2022年中国网络安全行业《威胁情报产品及服务购买决策参考》发布

前言

威胁情报驱动的主动安全防御

人工智能自动驾驶正面临一个难以突破的技术天花板——像优秀人类司机一样“预防性驾驶”;同理,任何企业都需要持续建设和发展自己的基于情报的主动防御能力。

不久前,特斯拉创始人马斯克在被乌克兰某组织列入暗杀名单十天后才从社交媒体上获悉此事。这表明,由于缺乏完善的威胁情报能力,即便是特斯拉这样的产业巨头,对企业关键资产和人员的保护也存在致命盲区。

如果将企业的威胁防御体系比作导弹防御系统,可大致划分为初段拦截(威胁预测与预防)、中段拦截(威胁追踪与分析)和末段拦截(检测与响应)三个阶段,每个阶段都高度依赖战场态势感知和威胁情报能力,每个阶段的失能,都将意味着惨烈的溃败。

过去几年,网络安全业界向企业安全管理者灌输这样一个理念:威胁是无法完全预防的,企业需要将注意力和预算集中在被动防御阶段——末段拦截(检测和响应)上。该观点深刻影响了包括威胁情报在内的全球网络安全市场的格局和路径,企业CISO们也纷纷将MTTD/MTTR之类的与事件响应效率有关的指标作为关键业绩指标。

但现实是残酷的,报告显示,由于企业数字化转型和远程劳动力导致攻击面不断增长,以及网络安全威胁的多样化和复杂化,很多企业已经掉入“末段拦截投资陷阱”。大量的安全投资和工具堆积并未换来MTTD等关键指标的实质性改善,安全运营人员反而掉入了警报疲劳的苦海,这主要归咎于主动防御能力建设的滞后。

而威胁情报能力,正是企业主动安全防御能力的最大短板之一。根据Cybersixgill上半年对全球150名大型企业的CISO的调查,三分之一的大型企业CISO认为威胁情报是最大盲区,其次是漏洞管理。超过90%的CISO依赖过时的、基于报告的威胁情报,这些情报通常太滞后而无法为决策提供有效支撑信息。

今天,大型企业纷纷开始建设“边管云端”的一体化防御战线,而威胁情报能力,是决定该体系效能的“天花板”,重要性不言而喻。威胁情报能够加强对未知威胁的发现和防护能力,缩短检测和响应周期、提升企业安全分析水平。但威胁情报自身的发展和企业实践也暴露出诸多问题,例如误报和产品集成度仍然困扰着企业用户。

如何选择第三方商业威胁情报服务

在持续建设和提升威胁情报能力的过程中,企业需要从大量信息源获取威胁情报信息,例如内部网络和端点安全设备日志数据、SIEM数据、网络流量分析、开源和行业公共威胁情报、漏洞数据、(专业)供应商的商业威胁情报等等。其中,企业内生威胁情报数据的收集和处理能力是事件响应能力的关键因素,而包括商业威胁情报在内的外部情报,则对建设和提升主动防御能力有着重要意义。

但是,市场上太多功能交叠的网络安全方案已经让行业用户感到困惑,威胁情报也正面临类似的问题。

网络安全主管们面临的最大挑战之一就是从各种威胁情报产品和服务中选择有效组合来防止数据泄露。而且随着威胁情报市场的不断升温和整合,威胁情报产品的分化和外延,数据的结构和格式都在快速变化,导致选型的难度进一步加大。

对于商业威胁情报产品服务与合作伙伴,企业选型有几个重要原则和基准:

1.重质不重量(宁缺毋滥)

2.可拓展威胁情报服务(例如外部攻击面管理、数字风险保护和安全评级服务)

3.可与安全产品联动,与SIEM/SOAR平台集成,实现整体威胁预防和自动化处置闭环

4.使用内置大数据平台缩短威胁搜寻活动所需的时间和精力

5.整合暗网情报,服务对象扩展到业务部门和管理层

6.对自身数字资产风险的可见性

7.面向基于机器学习的威胁情报系统(降低误报和延迟)

8.提供(经过认证的)专家服务

9.遵循标准化与开放生态

10.高质量TIP平台是高效安全运营不可或缺的环节(同时也是评估威胁情报质量的重要工具)

今天,企业的安全运营中心(SOC)正在“沦为”检测和响应部门。过于依赖IoC危害指标,缺乏对暴露资产和漏洞的可见性,缺乏威胁预测和预防能力导致安全运营变成了消防大队。

企业需要重新审视威胁预测和预防的重要意义(即便其KPI不如检测与响应直观),重新审视变革中的威胁情报市场,与安全厂商和专业威胁情报提供商一起努力,打造情报驱动的主动防御威胁管理闭环,通过自我迭代的最佳运营实践,用数据驱动的方法来加速风险缓解和加强安全态势。

为此,GoUpSec深入调研了多家知名国内威胁情报专业提供商和综合安全厂商,从产品功能、应用行业、成功案例、安全策略等维度对各厂商威胁情报产品及服务进行调研了解,整理形成了2022年中国网络安全行业《威胁情报产品及服务购买决策参考》。

本次报告共收录12家网络安全厂商,所涉及威胁情报产品及服务成功实施案例25例,分别来自政府、互联网、教育、金融、军工、区块链、交通、能源、医疗、电商、制造业、证券、汽车、运营商、保险等重点行业。

*由于市场调研工作或时间局限等原因,部分威胁情报厂商暂未报名参与此次调研,后续我们将继续补充完善相关名录。

以下为12家网络安全厂商威胁情报产品及服务详情,排名按照公司简称首字母顺序,获取《威胁情报产品及服务购买决策参考》完整版见文末介绍。

安全狗

深圳零时科技有限公司

浙江齐安信息科技有限公司

北京数盾信息科技有限公司

360数字安全集团

腾讯云计算(北京)有限责任公司

北京天际友盟信息技术有限公司

北京微步在线科技有限公司

新华三集团

北京星阑科技有限公司

杭州亿格云科技有限公司

深圳永安在线科技有限公司

前一篇权威认可 | 海云安实力入选工信部"CAPPVD安全漏洞库技术支撑单位"
后一篇网络安全风险量化(CRQ)的正确打开姿势