2022 年 10 月发布版 目录 前言................................................................................................................................1 安全狗............................................................................................................................6 零时科技........................................................................................................................9 齐安科技..................................................................................................................... 11 数盾科技..................................................................................................................... 15 360 数字安全集团..................................................................................................... 18 腾讯安全..................................................................................................................... 26 天际友盟..................................................................................................................... 32 微步在线..................................................................................................................... 39 新华三......................................................................................................................... 45 星阑科技..................................................................................................................... 48 亿格云......................................................................................................................... 51 永安在线..................................................................................................................... 54 前言 威胁情报驱动的主动安全防御 人工智能自动驾驶正面临一个难以突破的技术天花板——像优秀人类司机一样 “预防性驾驶”；同理，任何企业都需要持续建设和发展自己的基于情报的主动 防御能力。 不久前，特斯拉创始人马斯克在被乌克兰某组织列入暗杀名单十天后才从社交媒 体上获悉此事。这表明，由于缺乏完善的威胁情报能力，即便是特斯拉这样的产 业巨头，对企业关键资产和人员的保护也存在致命盲区。 如果将企业的威胁防御体系比作导弹防御系统，可大致划分为初段拦截（威胁预 测与预防）、中段拦截（威胁追踪与分析）和末段拦截（检测与响应）三个阶段， 每个阶段都高度依赖战场态势感知和威胁情报能力，每个阶段的失能，都将意味 着惨烈的溃败。 过去几年，网络安全业界向企业安全管理者灌输这样一个理念：威胁是无法完全 预防的，企业需要将注意力和预算集中在被动防御阶段——末段拦截（检测和 响应）上。该观点深刻影响了包括威胁情报在内的全球网络安全市场的格局和路 径，企业 CISO 们也纷纷将 MTTD/MTTR 之类的与事件响应效率有关的指标作 1 为关键业绩指标。 但现实是残酷的，报告显示，由于企业数字化转型和远程劳动力导致攻击面不断 增长，以及网络安全威胁的多样化和复杂化，很多企业已经掉入“末段拦截投资 陷阱”。大量的安全投资和工具堆积并未换来 MTTD 等关键指标的实质性改善， 安全运营人员反而掉入了警报疲劳的苦海，这主要归咎于主动防御能力建设的滞 后。 而威胁情报能力，正是企业主动安全防御能力的最大短板之一。根据 Cybersixgill 上半年对全球 150 名大型企业的 CISO 的调查，三分之一的大型企业 CISO 认为 威胁情报是最大盲区，其次是漏洞管理。超过 90% 的 CISO 依赖过时的、基于 报告的威胁情报，这些情报通常太滞后而无法为决策提供有效支撑信息。 今天，大型企业纷纷开始建设“边管云端”的一体化防御战线，而威胁情报能力， 是决定该体系效能的“天花板”，重要性不言而喻。威胁情报能够加强对未知威 胁的发现和防护能力，缩短检测和响应周期、 提升企业安全分析水平。但威胁 情报自身的发展和企业实践也暴露出诸多问题，例如误报和产品集成度仍然困扰 着企业用户。 如何选择第三方商业威胁情报服务 在持续建设和提升威胁情报能力的过程中，企业需要从大量信息源获取威胁情报 2 信息，例如内部网络和端点安全设备日志数据、SIEM 数据、网络流量分析、开 源和行业公共威胁情报、漏洞数据、（专业）供应商的商业威胁情报等等。其中， 企业内生威胁情报数据的收集和处理能力是事件响应能力的关键因素，而包括商 业威胁情报在内的外部情报，则对建设和提升主动防御能力有着重要意义。 但是，市场上太多功能交叠的网络安全方案已经让行业用户感到困惑，威胁情报 也正面临类似的问题。 网络安全主管们面临的最大挑战之一就是从各种威胁情报产品和服务中选择有 效组合来防止数据泄露。而且随着威胁情报市场的不断升温和整合，威胁情报产 品的分化和外延，数据的结构和格式都在快速变化，导致选型的难度进一步加大。 对于商业威胁情报产品服务与合作伙伴，企业选型有几个重要原则和基准： 1.重质不重量（宁缺毋滥） 2.可拓展威胁情报服务（例如外部攻击面管理、数字风险保护和安全评级服务） 3.可与安全产品联动，与 SIEM/SOAR 平台集成，实现整体威胁预防和自动化处 置闭环 4.使用内置大数据平台缩短威胁搜寻活动所需的时间和精力 5.整合暗网情报，服务对象扩展到业务部门和管理层 6.对自身数字资产风险的可见性 7.面向基于机器学习的威胁情报系统（降低误报和延迟） 3 8.提供（经过认证的）专家服务 9.遵循标准化与开放生态 10.高质量 TIP 平台是高效安全运营不可或缺的环节（同时也是评估威胁情报质 量的重要工具） 今天，企业的安全运营中心 (SOC)正在“沦为”检测和响应部门。过于依赖 IoC 危害指标，缺乏对暴露资产和漏洞的可见性，缺乏威胁预测和预防能力导致安全 运营变成了消防大队。 企业需要重新审视威胁预测和预防的重要意义（即便其 KPI 不如检测与响应直 观），重新审视变革中的威胁情报市场，与安全厂商和专业威胁情报提供商一起 努力，打造情报驱动的主动防御威胁管理闭环，通过自我迭代的最佳运营实践， 用数据驱动的方法来加速风险缓解和加强安全态势。 为此，GoUpSec 深入调研了多家知名国内威胁情报专业提供商和综合安全厂商， 从产品功能、应用行业、成功案例、安全策略等维度对各厂商威胁情报产品及服 务进行调研了解，整理形成了 2022 年中国网络安全行业《威胁情报产品及服务 购买决策参考》。 4 本次报告共收录 12 家网络安全厂商，所涉及威胁情报产品及服务成功实施案例 25 例，分别来自政府、互联网、教育、金融、军工、区块链、交通、能源、医 疗、电商、制造业、证券、汽车、运营商、保险等重点行业。 *由于市场调研工作或时间局限等原因，部分威胁情报厂商暂未报名参与此次调研，后 续我们将继续补充完善相关名录。 以下为 12 家网络安全厂商威胁情报产品及服务详情，排名按照公司简称首字母 顺序，获取《威胁情报产品及服务购买决策参考》完整版见文末介绍。 5 安全狗 一、公司名称： 安全狗 二、公司 logo： 三、威胁情报产品名称： 安全狗-观鸿威胁情报平台 四、产品特点及优势： 特点： 海量、持续、鲜活的服务器端二进制恶意样本、webshell 样本、进程行为知识 库和黑客族群情报 优势： 安全狗拥有海量、持续且多维的独有攻防数据，支撑攻防情报推演和黑客族群定 位追踪 6 五、成功案例： 象屿集团： 一是建设威胁情报查询、导出功能，数据查询类型包括文件、进程、网络、日志、 服务器设备指纹、IP/域名等；二是基于境内外装机服务器（含虚拟服务器）提 供病毒木马样本、文件、进程等特征进行布控功能，并支持通过邮件或短信方式 告警提醒，布控监测成果支持远程取证操作； 解决问题： 解决如何发现具有“黑客”等特定族群攻击轨迹特征的攻击事件和攻击 IP 的问 题，能够提醒相关责任单位及时采取适当的手段予以防御，以尽可能在攻击未产 生实质性危害时加以遏制，将损失降到最低。二、可以针对被“黑客”等族群所 控制的攻击肉机、跳板主机等落脚点进行观测与溯源分析，并将 IP 地址在境内 的“肉机”、“跳板机”推送给国家网络安全主管机关进行打击，源头减少了重 点网站面临的高危攻击。 六、适用行业： 公安、政府、金融、教育 七、填写人姓名及职位 姓名：满帅 职位：市场策划经理 联系方式：mans@safedog.cn 7 八、CEO/CTO/创始人/总裁/技术总监等对行业发展和甲方的寄语： 关于威胁情报实战化价值的观