安全和风险管理领导者很难知道哪些威胁会真正影响到他们的组织。他们应该利用这项研究来选择正确的安全威胁情报产品和服务,并更有效地了解和应对威胁形势。
主要发现
-
各种规模和垂直行业的企业对威胁情报 (TI) 产品和服务的需求持续增加,但许多组织仍然缺乏足够的重点和结构来充分利用他们选择使用的 TI,从而限制了其实用性。
-
随着 TI 意识在整个企业中变得无处不在,一批新的利益相关者希望从更有针对性和更细致入微的情报所能提供的远见中获益。需要新的用例来满足更广泛业务的不同需求,这些需求比大多数当前安全产品提供的价值更高。
-
安全运营领导者和业务领导者都要求从被动情报转向主动情报主导的威胁干预。这一新要求源于需要通过在"左移"运动中考虑威胁形势来避免业务中断。
-
随着对 TI 的需求不断增加,潜在买家正致力于创新和进步,以便在市场上的众多供应商中脱颖而出。
建议
负责安全运营的安全和风险管理 (SRM) 领导者应:
-
确定优先情报需求,并以此为基础,为 TI 运营制定全面的目标运营模式。通过这一新结构,采用 TI 生命周期并衡量其产出的有效性。
-
重点关注数字风险保护服务、外部攻击面管理、威胁狩猎和威胁暴露管理作为可为组织带来更广泛利益的附加用例。
-
评估 TI 供应商,这些供应商不仅提供攻击指标,还提供可操作的主动见解。一些值得考虑的产品包括攻击指标、MITRE ATT&CK 映射、数字风险保护服务 (DRPS) 或外部攻击面管理 (EASM) 丰富功能和经过审查的信息共享社区。
-
推广投资于创新 TI 功能的提供商,例如高级分析、生成式 AI (GenAI)、众包智能和改进的调查门户,以加快价值实现时间。
市场定义
安全威胁情报产品和服务市场是指提供关于网络安全威胁、威胁行为者和其他网络安全相关问题的知识(背景、机制、指标、影响和行动导向建议)、信息和数据的产品和服务的组合。这些产品和服务的输出旨在提供或协助整理有关威胁身份、动机、特征和方法的信息,通常称为策略、技术和程序 (TTP)。目的是使决策更加明智,提高安全技术能力,以降低潜在危害的可能性和影响。
威胁情报 (TI) 产品和服务支持 TI 流程生命周期的不同阶段。具体来说,这涉及定义目标和目的、收集和处理来自各种来源的情报、分析并传播给组织内的不同利益相关者,以及定期提供整个流程的反馈。这些产品和服务支持正在进行的安全调查,并通过优先强化基础设施来帮助防止未来发生违规行为。TI 工具和服务最常见的是基于云的产品和服务,但也可以"作为服务"提供。
强制功能
该市场服务的强制性功能包括:
-
妥协指标(IoC),包括恶意或可疑评级,例如 IP 地址、URL、域和文件哈希。
-
直接进行技术情报收集或研究,使消费者能够定制相关 IoC 的收集或搜索功能。
-
根据预定义标准配置警报阈值。
-
机器对机器的集成可将智能工件推送或拉至多个解决方案。
-
对 IoC 进行开箱即用的丰富,例如暂定归因、地理位置数据和注册信息。
-
具有内置分析功能(如情境化仪表板、可配置告警和搜索功能)的交互式用户门户。
-
IOC 评分或风险评级作为说明对恶意或可疑性的信心的一种方式。
-
调查支持选项,可能包括临时信息请求、长期分析或定期分析师增援。
通用功能
该市场的通用功能包括:
-
TTP 对 IOC 的丰富,通常以两种格式提供:威胁行为者资料和MITRE ATT&CK丰富。
-
恶意软件沙盒,通过在提供商(云或本地)沙盒中引爆恶意软件,提供从恶意软件样本中动态提取 IoC 的能力。
-
针对漏洞优先级定制的漏洞情报,通常突出显示主动利用的漏洞和相关的 IoC。
-
完成情报报告,包括技术/战术分析报告以及作战和战略情报产品。
-
IOC 与威胁行为者之间的加权连接的可视化表示
-
网络监控丰富功能,例如被动 DNS、天坑流量和全球传感器网络监控。
-
行业特定的管理,例如高级搜索过滤器、行业特定的查询参数和仪表板。
-
内置优先情报需求管理。
-
针对运营治理量身定制的指标报告。
-
取证分析支持。
-
支持跨行业社区的多格式共享方式
市场描述
安全威胁情报产品和服务市场(也称为 TI 市场)提供多种解决方案和服务,帮助组织了解和准备应对其独特的威胁形势,并增强其预防和分析能力。这些能力还可以帮助他们改善其他运营工作,例如威胁检测、事件响应、威胁狩猎和威胁暴露管理。
核心能力
为了让最终用户有效利用,安全威胁情报供应商必须能够在技术上提供:
-
入侵指标 (IOC),包括恶意或可疑评级,例如 IP 地址、URL、域和文件哈希。
-
直接进行技术情报收集或研究,并使消费者能够定制相关 IOC 的收集或搜索功能。
-
根据预定义的标准配置告警阈值。
-
支持机器对机器的集成,以将智能工件推送或拉至多个解决方案。
-
集成或向 IOC 提供开箱即用的丰富功能,例如暂定归因、地理位置数据和注册信息。
-
提供具有内置分析功能(如情境化仪表板、可配置警报和搜索功能)的交互式用户门户。
-
提供 IOC 评分或风险评级,以说明对恶意或可疑性的信心。
-
提供调查支持选项,可能包括临时信息请求、长期分析或定期分析师增援。
可选能力
TI 市场提供功能丰富的解决方案,这些解决方案通常具有附加功能。下表 1 列出了市场上常见的可选 TI 功能的非详尽列表。
表1 :可选的 TI 功能
| 市场细分 | 可选功能 |
|---|---|
| 威胁情报 | * IOC 的战术、技术和程序(TTP) 丰富,通常以两种格式提供:威胁行为者资料和MITRE ATT&CK丰富。 * 恶意软件沙盒,通过在提供商(云或本地)沙盒中引爆恶意软件,提供从恶意软件样本中动态提取 IOC 的能力。 * 针对漏洞优先级定制的漏洞情报,通常突出显示主动利用的漏洞和相关的 IOC。 * 完成的情报报告包括技术/战术分析报告以及作战和战略情报产品。 * 节点图可视化,例如链接端分析图和内置Maltego Transforms 。 * 网络监控丰富功能,例如被动 DNS、天坑流量和全球传感器网络监控。 * 行业特定的管理,例如高级搜索过滤器、行业特定的查询参数和仪表板。 * 内置优先情报需求管理。 * 针对运营治理量身定制的指标报告。 * 支持取证分析。 * 漏洞情报。 * 支持跨行业社区的共享。 |
| 威胁情报,以 DRPS 为特色 | * 第三方风险评估,旨在根据威胁情报活动评估与实体供应链相关的风险。 * 域名滥用监控,通常针对与客户域名相关的威胁,例如域名抢注和网络钓鱼。 * 暗网服务监控深网和暗网上与客户组织相关的提及。典型用例是数据泄露、欺诈和威胁行为者归因。 * 社交媒体监控,包括违反社交媒体政策、账户接管、VIP/高管保护和情绪分析。 * 删除服务用于补救 DRPS 发现的结果,例如非法域名/网站删除和被劫持的帐户撤销。 |
| 威胁情报,以 EASM 为特色 | * 发现外部数字资产(本地和云端),通常识别 Internet 协议版本 4 (IPv4) 资产、Web 应用程序、域和SSL 证书。 * 列举软件漏洞和安全弱点以确定补救优先级,通常使用可发现性和可利用性作为风险评分的因素。 * TI 攻击面丰富,增加与主动利用的漏洞相关的相关属性。 * 对已发现的风险的补救措施提供支持/建议。 |
来源:Gartner(2024 年 8 月)
安全威胁情报产品和服务市场拥有大量供应商。Gartner仅在商业领域就监测了 100 多家供应商,比 2023 年增长了约 20% 。客户通常会有大量的选项可供选择。
市场方向
TI 是现代扩展安全运营中心 (SOC) 的核心功能(见图 1 )。低估 TI 价值或未能正确实施 TI 的安全程序将难以抵御迫在眉睫的威胁并预测未来的潜在安全影响。根据Gartner 的 2024 年第二季度预测,全球 TI 支出预计将在 2024 年以 21.7% 的年增长率增长,到2028 年预计支出将达到46 亿美元。
图 1:扩展的 SOC 模型
组织不仅继续对 TI 主导的举措表现出兴趣,而且将其列为优先事项,SANS 2023 年网络威胁情报调查就证明了这一点,其中51 % 的受访组织配备了专门的内部TI 能力,比 2022 年增长了 14%,是 2020 年以来的最大增幅。
推动安全威胁情报产品和服务市场兴趣的关键因素
-
扩大最终用户使用案例
-
供应商整合趋势提供更广泛的用例
-
创新推动差异化
扩展用例
随着整个组织对 TI 价值的认识不断提高,企业领导者开始寻求新的需求和用例,以便更好地利用 TI 提供的可行见解。请参阅表 2,了解 Gartner 在最终用户查询中确定的前三大用例。
表2 :扩展用例示例
| 用例 | 描述 | TI 支持 | 益处 |
|---|---|---|---|
| 威胁狩猎 | 主动寻找跨组织技术领域的入侵证据 | 提供相关的 TTP/IOC/ IOA,包括基于威胁形势活动的可能利用载体 | * 可以在对业务造成重大影响之前识别逃避检测的攻击 * 在影响发生之前,暴露可能对企业造成重大风险的脆弱性和弱点 |
| 威胁检测、用例开发 | 构建威胁检测用例,用于实时检测威胁 | 提供精心策划的攻击指标,提高告警用例的有效性 | * 减少检测用例中的误报 * 提高调查速度,进而减少平均检测时间指标 * 帮助在告警点确定攻击严重程度,从而更好地确定工作负载优先级 |
| 威胁暴露管理 | 发现、确定优先次序并调动资源以消除或减少风险敞口 | 暴露评估------可以确定你的数字资产中哪些漏洞正在、已经或将被利用,以及利用程度如何 | * 可以帮助确定主动可利用的漏洞的优先级,从而减少需要立即修复的漏洞数量 * 可以帮助主动识别即将面临的风险漏洞 |
| 威胁暴露管理 | 验证风险暴露、测试安全控制并调动资源以消除或减少风险暴露 | 对抗性暴露验证------根据收集到的有关主动攻击活动和技术的信息,TI 可以确定哪些 TTP 可能会被用来攻击你的技术堆栈,从而危害或瘫痪你的组织 | 可以帮助识别最有可能影响您组织的威胁行为者属性和工件,从而进行更准确、更及时的网络安全验证练习,并因此提出更高优先级和更有效的修复建议 |
| IOA = 攻击指标 IOC = 入侵指标 |
来源:Gartner
整合上升趋势
根据 Gartner 的最终用户调查,SRM 领导者对将 TI 服务与 DRPS 和 EASM 整合表现出更大的兴趣,从2022 年的约 5% 上升到 2024 年的 35% 。TI 供应商社区也做出了回应,大约 40% 的供应商提供跨域产品和服务(见图2)。促成这一趋势有两个显著的原因:采购和策展的便利性。
图 2:威胁情报、DRPS 和 EASM 之间的市场重叠 - 第 2 部分
大多数组织只有一个采购团队,负责管理所有部门所有采购的合同生命周期;因此,SRM 领导者发现他们过多地参与采购。这反过来又造成了积压,使购买工具和服务变得复杂和冗长,特别是当买家需要提高投标竞争力时。因此,许多 TI 买家希望尽可能减轻这种负担,同时尽可能少地牺牲价值,通过与值得信赖的供应商合作来满足他们可能拥有的众多用例和要求。
其次,对精心挑选的 TI 的需求不断增长。最终用户已经重新调整了他们对情报的期望,他们不再希望被泛泛的指标淹没,而是希望获得一组精心挑选的指标,以便他们能够集中精力。部分原因是最近的预算限制,组织不再拥有处理大量情报的内部资源,或者组织还不够成熟,无法招募到所需数量的员工。无论哪种方式,TI、DRPS 和 EASM 的三角测量或关联都可以为消费组织提供更准确的情报,这些情报通常针对其独特的威胁形势量身定制。
创新推动差异化
就像过去几年一样,供应商之间的关键差异越来越模糊,这使得最终用户在进行繁琐的采购过程时更难以进行适当评估。许多买家都对创新提出疑问,因为这似乎是关键的差异所在。市场对此做出了回应,取得了许多值得注意的进步:
-
人工智能
-
众包情报
-
高级分析
-
改进的调查门户
-
地球物理情报的扩展
虽然 GenAI在 2023 年和 2024 年备受关注,但 TI 的进入门槛很低,消费者可以轻松采用用例,提供商可以快速实施。其中一些用例或 GenAI 支持的功能包括自动丰富、集合评估/差距分析、优先情报需求 (PIR) 生成和报告。这些 GenAI 用途可实现更快的可扩展性,并更好地使用 TI 程序、产品和服务。
其他供应商则利用众包的力量,在广泛的行业、地区和组织人口统计数据中收集预先预防的入侵指标。这些提供商不仅可以从实时和全球的网络防御者和事件响应者那里受益,还可以从全球排名系统中受益,所有用户都可以对他们是否从特定指标中受益进行排名或评分。总的来说,这可以成为防御者社区合作建立一套信誉良好的已知不良 IOC 的绝佳方式。从历史上看,ISAC 一直是这些社区的良好代表。然而今天,许多供应商已经扩展了这一概念,提供自己的情报共享社区,利用他们集体的技术(传感器)和服务(事件响应、威胁狩猎和 SOC 分析师)的力量。对于防御者来说,这个额外的 TI 来源可以帮助减少误报,同时加快调查速度。
"左移"已进入 TI 市场。现在有一部分供应商将改进的诊断称为"预测情报"。这种情报可以分析对手构建基础设施以支持攻击的早期信号或被攻击组织的迹象。分析这些信号的发现可以帮助优化暴露补救工作负载的优先级,方法是通过利用可在公开来源(即网络安全基础设施和安全局 [CISA] 已知被利用的漏洞 [KEV]、漏洞预测评分系统 [EPSS])或商业来源中找到的利用概率来丰富这些暴露发现。一些商业提供商甚至创造了新术语来描述这些旨在表明攻击者意图的新型预警信号。
许多资深供应商已投资调查门户,从而释放出其服务的巨大价值,而这些价值在某些情况下以前是难以获得的。在不断发展以挑战威胁情报平台 (TIP) 和安全编排、自动化和响应( SOAR) 解决方案的市场中,这些供应商旨在通过以更易于使用的方式呈现自己的专有信息,提供高度可操作的见解并加快调查过程。这些变化反映了从处理单个事件到在调查工作流程的支持下进行深入调查的转变。提供这些更新的供应商已将跨域产品(TI、DRPS 和 EASM)整合到一个单一平台中,以实现更好的关联和丰富性,从而为客户提高这三种服务的整体价值。该领域有五项显着的进步,见表 3。
最后,评估逻辑和物理融合带来的威胁的需求促使许多供应商扩展其提供地球物理/政治情报的能力。这些能力将帮助企业监控物理事件以及可能对高管、整个企业或民族国家造成威胁的政治或激进主义相关威胁。
表3 :高性能调查平台的 5 项进步
| 进步项 | 功能 |
|---|---|
| 优化的图形用户界面 | * 更快的搜索 * 更多原生丰富功能 * 自然语言处理 * 增强标记功能 |
| 节点网络图 | * 原生链接端分析 * 深入的关系建模 |
| 案件管理 | * 研究人员支持 * 历史档案 * 注释和工件日志 |
| 原生集成 | * API 推送、拉取功能 * 结构化威胁信息表达 (STIX)/可信指标信息自动交换 ( TAXII) 兼容性 |
| 报告 | * 按需生成报告 * 指标仪表板 * 关注列表 * 新闻提要 |
来源:Gartner
TI 市场已发生多起收购案,收购方包括大型 TI 提供商、托管安全服务提供商、投资公司、电信提供商等。这清楚地表明,TI 仍然是所有安全和风险计划的关键能力。
2023年,TI市场发生了多起收购事件。
2023年第一季度和第二季度:
2022年第三季度和第四季度:
我们常常可以看到服务和产品供应商的 TI 输出按照业界公认的攻击生命周期框架(如MITRE ATT&CK 或 Lockheed Martin [网络杀伤链])进行标记和分类。Gartner建议(并且买家也理所当然地要求)对不同平台(包括威胁检测平台)上的上下文威胁信息采用通用分类法。TI供应商很自然地会实施这些业界公认的框架作为其标记内容的基础,特别是由 TIP 供应商自动将情报传递给环境中的不同安全解决方案。通过添加上下文和洞察,此标记功能有助于将事件和事件工件提升到 TI 数据、信息、知识、情报 ( DIKI)金字塔的更高位置(见图3 )。这最终允许客户将供应商知识与他们自己的优先情报需求 (PIR) 和环境上下文相匹配,从而使知识可操作、准确且及时。
图 3:威胁情报 DIKI 金字塔和产品/服务一致性
TI 市场中仍存在大量供应商,大型供应商提供广泛的用例和服务,包括 DRPS,有时还提供 EASM。TI 市场提供广泛的产品,具体取决于数据集/类型和对 TI 分析师支持的要求(见图 4)。
图 4:威胁情报、DRPS 和 EASM 之间的市场重叠 - 第 1 部分
市场分析
TI 单点解决方案使组织能够收集、整理、处理和传播其内部的 TI,并以提要、报告和通过调查门户向分析师提供访问的形式提供可用的 TI。但是,运营化和自动化情报才是组织开始看到价值的地方。拥有专门 TI 团队的成熟安全组织通常需要更多特性和功能来收集、整理和传播他们自己的情报,同时获取外部 TI 源以扩展和验证他们的发现。成熟的组织使用多种形式的十几个或更多TI 源(如免费/开源、计算机应急响应小组 ( CERT )、信息共享和分析中心 (ISAC )和商业提供商)并不罕见。这些来源之间存在重叠。在许多领域,一个供应商/提供商比其他供应商/提供商更具知名度,并且在这个分散的市场格局中不存在"一个可以统治所有的 TI 提供商"。
当今市场上没有任何一个安全威胁情报来源------无论是开源的、商用的还是政府创建的------能够洞察所有类型的威胁。
不太成熟的安全程序,如果专职的TI 专家数量有限或缺乏,则更有可能选择专注于聚合机器可读威胁情报 ( MRTI)源(参见表 1)的TI 单点解决方案,其中包含高级上下文信息或依赖 DRPS。许多提供商都拥有随时可用的集成,可以减轻在客户组织内部实施 TI 的负担。这些不太成熟的程序对图形分析、链接分析或标记和威胁行为者建模等高级功能不感兴趣(或尚未准备好) 。运行此类程序的组织可能会求助于服务提供商,以获得高度策划的端到端情报服务,这些服务直接与现有流程和投资交互,从而显着缩短其价值实现时间。
威胁情报订阅服务
TI 订阅服务根据组织独特的威胁形势和环境,提供组织需要使用和应用作为 TI 的基本信息和数据。买家会发现多种类型的数据交付方法和内容类型,其中一些采用全包定价模式,一些采用模块化定价模式。表 4 列出了这些订阅提供的常见服务。
表4 :威胁情报订阅服务示例
| 订阅服务 | 描述 | 主要交付方式 |
|---|---|---|
| Indicator feed | 精心挑选的指标列表,主要为原子指标,侧重于对手基础设施和恶意软件技术细节。IP 地址、URL、域名和文件哈希是 TI 供应商将作为订阅的一部分提供的一些原子指标示例。 | 机器可读的威胁情报 |
| 威胁行为者概况 | 按国家政府隶属关系分类和/或按目标(例如间谍、经济动机或黑客行动主义)分组的威胁行为者资料列表。这些资料通常用于归因和传达威胁行为者为实现其目标所使用的 TTP。 | 人类和机器可读的情报 |
| 门户网站 | 付费访问精选的威胁信息和数据,通常以新闻报道、漏洞信息、热门趋势图和报告库的形式提供。TI 门户是 TI 服务的主要交付方式和客户端界面。 | 人类和机器可读的情报 |
| 威胁新闻 | 开源、私人团体和提供商创建的网络威胁新闻集合。一些提供商提供针对特定垂直行业定制的新闻提要,而其他提供商则可能提供基于用户定义的配置文件的筛选。 | 人类和可读的情报 |
| 技术威胁分析报告 | 逆向恶意软件或僵尸网络内部运作的结果以技术报告的形式提供给客户使用。这些报告通常在报告末尾提供原子指标列表,并可能包括已知检测签名列表。 | 人类和机器可读的情报 |
| 删除服务 | 事件响应服务旨在对旨在欺诈或损害品牌的 DRPS 发现进行技术补救。这些服务通常针对域名/网站滥用(网络钓鱼、域名抢注、虚假网站)、虚假/流氓移动应用程序、徽标/商标侵权以及欺诈性社交媒体帐户和帖子。 | 托管或自动化服务 |
| 托管情报服务 | 旨在提供端到端 TI 运营的服务。通常包括情报收集、分析和报告或三者的组合。 | 托管服务 |
| 请求信息支持 | 为具有现有 TI 功能的组织提供提交RFI以获得额外/增强支持的能力。常见用途是分析师需要与指标相关的更多信息/背景,或需要有关特定 TTP 或相关属性的更多信息。 | 专业或托管服务 |
| 例子: 机器可读情报: JSON 、逗号分隔值(CSV)、结构化威胁信息表达式(STIX )、可信自动情报信息交换(TAXII)、API、网络可观察表达(CybOX)、yar CAPEC 、YARA 、Sigma。 人类可读的情报: PDF 格式的报告、服务门户内的HTML帖子。 删除服务: 由 DRPS 提供商手动提供服务(通常通过信用提供)或通过用户界面自动化提供给客户。 托管服务: 直接来自 TI 提供商,或通过托管安全服务提供商提供。 专业服务: TI 咨询服务。 |
来源:Gartner(2024 年 8 月)
威胁情报平台
TI 的聚合、管理和运营化是 TIP 解决的核心用例。由于 TIP 在自动丰富票据和指标以及将情报推向安全技术方面存在重叠,因此 TIP 和 SOAR 解决方案之间存在相似之处。通常建议使用 TIP 等技术来帮助公开或私下与其他组织共享 TI。TIP 允许以机器可读的格式高速导出和提取 TI,两端的系统都可以高效生成和解析这些格式。它还允许组织以各种格式使用大量 TI,用于存储、重复数据删除、排名和自动化工作流用例。
数字风险保护服务
DRPS 通过搜索对企业数字资源(例如 IP 地址、域和品牌相关资产)的威胁,将检测和监控活动扩展到企业边界之外。DRPS 解决方案通过提供有关威胁行为者及其用于进行恶意活动的策略和流程的上下文信息,提供对开放(表面)网络、暗网和深网环境的可见性。
DRPS 提供商支持各种角色(例如首席信息安全官 [CISO]、风险、合规和法律团队、人力资源和营销专业人员)绘制和监控数字资产。他们还支持缓解活动,例如网站/帐户删除和生成定制报告。删除服务可以包括取证(调查后和数据恢复)和事后监控。
外部攻击面管理
EASM 是一个与 DRPS 和 TI 重叠的相邻技术市场。它是技术、流程和托管服务的组合,可提供已知和未知数字资产的可见性,使组织能够从外向内查看其环境。这反过来可以帮助组织确定威胁和暴露处理活动的优先级。然而,Gartner 预测,EASM 功能将在不久的将来被吸收到其他安全解决方案中(即 DRPS、TI、漏洞管理、暴露评估和对抗性暴露验证),并且在未来三到五年内可能不再是一个独立的市场。
漏洞情报
漏洞情报可以帮助了解指定攻击和威胁行为者所利用的漏洞状态;以及分析组织环境中的漏洞在野外被利用的可能性。
这种可量化的知识为组织提供了关键见解,使其了解其威胁形势的实际情况,并从本质上产生了两个好处:
-
减少组织必须清除的大量漏洞。
-
向组织展示哪些威胁代表着最高风险。
除了 TI 服务之外,许多传统漏洞评估工具都具备漏洞情报功能。不过,一些纯粹的漏洞优先级技术 (VPT) 供应商一直在漏洞评估市场中扮演着重要角色。
威胁情报共享
TI 共享网络对安全计划具有真正的价值,这一点众所周知,但并未得到公众的特别关注。Gartner 建议所有希望在其安全计划中使用 TI 的组织,无论其规模和行业垂直如何,都应研究参与此类协作能力的选项。
信息共享与分析中心
许多信息共享和分析中心 (ISAC) 在构建共享网络方面非常成功,这些网络大大提高了对当前威胁的可见性,帮助其客户或各个垂直行业的组织检测和预防威胁。
恶意软件信息共享平台和威胁共享
恶意软件信息共享平台 (MISP)是一个开源 TI 平台。它可用于收集、存储、分发和共享机器可读的 TI。在北大西洋公约组织 (NATO)决定使用它并提供开发资源来改进它之后,它作为一个开源项目获得了发展势头。它是根据 Affero通用公共许可证 (AGPL) 发布的,并被一些托管安全服务提供商使用。
寻求简单、低成本 TIP 功能的组织广泛采用MISP 。组织可以利用许多MISP社区提供的开源情报 (OSINT)。他们可以将 OSINT 集成到威胁检测和响应流程中,而无需获取任何商业 TI 源。
Cert
当今大多数地区都设有本地计算机应急响应小组 (CERT),其中许多小组提供的服务包括 TI 馈送和/或相关服务。
CERT 的一些示例包括:
代表供应商
Gartner 在本研究中纳入了一系列提供商,以确保从地理、垂直和能力角度进行覆盖。Gartner 估计,该市场中有超过 100 家提供商声称提供独立的 TI 服务。本市场指南中包含的提供商包括:
-
对 Gartner 客户可见(基于查询)。
-
根据总部位置和重点领域代表广泛的地理范围。
-
提供独立的 TI 产品和服务,这意味着客户无需购买额外的非 TI产品或服务即可获得 TI 产品。
-
在社交媒体平台上拥有大量追随者。
-
拥有相当长的市场占有率。
表5 :威胁情报市场的代表性供应商
| 供应商 | 总部 | 产品名称 |
|---|---|---|
| Anomali | 美国 | * 异常威胁流 * 异常安全分析 * 异常副驾驶 |
| CloudSEK | 新加坡 | * CloudSEK XVigil * CloudSEK SVigil * CloudSEK BeVigil企业版 * CloudSEK BeVigil 社区 * CloudSEK暴露面 |
| Constella Intelligence | 美国 | * 身份监控 * 深入 OSINT调查 * 合成身份欺诈检测 |
| CrowdStrike | 美国 | * 猎鹰对手守望先锋 * 猎鹰对手情报 * 猎鹰对手情报高级版 * 猎鹰暴露面管理 |
| CybelAngel | 法国 | * 暗网监控 * 域名保护 * 预防数据泄露 * 账户接管预防 * 资产发现与监控 |
| Cyberint | 以色列 | * Argos平台 o 攻击面管理 o 钓鱼检测 o 社交媒体监控 o Forensic Canvas o 漏洞情报 o Risk Intelligence Feeds (IOC) o 网络威胁情报 o Dashboard and Reports |
| Cybersixgill | 以色列 | * 网络威胁情报 * 漏洞利用情报 * 攻击面管理 * MSSP 解决方案 |
| ReliaQuest | 美国 | * GreyMatter 威胁情报 * GreyMatter 数字风险保护 |
| Google (Mandiant) | 美国 | * 攻击面管理 * 数字威胁监测 * 威胁情报 |
| Flashpoint | 美国 | * Flashpoint Ignite平台 o Flashpoint 网络威胁情报 o Flashpoint 漏洞管理 o Flashpoint 物理安全情报 o Flashpoint 国家安全情报 o Flashpoint 溯源托管 |
| Group-IB | 新加坡 | * 威胁情报 * 欺诈保护 * 数字风险保护 * 攻击面管理 |
| IBM Security | 美国 | * IBM X-Force情报交换 * X-Force 威胁情报摘要 * X-Force 威胁情报标准 * X-Force 高级威胁情报 |
| Intel 471 | 美国 | * TITAN 网络 o 敌方情报 o 凭证情报 o 恶意软件情报 o 市场情报 o 漏洞情报 |
| Rapid7 (IntSights) | 美国 | * 情报命令 o 数字风险保护 o 清晰、深网和暗网保护 o IOC 管理和充实 o 快速补救和删除 o 无缝自动化 o 广泛的威胁库 o 高级调查和威胁映射 |
| 绿盟科技 | 中国 | * 绿盟威胁情报 * 互联网暴露面分析 * 攻击面监测 |
| Microsoft | 美国 | * 防御情报标准版 * 防御情报高级版 |
| Orange Business | 法国 | * 托管威胁情报 * 威胁情报Feeds * 托管威胁情报监测 * 托管漏洞情报 |
| Palo Alto Networks (Cortex) | 美国 | * Cortex XSOAR 威胁情报管理 * Cortex Xpanse |
| Thoma Bravo (Proofpoint) | 美国 | * 新兴威胁情报 |
| 奇安信 | 中国 | * QAX TIP o 漏洞情报 o APT 档案 o 邮件攻击检测 o 云端威胁情报 |
| QuoIntelligence | 德国 | * Mercury 2.0 o 威胁情报 o 风险情报 o 数字风险保护 |
| Recorded Future | 美国 | * 情报云模块 o 品牌情报 o 安全运营情报 o 威胁情报 o 漏洞情报 o 第三方情报 o 地理情报 o 支付欺诈情报 o 认证情报 o 攻击面管理 |
| Sekoia.io | 法国 | * Sekoia 情报(CTI) * Sekoia.io TIP |
| Telos | 美国 | * Telos 高级网络分析 |
| Verizon | 美国 | * 威胁情报服务 o 暗网狩猎 |
| ZeroFox | 美国 | * ZeroFOX 保护 * ZeroFOX 情报 * ZeroFOX 颠覆 * ZeroFOX 回应 * ZeroFOX 外部攻击面管理 |
来源:Gartner(2024 年 8 月)
市场建议
根据 SANS 2023 年网络威胁情报调查,59% 的组织已记录 PIR,比 2022 年增加了 25%。然而,根据我们的客户询问,虽然越来越多的组织正在正式实施他们的计划,但他们仍在努力缩小更大的成熟度差距。这些组织应该专注于衡量其计划的有效性,并使用这些数据来调整计划或情报的缺陷。
多年来,Gartner 一直推荐一种简单实用的方法来充分利用 TI 计划。从高层次上讲,最终用户组织应同时做到以下几点:
-
获取 --- 如今,可用的服务种类繁多。最终用户需要谨慎选择,确保他们"获取"的是合适的 TI 组合。例如,如果您希望改进漏洞管理程序,那么获取IOC恶意软件源就没什么用。这里的关键是确定适合您的业务目标的正确 TI 解决方案,同时确保它们与您的安全程序的成熟度保持一致。
-
聚合 --- 客户经常使用十几个或更多的情报源/服务。因此,至关重要的是确定如何在获得所有可能有用的威胁信息和数据后将其聚合并与 PIR 对齐,从而将其转变为真正的 TI。从技术角度来看,TIP/SOAR 工具就是这种能力的一个例子,但人员/流程不能从等式中消除。
-
行动 --- 即使在今天,可操作性也是一个关键问题。安全和风险管理领导者必须明白,仅仅知道是不够的;他们必须能够采取行动。TI 做得好可以提高您的 SecOps 员工的效率、流程效率和技术的效力。无论您做什么,牢记 PIR 将极大地帮助您专注于最终目标并确保满足业务需求。
建议:
-
通过构建 TI 程序来优化 TI 投资,该程序根据业务风险定制威胁形势和实时威胁信息以协助高管决策过程。
-
通过关联外部威胁数据来确定更好的优先次序,促进情报部门之间的凝聚力。
-
重点关注使用先进的管理技术来提供高度可操作的见解的情报提供商,以减轻对大型混合数据集进行长期分析的负担。