服务众多安全客户,「天际友盟」通过构建生态的方式落地威胁情报
36氪 · 2021-06-25 09:19:00 · 热度:加载中...
公司CEO杨大路表示,天际友盟从成立开始即保持做威胁情报则必须做生态的道路。

威胁情报这一网络安全技术最早来源于美国,近年传入国内后也逐步引起众多安全厂商的重视。

关于“威胁情报”这一技术名词,Gartner曾给出专业定义。它认为,威胁情报是某种基于证据的知识,包括上下文、机制、标示、含义和能够执行的建议,可用于资产相关主体对威胁的响应,或为决策提供信息支持。

简单理解,威胁情报通过对大量相关数据积累和分析,在攻击发生之前告知企业等防守方需要注意的方向,希望达到防患于未然的效果。在实际落地中,威胁情报常常作为一种较底层的技术,为各类安全产品提升能力。

根据权威研究机构 IDC 的调研数据显示,威胁情报可以显著降低风险,同时推动安全和运营效率的提高,将企业发现威胁的速度提高 10 倍,响应和解决威胁的速度提高 63%,并在受到攻击之前主动识别出 22% 的安全威胁。

当前,国内威胁情报领域的参与者大致分为全栈型厂商和专精型厂商两类。在专精型厂商中,有公司以威胁情报能力切入,将情报封装成产品提供给金融、能源等客户,并且希望在对各种类型安全产品的拓展中,成为较综合的厂商。而另一类公司则主要输出情报能力,客户包括不少其他安全厂商,并希望在此基础上构建生态。Gartner在《2019 安全威胁情报产品&服务市场指南报告》中指出,“ 网络安全厂商可以先预打包海量多源机读情报(支持数百万甚至数十亿的威胁指标),并集成到一个特定设备中进行检测和防御,用于扩充现有网络安全解决方案。”

36氪日前接触到的「天际友盟」就属于后者。该公司成立于2015年,一直专注威胁情报领域。在融资表现上,天际友盟在2020年底宣布完成B轮融资,投资方包括真成投资、渤海创富和考拉基金。

在于日前举办的 TI Inside 威胁情报应用生态协同峰会上,公司CEO杨大路介绍了天际友盟的定位及特点。

其表示,天际友盟从成立开始即保持做威胁情报则必须做生态的道路。公司一直在希望将威胁情报和业界以及客户共享、交换以及协作。这在具体解决方案上也有所体现,杨大路介绍,公司除自研情报外,还汇聚全球200多个情报来源的数据,每日更新2000万+热情报。公司还以Feed的形式输出明文情报数据。

另外,其还为许多安全产品提供了较为个性的解决方案。具体而言,天际友盟TI Inside还设计出三种典型的情报融合策略,包括处置类集合、分析类集合、EDR集合,针对不同的集合筛选出适用的威胁情报数据,满足不同类型的安全产品与威胁情报进行高效的融合。按照不同的情报来源和威胁类型,天际友盟的威胁情报市场建立情报卡片体系,在订阅威胁情报数据时,只需要将感兴趣的一张或多张卡片加入至数据下载集合,便可以自由下载使用。目前公司维护包括自有情报、IBM、火绒、网宿等多家优质情报源,包括恶意软件、C&C节点、数字货币、APT情报、恶意网站、病毒木马等在内的40余种情报卡片。在客户数量上,公司当前已有60多家安全厂商客户。在杨大路看来,这些产品的切入点和合作的思路也契合天际友盟坚持的生态理念。

在会议中,H3C安全攻防实验室主任梁力文也认为,协同和共享特性决定了TI Inside生态建设需要企业客户、安全厂商和情报厂商一起努力。基于威胁情报的主动安全和纵深防御体系共生,纵深防御是主动安全的落地抓手,二者相辅相成。TI Inside模式能够实现威胁情报的生产和消费闭环,让威胁情报有效流动起来,进而拉高企业整体防御水位,缩短检测响应周期,提升风险预测能力和分析水平。

奇安信威胁情报中心负责人汪列军表示,“内生情报”是威胁情报SaaS化赋能的必备补充,适配无法外联的封闭组织防护场景,同时应对APT高级威胁也需要内生情报数据和相应的判定能力,也就是除了使用开源和商业的威胁情报数据,也要从自身的安全设备、应急响应及安全分析过程中收集威胁情报。目前,这种既“消费”也“生产”威胁情报的用户占比甚至近半。

另外,针对融合TI Inside工业互联网安全体系的构建,六方云产品部总经理刘建兴认为,静态、滞后的传统工业安全技术面对自动化、多样化、智能化的网络攻击已力不从心。采用AI威胁检测+TI Inside模式,通过威胁检测、交叉验证和溯源查询等方式,将威胁情报能力融入六方云工业互联网安全产品,可以挖掘隐藏在工业大数据中的安全风险,较为全面地感知工业生产全生命周期的安全态势。

显而易见,不论与会嘉宾的具体观点如何,威胁情报的价值与意义早已在不断地市场教育中被认可。即使国内威胁情报公司发展路线各有差异,但通过建立生态的方式,服务诸多安全客户,是天际友盟一直以来的特点。

本文来源:36氪