威胁情报平台简介

TIP是必不可少的工具，特别是在平均漏洞利用时间越来越短，且由于AI驱动的恶意软件，其影响愈发难以察觉的同时，威胁行为者似乎也在更高水平上协同工作。

网络安全和基础设施安全局(CISA)发现，自2023年以来，大多数漏洞利用都是零日漏洞，即利用此前未知的方法。根据最新的Verizon数据泄露调查报告(DBIR)，过去两年中，AI辅助的恶意电子邮件比例翻了一番，达到观察总数的10%，这使得紧跟威胁形势变得更加困难。

值得注意的是，威胁领域变得更加复杂且针对性更强。例如，Verizon DBIR发现，针对VPN和边缘设备的威胁激增至2024年报告数量的八倍以上。

“网络安全领导者如今正面临一场由AI颠覆、监管复杂性和复杂威胁行为者共同引发的完美风暴，”CIOSO的创始合伙人Greg Sullivan表示。“我们不仅要管理风险，还要在一个深度伪造、第三方漏洞和碎片化隐私法成为新常态的世界中重新定义数字信任的含义。”

应对威胁的一种方法是持续监控各种威胁向量，如电子邮件、网络流量和边缘设备，然而，这是一个劳动密集型的过程，需要大量分析师来帮助提升企业的安全态势。

在此，我们提供一些关于如何购买合适的TIP的建议，包括一些推荐的供应商、应关注哪些要素以及应支付多少费用。

威胁情报平台应关注哪些要素

早期的TIP是非常简单的产品，通常只是将最新的漏洞利用情报源拼凑在一起，几乎没有或根本没有详细信息。如今的TIP拥有更丰富的信息，包括潜在复杂性和威胁运作的具体细节。现代TIP在功能区域和目标上有几个共同点：

• 数据聚合、关联和标准化：能够以结构化(通常是SQL数据库)和非结构化格式聚合、关联和标准化威胁数据，这些功能包括去除重复条目和过滤错误(如误报)以及不适当的数据。目标是减少警报疲劳，使数据更具可操作性，如揭示隐藏模式或揭示潜在的新威胁向量，这意味着TIP利用各种威胁源和恶意软件源，并能够相应地摄取它们，但重要的不仅是源的数量，还有它们的质量以及能用于创建洞察和威胁响应的元数据和信息量。

• 自动化：尽可能自动化威胁响应和缓解等操作，生成事后行动手册以及其他活动。理想情况下，自动化应实现快速响应的工作流程，且只需最少的人工干预。这一目标是为了实现最快的响应，以减少恶意软件的驻留时间，并最小化对计算系统的潜在危害。要实现自动化和编排这些任务，需要使用各种标准，如可信自动化指标信息交换(TAXII)和结构化威胁信息表达式(STIX)，在整个威胁管理工具链中，以便不同产品能够有效通信。这些任务中涉及的人工操作越少(包括更新自定义电子表格等)，效果就越好。示例包括警报丰富化、实时指标共享或按需生成报告。

• 集中管理：为所有威胁管理任务创建一个中心位置，覆盖从发现到缓解以及进一步系统加固以防止后续攻击的整个生命周期，这意味着能够与现有的安全工具集(如SOAR、SIEM和CNAPP)集成，并避免重复工作。“现代TIP支持多源摄取、智能优先级排序、自动化工作流程以及与现有安全工具的无缝集成。”Cyware表示。

应关注云端还是本地TIP?

早期的TIP通常基于本地部署，但多年来已扩展其覆盖范围，并迁移到基于云的服务中，在某些情况下由托管服务提供商设置。如今的TIP应涵盖这两种用例以及广泛的云源，包括除亚马逊、谷歌和微软之外的其他云提供商、Kubernetes集群和虚拟服务器。

威胁情报平台的价格

大多数TIP供应商对其定价讳莫如深，我们在下文部分中为那些愿意提供详细信息的供应商(包括免费试用)指出了具体细节。定价范围广泛，但预计要为更大、更复杂的基础设施支付每年六位数的费用。

领先的威胁情报平台供应商

2024年，供应商格局发生了许多变化：Bitisight收购了Cybersixgill，ZeroFox收购了Haveli Investments，万事达卡收购了Recorded Future。每次收购都有助于通过额外的数据和信号情报来丰富底层TIP。让我们来考察一些领先的供应商，同时认识到还有许多其他供应商也可以被归入这一类别——例如，Gartner在其TIP汇编中列出了150多家供应商。

Bitsight Cyber Risk Intelligence：提供来自广泛来源的实时情报，包括其收购Cybersixgill后获得的暗网分析，他们每天筛选超过700万项内容和10亿个泄露的凭据，并声称可以在收集后一分钟内为每位收件人提供定制的警报。

Cyware Threat Intelligence Platform：涵盖广泛的结构化和非结构化威胁源，具有实时操作和强大的自动化功能，可丰富威胁数据，并供跨职能安全团队使用。

Greynoise：使用300多个基于边缘设备的蜜罐来收集威胁情报，并提供近乎实时的分析，它具有广泛的工具集成功能，可集成到SIEM、SOAR、Hunters XDR和Sophos网络防火墙产品中，这些集成有助于将威胁与漏洞和事件响应相关联，形成连贯且可操作的方案。

Kela Threat Intelligence：拥有一系列作为其TIP一部分的工具。它可以为防御者自动化行动手册，以帮助监控和优先处理缓解行动，并可以集成到各种现有的第三方安全产品中，它使用其研究小组收集的数据，例如在过去一年中跟踪了数十亿个泄露的凭据，有资格的潜在买家可以使用免费试用账户。

OpenText Threat Intelligence (BrightCloud)：拥有全球传感器网络来检测新兴威胁，并具有实时网页分类、反钓鱼检测和IP及文件信誉监控功能，它还提供云威胁的详细信息，并具有识别和隔离多态恶意软件的能力。

Palo Alto Networks’ Cortex XSIAM：是一个由AI驱动的安全运营中心(SOC)平台，能够摄取、关联并对大量安全数据(包括威胁情报)采取行动，它使用GenAI对终端、网络、云和身份提供商进行持续分析，并可以聚合来自商业和开源提供商的威胁数据，集成250多种第三方工具以创建可操作的规则、行动手册和缓解措施。

Recorded Future Threat Intelligence：被众多分析师视为TIP领域的领导者，加入万事达卡后更是巩固了这一地位，他们拥有自己的内部威胁狩猎小组(Insikt)，提供研究报告，其数据被封装在其TIP中。他们还与新东家共享支付欺诈数据，他们使用确定性AI已有十年之久，并利用这一经验构建了GenAI前端，以推动分析和工作流程，并帮助提出查询和见解。一个新的恶意软件情报模块将观察到的行为与超过15年的历史威胁数据相关联。

Seemplicity：使用其自己的AI引擎RemOps，根据代码仓库、IT服务经理和工单系统中的上下文信息构建定制的修复计划，它可以将推荐的修复措施直接分配给最合适的分析师，其定价基于所涵盖的数据源和自动化数量，起价为每年60000美元，它可以收集和集成来自现有安全工具的数据，如数据、云和应用态势管理器、终端检测和响应等。

SilentPush：具有多种功能，包括品牌和DNS保护以及实时保护，它与各种SOAR和SIEM工具以及Crowdstrike和Cyware平台集成，它有一个免费的社区版本，不包括任何威胁源，但会监控基础设施变更。更完整的企业版基本费用为每年12万美元，但成本可能迅速攀升至50万美元或更多。

SOCRadar Cyber Threat Intelligence：只是其产品线中的三个元素之一，另外两个是暗网监控和扩展威胁情报。后者包括攻击面管理、品牌保护和供应链分析，它封装了众多威胁源，包括监控超过1500个基于Telegram的威胁频道，并具有简单的自然语言查询工具，它还提供与日志管理、SOAR和SIEM系统的众多集成，他们有一个非常透明的定价页面。有一个永远免费的计划，以及一个基本计划，起价为每年11350美元，暗网和扩展情报将额外收费。

最后，请记住这句话：“有效的威胁情报不仅关乎技术——还关乎人员，”ThreatQuotient写道。“要真正充分利用TIP，你需要促进安全团队与企业其他部门之间的协作，这可能包括你的IT部门、执行团队，甚至你的客户和合作伙伴。通过创建一种协作和信息共享的文化，你可以确保企业中的每个人都在共同努力，以领先于威胁形势。”

企业网D1net(www.d1net.com)：

国内主流的to B IT门户，旗下运营国内最大的甲方CIO专家库和智力输出及社交平台-信众智(www.cioall.com)。旗下运营19个IT行业公众号(微信搜索D1net即可关注)。

版权声明：本文为企业网D1Net编译，转载需在文章开头注明出处为：企业网D1Net，如果不注明出处，企业网D1Net将保留追究其法律责任的权利。