概述
作者是Ed Tittel,考察了几个TOP的威胁情报服务,了解它们之间的差异,并了解它们如何满足各种企业安全需求。
原文地址:http://searchsecurity.techtarget.com/feature/Comparing-the-top-threat-intelligence-services
将来自多个来源的威胁情报数据转化为可操作的上下文信息,是如今许多组织面临的挑战。这是因为很容易忽略数据点之间的关联,或者当查看大量必须清理、调整成为可用情报的数据时,容易误解噪音的意义。
威胁情报平台或威胁情报管理平台是解决这个问题的一种方式,因为它收集、过滤和分析数据,并以标准格式提供给各种安全设备和系统。很多服务还提供为行业或组织定制的详细威胁报告。
然而,选择最适合组织的威胁情报提供者是一个耗时的过程。它开始于需求分析 – 关于组织的业务流程、IT基础架构、安全状态以及管理威胁情报的能力的内部评估- 开发明确的情报需求。那么,由于威胁情报的花费可能会很高,组织应该仔细地研究服务功能,服务提供商以及同行业的其他企业。
本文比较了FireEye,Infoblox,LookingGlass,McAfee,RSA,SecureWorks,Symantec和Verisign等TOP威胁情报服务公司提供的数据feed和功能,告警和报告,相对订阅价格以及支持服务。
数据Feed
除了McAfee之外,所有的服务提供商都通过订阅或合同来提供数据Feed,这些数据Feed有的是打包的,有的需要专门的设备或平台。独立实验室测试结果目前不适用于威胁情报服务,因此我们无法比较供应商之间数据Feed的准确性或可靠性。
例如,LookingGlass提供许多不同格式的高风险主机,域名,网站,恶意有效载荷,IP地址,新域名注册,命令和控制服务器以及已确认的恶意软件感染记录的数据源,所有这些都在一个合同中。
Infoblox提供三个核心的ActiveTrust数据Feed,包括主机名,IP地址和URL。
ActiveTrust提供标准、增强的以及高级的订阅包。其中,标准包括Infoblox DNS防火墙的基本威胁数据集。
增强包扩展了数据集,包括Infoblox合作伙伴SURBL的数据,并让客户选择其中一个数据Feed。高级包括所有数据集和所有数据源。
SecureWorks提供漏洞和威胁feed,用户可以通过XML,STIX或CSV将它们集成到当前的基础设施中。该公司的咨询信息包括关于重大事件、攻击和威胁,以及可行的建议的战略安全报告。
Symantec提供三种DeepSight
Intelligence数据源:IP声誉,域/
URL声誉和漏洞。声誉数据Feed可以是XML,CSV和CEF格式。漏洞数据Feed仅有XML。客户选择他们想要接收更新的频率,例如每15分钟,每小时或每天接收更新。
FireEye提供五种不同的iSIGHT情报订阅,它们专为安全工作角色而设计。机器到机器(Machine-to-machine)的情报feed通过iSIGHT API传送。
• iSIGHT战术情报:针对战术级、技术性用户,其基本订阅服务提供丰富的数据源和告警。战术性用户没有门户的访问权限,所以不能接受情报报告。
•iSIGHT操作情报:针对SOC人员以及事件响应(IR)团队,本订阅服务提供可操作上下文,例如威胁攻击者、恶意软件配置文件( profiles),以及数据feed和告警。它还包括优先级过滤器,以帮助安全人员首先关注高优先级威胁。
• iSIGHT Fusion 情报: Fusion 情报中的一部分的分析报告和技术情报可帮助SOC和IR人员搜索攻击者,并且,是根据企业网络风险配置而定制。该订阅服务包含“操作情报”中所有内容,并包括防御场景、行业分析等。
• iSIGHT高管情报:该订阅服务针对首席信息安全官以及管理人员,可为他们提供精简的非技术信息来做出风险、投资和战略决策。
• iSIGHT漏洞情报:此订阅服务主要针对IT人员,他们负责补丁管理、评估漏洞和对漏洞进行优先级别排序。该订阅提供的数据包括补丁的信息,包括紧急的威胁信息。
请注意, FireEye
as a
Service是一种托管服务,它通过FireEye安全专家提供全天候监测、应用情报和威胁检测,并且,FireEye安全专家会与客户的现有托管安全合作伙伴合作。客户还会收到有关攻击者、攻击意图和响应指导意见的报告。 FireEye
as a Service也作为订阅服务销售。
RSA Live数据不同于行业。
RSA Live数据被转换为可点击的元数据,使开源和其他情报与客户的数据合并,使其更有价值。由于RSA Live与RSA NetWitness
Suite集成,客户必须具有NetWitness Suite才能访问RSA Live数据feed。
Infoblox的Feed可以与Infoblox DNS防火墙或客户的安全设备一起使用; RSA和Verisign只能与专有或几个有限数量的第三方安全系统一起使用。
McAfee不要求客户下载和处理数据feed,而是将其基于云的McAfee
Global Threat
Intelligence的信誉信息整合到文件,Web,Web分类,消息,网络连接和证书中。许多英特尔安全产品(包括McAfee Threat
Intelligence Exchange)默认启用这些声誉服务。
告警和报告
LookingGlass发送定制的威胁相关的电子邮件告警,并提供定制的威胁情报服务和报告,以支持运行安全、品牌安全,以及提供分析师支持。
SecureWorks为客户提供针对性的情报报告,客户根据组织的品牌和/或管理人员定制情报报告,以及每周情报摘要报告和及时的威胁公告。
FireEye订阅包括通过Intel portal的情报报告。报告包括有关先进威胁和行动方的趋势和分析。
McAfee
ePolicy Orchestrator是McAfee Threat Intelligence
Exchange的管理组件,它提供了一个控制台和仪表板,管理员可以从中管理报告,告警,系统状态等。在供应商阵容中,McAfee可以独特地检测受到某些威胁影响的联网系统或设备,并立即将该信息推送到其他连接的系统,从而有效地阻止威胁蔓延。
RSA NetWitness Suite订阅包括威胁报告和告警,开源社区情报,通用协议、C&C报告,exploit kit identification,0-day和攻击指标以及优先级风险级别。
Verisign提供全球情报报告和根据组织的行业或具体情况定制报告。
赛门的DeepSight Intelligence为客户提供一个提供支持工具,提供与客户的运行时环境相关的早期告警和警报,补丁详细信息以及业务影响信息。
价钱
数据feed通常是一年、两年和三年订阅,通常基于用户数量,但可以根据应用的数量和类型。
随着用户数量的增加,往往有折扣。 每个数据Feed每月支付至少1,500至3,000美元,但请注意,根据所涉及的feed类型,成本可能会大大增加。
支持
大多数公司通过电话或门户网站以及WEB知识库提供全天候的标准支持。订阅中一般都包含标准支持。公司在升级支持时会收取额外费用。
更详细的全球威胁报告和定制的公司或行业特定的威胁情报报告,请查看LookingGlass,Verisign和SecureWorks。喜欢威胁情报和安全设备在同一个包的组织应考虑FireEye产品,这是被许多专家认为是行业中最好的产品,就像McAfee一样。
最后,RSA Live专注于企业日志分析,事件管理和事件调查 – 平台内置威胁情报。
请记住,预算将在组织的威胁情报服务选择中发挥重要作用,同时要考虑当前运行的设备、行业的其他研究、对其他客户的研究结果。
最好的方法是在选择服务商争取一致性 – 提出相同的问题,比较答案,并在评估短名单时进行第二轮访谈。