威胁情报平台如何生存？从Network World的推荐 看客户在业务应用方面的需求

近三年来，“Threat”和“Intelligence”在RSA的所有演讲中，已成为了最热的主题词，不少新兴厂商把目光瞄准这一市场，许多安全厂商也纷纷将业务扩展到威胁情报领域，使威胁情报成为安全战略中的重要组成部分，不断丰富原有的安全产品和服务模式，来面对日益复杂和严峻的安全形势。国外曾有调研公司整理了超过20家威胁情报相关的厂家。

为什么Network World只推荐了三家

在刚刚闭幕的RSA 2017中，IDG旗下著名的Network World网站报道了RSA 2017推荐的48款热点产品（ Hot products at RSA 2017 ），其中绝大部分为美国本土产品，涵盖了威胁情报、大数据、云安全、SSH安全等多个领域。而在威胁情报领域，只有3家厂商的威胁情报产品进入列表。

Anomali ，推荐理由

“Anomali’s flagship threat intelligence platform now automatically extracts indicators from known phishing emails to provide early warning to users, and enables bi-directional threat intelligence exchange allowing users to access and distribute through STIX/TAXII protocols”

NSFOCUS ，推荐理由

“NSFOCUS Global Threat Intelligence can help companies improve their situational awareness and enterprise security posture – delivering both strategic and tactical intelligence, and providing organizations with a complete view of the global threat landscape, including China.”

Sumo Logic ， 推荐理由

“Sumo Logic’s security analytics solution provides automated predictive analytics and deep insights for security operations (SecOps) teams to help them more effectively manage and audit their entire modern application environment.”

因为客户要在业务应用方面落地

在美国SANS研究院与绿盟科技联合发布报告 《威胁情报的定义及使用》 中可以看到，只有40% 的受访者认为本单位威胁情报项目趋于成熟。国内也曾有媒体报道称，”现在看中国几乎没有能拿出手的产品，在客户应用方面的成功案例更是少之又少”。无论是媒体、研究机构还是客户在这一点上认识都是相同的，就是看看到底谁能够在业务应用方面真正的落地。

毫无疑问，客户的信任在威胁情报生存中占有极其重要的地位。这一点，在绿盟科技与日本一家跨国电信运营商的签约项目中表现尤为明显。项目前期，该运营商对多家国际主流威胁情报厂商的威胁情报平台，进行了多轮严格的情报比对测试，最终认为NTI绿盟威胁情报中心比其他平台提供了更为高质量的威胁情报。在后续工作中，该平台为客户日常运营的1.7亿IP，提供恶意IP定期趋势和分析报告，并为提供整改咨询服务，实现大范围IP资产的闭环安全管理。大家可以在这里看到更多详细信息， https://nti.nsfocusglobal.com/

只是情报还不够 要能够应急响应

报告《威胁情报的定义及使用》中还提到，让威胁情报具有可操作性可以从三个方面入手：

1. 将威胁情报与组织的安全状况相结合；
2. 利用威胁情报促进调查与响应；
3. 利用威胁情报展望未来安全形势3

就在上周，NTI绿盟威胁情报中心联动TAC绿盟威胁分析系统，在客户业务环境中截获Locky下载者新变种，该变种能给有效的逃避传统查杀手段，更具隐蔽性。为此，POMA绿盟威胁分析中心结合Locky历史情况，快速给出了详细的分析报告。大家可以在这里登录下载详细报告 https://poma.nsfocus.com

威胁情报的成功来自于生态系统

从上面的案例就可以看到，威胁情报获得成功，不太可能只是依赖单一平台，在NTI的背后还有与各安全产品及平台方面的情报联动，在不断加强情报feed消费的同时，提升感知与预警的准确性、检测与响应的时效性和追溯分析的全面性，进而持续生产高可用的情报。

而另一方面，同时规范情报共享，促进与第三方安全产品的对接，输出基于情报的安全能力，将会加速提升威胁情报对抗未知威胁攻击的能力。目前虽然存在一些困难，但这毕竟是一个机遇。借用RSA 2017 主题那句话，Power of opport UNITY在机遇中 寻求厂商、客户、行业、解决方案和技术等方面的联合 ，只有这样威胁情报才能获得更大的成功。