威胁参与者正在通过新的攻击方法使他们的货币化技术、战术和程序 (TTP) 多样化,因为技术进步降低了进入门槛,而勒索软件即服务 (RaaS) 的出现加剧了这个问题。
对于达到这种复杂程度的组织,威胁情报必须成为其安全态势的重要组成部分,因为它提供有关当前威胁的可操作信息并帮助保护企业免受恶意攻击。
什么是威胁情报平台?
威胁情报平台 (TIP) 是一种使组织能够从多个来源收集、分析和聚合威胁情报数据的技术。 这些信息使公司能够主动识别和减轻潜在的安全风险,并抵御未来的攻击。
网络威胁情报是重要的企业安全组件。 通过监控最新的网络威胁和漏洞,您的组织可以在潜在的安全漏洞损害您的 IT 资产之前检测并做出响应。
威胁情报平台如何运作?
威胁情报平台通过从多个来源收集威胁情报数据,包括开源情报 (OSINT)、深网和暗网以及专有威胁情报源,帮助公司降低数据泄露的风险。
TIP 分析数据、识别模式、趋势和潜在威胁,然后与您的 SOC 团队和其他安全系统(例如防火墙、入侵检测系统以及安全信息和事件管理 (SIEM) 系统)共享此信息,以减轻对您的 IT 基础设施。
威胁情报平台的好处
威胁情报平台为组织提供各种好处,包括:
- 主动威胁检测
- 改善安全态势
- 更好的资源分配
- 简化的安全操作
TIP 的其他优势包括自动威胁响应、成本节约和提高可见性。
威胁情报平台的主要特点
威胁情报平台的主要特点是:
- 数据采集能力
- 实时威胁优先级排序
- 威胁分析
- 监控深网和暗网的能力
- 丰富的图形库和数据库,用于可视化攻击和威胁
- 与您现有的安全工具和系统集成
- 研究恶意软件、网络钓鱼诈骗和恶意行为者
最好的 TIP 可以收集、规范化、聚合和组织来自多种来源和格式的威胁情报数据。
自动对焦
Palo Alto Networks 的 AutoFocus 是一个基于云的威胁情报平台,让您无需额外的 IT 资源即可识别严重攻击、进行初步评估并采取措施补救情况。 该服务从您的公司网络、行业和全球情报源收集威胁数据。
AutoFocus 提供来自 Unit 42(帕洛阿尔托网络威胁研究团队)的有关最新恶意软件活动的情报。 威胁报告可在您的仪表板上查看,让您进一步了解不良行为者的技术、策略和程序 (TTP)。
主要特征
- 其第 42 单元研究提要提供了对最新恶意软件的可见性以及有关其策略、技术和程序的信息
- 每天处理 4600 万个真实世界的 DNS 查询
- 从 Cisco、Fortinet 和 CheckPoint 等第三方来源收集情报
- 该工具通过开放和敏捷的 RESTful API 为安全信息和事件管理 (SIEM) 工具、内部系统和其他第三方工具提供威胁情报
- 包括针对勒索软件、银行木马和黑客工具的预置标签组
- 用户还可以根据自己的搜索条件创建自定义标签
- 兼容STIX、JSON、TXT、CSV等多种标准数据格式
Palo Alto Network 网站上未公布该工具的定价。 买家应联系公司销售团队获取报价,您还可以索取产品演示以了解有关解决方案功能以及如何为您的企业利用它的更多信息。
管理引擎日志360
ManageEngine Log360 是一种日志管理和 SIEM 工具,可为公司提供对其网络安全的可见性、审计活动目录更改、监控其交换服务器和公共云设置,以及自动化日志管理。
Log360 结合了五个 ManageEngine 工具的功能,包括 ADAudit Plus、Event Log Analyzer、M365 Manager Plus、Exchange Reporter Plus 和 Cloud Security Plus。
Log360 威胁情报模块包括一个包含全球恶意 IP 的数据库和一个 STIX/TAXII 威胁源处理器,该处理器经常从全球威胁源中检索数据并为您更新。
主要特征
- 包括集成的云访问安全代理 (CASB) 功能,以帮助监控云中的数据、检测影子 IT 应用程序并跟踪已批准和未批准的应用程序
- 检测跨企业网络、端点、防火墙、Web 服务器、数据库、交换机、路由器和其他云源的威胁
- 实时事件检测和文件完整性监控
- 使用 MITRE ATT&CK 框架来确定攻击链中发生的威胁的优先级
- 其攻击检测包括基于规则的实时关联、基于行为的基于 ML 的用户和实体行为分析 (UEBA) 以及基于签名的 MITRE ATT&CK
- 包括用于电子发现、数据风险评估、内容感知保护和文件完整性监控的集成数据丢失防护 (DLP)
- 实时安全分析
- 综合合规管理
Log360 可以在一个文件中下载,并有两个版本:免费版和专业版。 用户可以在 30 天的试用期内体验专业版的高级功能,之后这些功能将转换为免费版。
AlienVault USM
AT&T 开发的 AlienVault USM 平台。 该解决方案在一个统一平台中提供威胁检测、评估、事件响应和合规性管理。
AlienVault USM 每 30 分钟从 AlienVault 实验室收到有关他们在整个威胁环境中发现的不同类型的攻击、新出现的威胁、可疑行为、漏洞和利用的更新。
AlienVault USM 提供企业安全架构的统一视图,使您能够监控本地或远程位置的网络和设备。 它还包括 SIEM 功能、AWS、Azure 和 GCP 的云入侵检测、网络入侵检测 (NIDS)、主机入侵检测 (HIDS) 以及端点检测和响应 (EDR)。
主要特征
- 实时僵尸网络检测
- 命令与控制 (C&C) 流量识别
- 高级持续性威胁 (APT) 检测
- 符合各种行业标准,例如 GDPR、PCI DSS、HIPAA、SOC 2 和 ISO 27001
- 网络和主机 IDS 签名
- 集中事件和日志数据收集
- 数据泄露检测
- AlientVault 从单一管理平台监控云和本地环境,包括 AWS、Microsoft Azure、Microsoft Hyper-V 和 VMWare
该解决方案的基本计划起价为每月 1,075 美元。 潜在买家可以注册 14 天免费试用,以了解有关该工具功能的更多信息。
Qualys 威胁防护
Qualys Threat Protection 是一种云服务,可提供高级威胁防护和响应功能。 它包括漏洞的实时威胁指标,映射来自 Qualys 和外部来源的发现,并持续将外部威胁信息与您的漏洞和 IT 资产清单相关联。
借助 Qualys 威胁防护,您可以从小部件和搜索查询手动创建自定义仪表板,并对搜索结果进行排序、过滤和优化。
主要特征
- 集中控制和可视化面板
- 提供漏洞披露的实时反馈
- 零日攻击、公开漏洞利用、主动攻击、高横向移动、高数据丢失、拒绝服务、恶意软件、无补丁、漏洞利用工具包和容易利用的 RTI
- 包括一个搜索引擎,允许您通过创建临时查询来查找特定资产和漏洞
- Qualys 威胁防护持续将外部威胁信息与您的漏洞和 IT 资产清单相关联
他们提供 30 天的免费试用,让买家在做出购买决定之前探索该工具的功能。
SOC雷达
SOCRadar 将自己描述为基于 SaaS 的扩展威胁情报 (XTI) 平台,它结合了外部攻击面管理 (EASM)、数字风险保护服务 (DRPS) 和网络威胁情报 (CTI)。
该平台通过提供对公司基础设施、网络和数据资产的可见性来改善公司的安全状况。 SOCRadar 的功能包括实时威胁情报、自动深度和暗网扫描以及集成事件响应。
主要特征
- 与现有的安全堆栈集成,例如 SOAR、EDR、MDR 和 XDR,以及 SIEM 解决方案
- 它有超过 150 个 feed 源
- 该解决方案提供有关各种安全风险的情报,例如恶意软件、僵尸网络、勒索软件、网络钓鱼、不良声誉、被黑网站、分布式拒绝服务攻击 (DDOS)、蜜罐和攻击者
- 基于行业和区域的监控
- MITRE ATT & CK 映射
- 拥有超过 6,000 个组合列表访问权限(凭据和信用卡)
- 深度和暗网监控
- 泄露的凭据检测
SOCRadar 有两个版本:面向 SOC 团队的网络威胁情报 (CTI4SOC) 和扩展威胁情报 (XTI)。 这两个计划都有两个版本——免费和付费——CTI4SOC 计划起价为每年 9,999 美元。
Solarwinds 安全事件管理器
SolarWinds Security Event Manager 是一个 SIEM 平台,可收集、规范化和关联来自 100 多个预建连接器(包括网络设备和应用程序)的事件日志数据。
借助 SEM,您可以有效地管理、管理和监控安全策略并保护您的网络。 它实时分析收集到的日志,并使用收集到的信息在问题对您的企业基础架构造成严重损害之前通知您。
主要特征
- 24/7 全天候监控您的基础架构
- SEM 有 100 个预建连接器,包括 Atlassian JIRA、Cisco、Microsoft、IBM、Juniper Sophos、Linux 等
- 自动化合规风险管理
- SEM 包括文件完整性监控
- SEM 收集日志、关联事件并监控威胁数据列表,所有这些都在一个管理平台中
- 平台内置700多条关联规则
- 用户可以导出 PDF 或 CSV 格式的报告
Solarwinds Security Event Manager 提供 30 天免费试用,有两种许可选项:订阅,起价 2,877 美元,永久,起价 5,607 美元。 该工具根据发送日志和事件信息的节点数量获得许可。
Tenable.sc
Tenable.sc 建立在 Nessus 技术之上,是一个漏洞管理平台,可让您深入了解组织的安全状况和 IT 基础架构。 它收集和评估整个 IT 环境中的漏洞数据,分析一段时间内的漏洞趋势,并允许您确定优先级并采取纠正措施。
Tenable.sc 产品系列(Tenanble.sc 和 Tenable.sc+)使您能够识别、调查、确定优先级和修复漏洞,从而保护您的系统和数据。
主要特征
- 它简化了对行业标准的合规性,例如 CERT、NIST、DISA STIG、DHS CDM、FISMA、PCI DSS 和 HIPAA/HITECH
- 其被动资产发现功能使您能够发现和识别网络上的 IT 资产,例如服务器、台式机、笔记本电脑、网络设备、Web 应用程序、虚拟机、移动设备和云
- Tenable Research 团队提供有关最新漏洞检查、零日研究和配置基准的频繁更新,以帮助您保护您的组织
- Tenable 维护着一个包含超过 67,000 个常见漏洞和暴露 (CVE) 的库
- 实时检测僵尸网络和指挥控制流量
- Tenable.sc director 包括单一管理平台,可帮助您跨所有 Tenable.sc 控制台查看和管理您的网络
Tenable.sc 每年获得许可,每项资产的 1 年许可起价为 5,364.25 美元。 您可以通过购买多年期许可证来节省资金。
结论
本指南分析了七个威胁情报平台及其突出特点。 最适合您的选择取决于您的威胁情报需求和偏好。 在选择特定工具之前,您可以申请产品演示或注册免费试用。
这将允许您测试它以确定它是否符合您公司的目的。 最后,确保他们提供高质量的支持并确认他们更新威胁源的频率。
接下来,您可以查看网络攻击模拟工具。
