壇上有“大神”爆料，目前美國正在有計劃有組織地曝光其他國家對其基礎設施發動的攻擊。這句話讓人細思極恐，這表明美國或許已經擁有了一份精準的威脅情報，對其攻擊者的攻擊路徑已經了如指掌。為了不打草驚蛇，其中有60%—70%的攻擊路徑，美國并沒有曝光，目的就是給對手造成一種假象。沒錯，美國正在靜靜地看著對手“表演”。

4 .威脅情報處理流程

• 計劃、要求和方向——情報收集的計劃和方向包括對整個情報工作的管理(從有限情報要求到最終情報產品)。
• 收集——建立好的方向，威脅情報服務從相關來源里收集潛在有用的原始數據。
• 處理——將收集到的數據轉換為更適用于詳細分析的標準格式。
• 分析和產品——收集到的數據被安全行業內的專家分析以辨識出對消費者環境的潛在威脅，用來對相應威脅產生響應的威脅對策也在這一階段開發。
• 傳播——情報分析結果提交給客戶，以便執行保護性措施。

二、威脅情報廠商

根據真實事件改編的電影《斯諾登》中的一句話，“Secrecy is security and security is victory”，其中的含義不言而喻。

在小編看來，電影中的情節并不夸張。生活在互聯網時代，無論是從國家層面還是企業層面，安全領域打的就是信息戰。如今，越來越多的企業高層意識到，威脅情報是針對高級網絡攻擊的有力武器。根據Gartner分析師Rob McMillan和Khusbu Pratap的說法：“到2018年，全球60%的大型企業將使用商用威脅情報服務，幫助他們制定安全策略。”

那么，世界上現在有哪些代表性的威脅情報廠商呢?

1. 美國廠商

(1) Palo Alto Networks

創立于2005年，總部位于美國加利福尼亞州圣克拉拉，是一家為網絡及資訊安全軟件制作商，提供網絡安全解決方案，其核心平臺的防火牆，為在整個企業網路上傳輸的應用程式、使用者和內容提供可視度和控制。

產品：Palo Alto Networks AutoFocus

Palo Alto Networks AutoFocus威脅情報服務，能夠為各種規模的組織提供威脅分析，包括智能分析、相關性分析、上下文分析，并自動響應實時事件，做出實時流量防護分析。

(2) AlienVault

AlienVault是硅谷初創網絡安全企業，業務主要針對中小型企業提供統一安全管理平臺(USM)、開放式威脅情報交換平臺(OTX)等網絡安全產品。該公司已于2018年7月被美國移動運營商AT&T宣布收購。

產品：OTX開源威脅情報社區、USM安全管理平臺(軟件部署)

AlienVault旗下產品OTX是全球最大的免費威脅情報社區，每天能夠提供超過400，000個威脅情報指標。另一產品USM統一安全管理平臺(Unified Security Management)是通過單一平臺進行企業整體安全業務管理。聲稱能夠從網絡中的任何地方發現威脅，而不僅僅通過防火墻，且能夠將發現的威脅以KILL CHAIN的不同階段進行歸類。USM能夠提供：統一、協調的安全監控;簡單安全事件管理和報告;持續的威脅情報信息;快速部署;集成多項安全功能。

(3) IBM Security

IBM(國際商業機器公司)或萬國商業機器公司，簡稱IBM(International Business Machines Corporation)。總公司在紐約州阿蒙克市。1911年托馬斯·沃森創立于美國，是全球最大的信息技術和業務解決方案公司。2006年IBM收購Internet Security Systems 和X-Force,2007年收購的Watchfire，2013年收購的Trusteer，加上自己的安全部門和研發部門，開拓了自己的威脅情報業務。IBM的威脅情報業務基本與其他服務捆綁在一起，只有X-Force威脅分析服務和高級網絡威脅情報服務是例外。IBM的內容分析SDK也可以介入威脅情報源。

產品：x-force 情報社區、脅情報服務(MSSP)、QRadar安全情報平臺

x-force 情報社區是一個協同威脅情報平臺，它能幫助安全分析師研究威脅目標，以幫助加快行動的速度，并且每個月能夠免費提供5000條安全記錄。它擁有查詢功能和無限的可擴展性，并可以提供IP和URL、web應用程序、惡意軟件、漏洞和垃圾郵件相關的情報。

(4) Anomali

威脅情報平臺供應商，總部位于美國。截至2018年1約17日，該公司累計融資9600萬美金，其背后有谷歌公司、中央情報局(CIA)投資。

產品：ThreatStream

ThreatStream聚集了數以萬計的威脅情報信息來識別新的攻擊,并發現已知的漏洞,使安全團隊能夠快速發現并阻止相關威脅。 其主要功能包括:重復數據刪除，清除誤報,與其他安全工具集成，并防止釣魚郵件竊取你的數據。 該公司還提供幾個免費的威脅情報工具。

(5) Crowdstrike

CrowdStrike由兩名McAfee前員工于2011年創立。該公司提供專注于檢測和阻止定向攻擊，特色是主動防御。幫助政府和企業發現并阻止正在發生的黑客攻擊。客戶超過170個國家，全球十大企業中有三家，全球十大金融機構有五家使用crowdstrike的服務。其產品Falcon系統是一個主動防御的大數據云平臺。

產品：Falcon終端EDR、Falcon威脅情報訂閱和Falcon平臺

Falcon終端EDR：Falcon終端檢測和響應服務方案能夠解決Silent failure的問題。(Silent failure:威脅發生到警報響起中間的這段時間)。其聲稱只需5秒調查就能發現歷史和正在進行的終端行為;結合威脅情報能力，具備更全面的視角和戰術、技術的事件響應能力。部署簡單，無需硬件和存儲資源。

Falcon威脅情報訂閱(Falcon Threat Intelligence)：能夠獲取及時準確的情報信息。支持多種輸出格式：yara, snort, CEF等。提供API方式獲取情報信息，包括IOC。已分析出了超過70個攻擊者的技術、戰術和規程信息(TTPs)和攻擊團伙信息。提供有API和 Feeds，可以輕松和現存基礎設施對接。目前已聯合以下公司加入威脅情報交換計劃：Agiliance, Centripetal Networks, Check Point Software Technologies, Ltd., General Dynamics Fidelis Cybersecurity Solutions, LogRhythm, ThreatQuotient, and ThreatStream.

Falcon平臺：基于大數據分析的主動防御平臺，可監控企業的數據，偵測零日威脅，并防止定向攻擊造成的破壞。平臺還可以識別惡意軟件，學習攻擊者特征，然后形成一套響應措施，提高對方攻擊的風險和代價。

(6) Secureworks

Secureworks是Dell旗下公司，去年獨立上市。SecureWorks 是比較典型的MSSP(托管安全服務商)，因此較為中立，整合了全球多家技術和方案為客戶提供服務，主要為客戶提供安全服務、安全與風險咨詢以及威脅情報等。

產品：Enterprise Security Counter Threat Platform(SaaS)

為各種規模的客戶同時提供有針對性和全球威脅情報，以及高級或附加服務。戴爾全球威脅情報(Dell Global Threat Intelligence)提供三種基于訂閱的數據源：漏洞、威脅和咨詢，這是一個通用或者說非針對性威脅情報服務，它是基于從數千SecureWorks全球客戶收集的威脅數據。另一方面，戴爾針對性威脅情報(Dell Targeted Threat Intelligence)可以根據特定企業環境、品牌和管理人員進行定制化，以發現潛在威脅和構成潛在風險的威脅因素。SecureWorks附加服務包括攻擊者數據庫、CTU支持、惡意軟件分析和無邊界威脅監控。

(7) Fireeye(火眼)

FireEye是一家提供APT防護產品及服務的公司，成立于2004年。FireEye近年來積極開展威脅情報業務并進行戰略合作。FireEye的高級威脅情報(ATI+)從FireEye全球傳感器(核心是其大名鼎鼎的沙箱系列產品)中提取威脅數據，并與旗下公司曼迪昂特(Mandiant)的事件響應數據相融合，產生情報產品。FireEye目前能夠提供戰術、戰略和運營情報。2016年它收購了老牌的威脅情報廠商iSightPartners，使其在威脅情報方面的實力更上一層樓。

產品：iSIGHT威脅情報訂閱、威脅情報服務、郵件安全(硬件)、終端安全、威脅分析平臺

FireEye提供5種不同的iSIGHT情報訂閱，專門為不同的安全工作角色而設計：

• iSIGHT戰術情報：針對戰術性技術性用戶，該基本訂閱服務提供豐富的數據源和警報。戰術性用戶沒有門戶訪問權限，所以他們不會收到情報報告。
• iSIGHT操作情報：針對安全運營中心(SOC)人員以及事件響應(IR)團隊，此訂閱服務提供可操作內容，例如威脅行為者和惡意軟件配置文件，以及數據源和情報。它還包括優先級過濾器，以幫助安全人員首先關注高優先級威脅。
• iSIGHT融合情報：該情報中的分析報告和技術情報可幫助SOC和IR人員搜索攻擊者，并且，該情報是根據企業網絡風險配置文件而定制。該訂閱服務包含“操作情報訂閱”中所有內容，并包括防御方案、行業分析等。
• iSIGHT高管情報：該訂閱服務針對首席信息安全官以及管理人員，這可為他們提供精簡的非技術信息來做出風險、投資和戰略決策。
• iSIGHT漏洞情報：此訂閱服務主要針對負責確保補丁管理執行以及評估和優先排序漏洞的IT人員。該訂閱提供的數據包括修補程序的信息，以及新興威脅信息。

FireEye Threat Intelligence是基于設備的自動化抵御零日和其他高級網絡攻擊的平臺的一部分，小型、中型和大型企業客戶可以購買FireEye設備，再訂閱其威脅情報產品。該服務讓企業可以查看有關全球威脅的海量數據，它旨在幫助FireEye客戶識別威脅因素和網絡及系統泄露事故的指標。該服務提供三種級別的威脅情報訂閱：動態、高級和高級+。

(8) Symantec(賽門鐵克)

賽門鐵克是信息安全領域全球領先的解決方案提供商, 成立于1982年，公司總部位于加利福尼亞州的 Cupertino，現已在全球 40 多個國家和地區設有分支機構。

產品：DeepSight Intelligence

在威脅情報市場，賽門鐵克最知名的就是DeepSight服務，屬于實時監控和通知的范疇，提供安全風險，漏洞，IP，URL，域名信用庫情報。賽門鐵克較高端的服務提供更深入的分析，基于這一點，賽門鐵克在威脅情報的獲取和分析方面并不突出。賽門鐵克提供分集的服務，以滿足低預算和高預算的需求，大部分客戶購買的為低價服務，而高價服務的交易額占其收入的很大部分。像賽門鐵克這樣大型的企業，業務遍布全球多個地區，但略微偏向北美，涉及眾多垂直行業，較為倚重金融服務。

(9) RiskIQ

RiskIQ成立于2009年，RiskIQ定位為數字風險監控廠商。致力于讓企業及組織客戶能夠訪問安全智能和應用程序，從而保護數字攻擊面、定位業務風險。客戶能夠隨時發現和處理惡意軟件、惡意廣告和惡意 App，降低網絡、移動及社交工具的威脅。RiskIQ 通過全球代理網絡每天持續掃描數以千萬計的網站，隨時向客戶報告異常情況。據悉美國前十大金融機構中有八家都適用RiskIQ追蹤監控企業web和移動應用資產。2015年收購Passive Total的威脅分析平臺擴張自己的服務領域。

產品： PassiveTotal威脅分析平臺、安全情報服務

(10) TrendMicro(趨勢科技)

總部位于日本東京和美國硅谷，在全球38個國家和地區設有分公司，擁有7個全球研發中心，是一家高速成長的跨國信息安全軟件公司。

產品：趨勢科技旗下Digital Vaccine Labs提供實時、準確的威脅情報，TippingPoint Advanced Threat Protection系列產品可通過監控所有端口和100多種協議，檢測入侵，出站或橫向移動的未知威脅，將未知數據轉化為已知數據，并與眾多安全工具(包括TippingPoint NGIPS)共享威脅信息。

2. 俄羅斯廠商

(1) Group-IB

總部位于俄羅斯莫斯科，對東歐網絡威脅和詐騙活動深入研究。該廠商主要為金融行業服務。

產品：威脅情報解決方案

Group IB的威脅情報經驗與能力已經被融合進高復雜度的軟硬件生態系統解決方案中，以實現對網絡威脅的監控、識別和預防。同時，Group IB也提供高級威脅情報咨詢和應急響應服務。

(2) Kaspersky(卡巴斯基)

總部設在俄羅斯首都莫斯科，全名“卡巴斯基實驗室”，是國際著名的信息安全領導廠商，創始人為俄羅斯人尤金·卡巴斯基。

產品：HuMachine Intelligence

HuMachine Intelligence是卡巴斯基推出的基于行為分析和機器學習算法的保護手段，結合了人工智能技術和卡巴斯基自身安全團隊的優勢，是基于下一代技術的高級解決方案。

3. 英國廠商

(1) Sophos

Sophos全球總部位于英國牛津近郊。該公司開發用于通信端點、加密、網絡安全、電子郵件安全、移動安全和統一威脅管理的產品。

產品：Sophos Labs

Sophos Labs是Sophos的全球安全研究中心，從事對全球的安全隱患的調查研究，并24小時提供對任何地區任何新型病毒的預防和有效防御的分析報告。

(2) Digital Shadows

網絡安全公司，重點關注互聯網攻擊和數據竊取問題。會監控互聯網和暗網，防止竊取個人資料(包括員工的電子郵件和密碼)、敏感文件線上共享安全、以及聊天室網絡犯罪等。

產品：SearchLight

Digital Shadows的旗艦產品SearchLight是一款網絡數據監控工具，現支持30多種語言，1億多條數據源。這些數據源包括社交媒體、犯罪論壇、GitHub、加密暗網Tor、I2P等等。

4. 以色列廠商

CheckPoint

全稱Check Point軟件技術有限公司，成立于1993年，總部位于美國加利福尼亞州紅木城，國際總部位于以色列萊莫干市，是全球首屈一指的Internet 安全解決方案供應商。

產品：ThreatCloud IntelliStore

CheckPoint旗下的ThreatCloud IntelliStore能夠讓高度相關且最新的網絡威脅情報源轉化為用戶網絡中基于特定地理位置、行業和保護類型的威脅情報，從而將威脅情報數據轉化為可行的安全保護，主動阻止威脅，管理安全服務，監控網絡攻擊事件，從而快速響應和解決攻擊。

三、總結

威脅情報一直是安全行業熱議的話題，實際上在國內的發展還比較稚嫩。威脅情報具有優秀的預警能力、快速響應能力，并且能改善管理層之間的溝通、加強策略規劃和投資。但是大部分企業機構并不具備充分利用威脅情報的能力：數據量太大且過于復雜;擁有相關知識的人才匱乏。

大數據時代，人類利用機器的超級計算能力輔助收集和處理海量數據，從中找出有價值的信息和情報，如何利用好這些信息和情報還是要依賴人的知識和決策能力。獲得實用化情報固然重要，但一個高水平的安全團隊對于利用好這些情報，作出正確的決策是更重要的。任何一個先進的安全情報系統也不可能取代安全團隊。請記住：“人”才是威脅情報利用的核心。掌握了“人”這一力量，方能構建威脅情報體系，協同聯動，扭轉攻防失衡的局面。