从RSAC2017看威胁情报如何落地

　　5.360

　　国家：中国

　　网站：360.cn

　　威胁情报产品：天擎终端、天堤防火墙、天眼APT检测

　　360提供免费个人安全服务多年，在国内个人终端市场有相当高的占有率。近年来开始向企业安全转型，算是企业安全新军，锐气十足。主打反APT产品，收购了网神和网康防火墙。360在APT领域持续投入，RSA大会期间发布了2016年度APT报告。

　　拥有多款企业安全产品，分为终端和网络两个层面，软硬件兼备。

　　6.微步在线/ThreatBook

　　国家：中国

　　网站：Threatbook.cn

　　威胁情报产品：威胁情报订阅服务、威胁分析平台和API、威胁情报平台(软件部署)

　　微步是国内最早提供威胁情报服务的公司，发展势头迅猛，已于16年中完成A轮融资。客户覆盖金融、能源、互联网等行业，也包含多家世界500强公司。微步旗下产品包括威胁情报订阅服务、威胁情报平台、免费威胁分析平台。

　　微步在线产品成熟度高，RSA大会期间发布的威胁情报软件平台可私有化部署，较好地解决了威胁情报落地问题。

　　7.IBM Security

　　国家：美国

　　网站：www.ibm.com

　　威胁情报产品：X-Force情报社区、威胁情报服务(MSSP)、QRadar安全情报平台

　　IBM安全2015年的收入为20亿美金，保守估计2016年收入25亿美金，是美国安全业务收入增长最快的大公司公司之一。

　　X-Force是IBM基于SAAS的威胁情报平台。每天监控20B的安全事件来获取匿名威胁资讯。

　　QRadar可以收集各种安全产品数据包括设备应用、网络流等海量数据进行智能分析，并进行优先级排序。QRadar本身就是一个大数据平台，专门针对安全信息数据，比如日志，应用日志、设备日志、操作系统日志，包括网络流数据、漏洞的信息、资产的信息、防火墙配置信息等等都会进行收集，然后一起做关联分析。IBM QRadar有集成的分析模型和关联规则，通过关联规则发现潜在威胁。

　　其威胁情报服务主要依托QRadar平台、安全服务和X-Force。

　　8.Anomali

　　国家：美国

　　网站：www.anomali.com

　　威胁情报产品： STAXX客户端、Anomali企业版、威胁情报平台

　　Anomali原名ThreatStream。是国际威胁情报领域很有特色的厂商，发展迅猛。去年获得了CIA(美国中央情报局)旗下In-Q-Tel的战略投资，主要产品包括帮助企业匹配客户日志数据和威胁情报。

　　Anomali威胁情报平台(现在叫threatstream)是Anomali最早的产品，汇集第三方情报信息， ISAC和开源情报信息等。现在已经能和大多数主流安全设备相连，如SIEM，FW，终端等。

　　Anomali企业版是一种新型可扩展的，基于云端的平台。解决了大量不相关IOCs导致传统安全设备(SIEM, NGFW)负担过重这一问题，通过读取日志寻找潜在IOCs，并将其与数据库中威胁情报数据对比，选出合适的数据推送给设备。系统保存一年的日志IOCs以方便分析比对。

　　Anomali 去年年底还发布了免费的STAXX工具以方便威胁情报传送。STAXX没有内置任何限制，企业可随意配置馈送源。Anomali的目标是让STAXX成为发现、访问和管理威胁情报馈送最简单最高效的方式。

　　9.Kaspersky

　　国家：俄罗斯

　　网站：www.kaspersky.com

　　威胁情报产品： 威胁情报订阅服务

　　卡巴斯基以技术扎实著称于世，目前主要业务依然围绕杀毒软件展开。其APT和威胁分析和研究在全球安全界占据独特的位置。现在已经可以检测如下威胁：恶意链接、钓鱼链接以及命令和控制URL链接，移动威胁并具备IP信誉数据，可以提供IP订阅服务。提供的情报数据机器可读，能和SIEM, Splunk, IBM Qrader等设备整合。

　　10.RiskIQ

　　国家：美国

　　网站：www.riskiq.com

　　威胁情报产品： PassiveTotal威胁分析平台、安全情报服务

　　RiskIQ成立于2009年，RiskIQ定位为数字风险监控厂商。致力于让企业及组织客户能够访问安全智能和应用程序，从而保护数字攻击面、定位业务风险。客户能够随时发现和处理恶意软件、恶意广告和恶意 App，降低网络、移动及社交工具的威胁。RiskIQ 通过全球代理网络每天持续扫描数以千万计的网站，随时向客户报告异常情况。据悉美国前十大金融机构中有八家都适用RiskIQ追踪监控企业web和移动应用资产。2015年收购Passive Total的威胁分析平台扩张自己的服务领域。

　　11.Recorded future

　　国家：美国

　　网站：www.recordedfuture.com

　　威胁情报产品： 提供多款开源情报产品，包括Cyber、DarkWeb、威胁监控等等