2023年8月2日,Forrester发布了「The Forrester Wave™: External Threat Intelligence Service Providers, Q3 2023」报告,分析了这一赛道的最新动态,并对比分析了其中的12个厂商。上一版Wave报告发布还是在2021年3月。
颇有动荡。
CrowdStrike和Google引领威胁情报浪潮,一路攀升的Recorded Future紧随其后。Kaspersky因Forrester明确决策排除俄罗斯公司而从领先者榜单中消失,同样消失的还有Group-IB。
Forrester首席分析师Brian Wrozek表示,主要威胁情报提供商已经扩展到品牌保护和漏洞管理等相邻场景,帮助客户减少支付的订阅费用数量。这些公司可以在暗网上搜寻流氓域名和失陷凭证,并提供额外的上下文信息,帮助组织确定优先修补事项。
“去年Forrester进行了一项调查,我们发现平均而言,客户会订阅七个商业威胁情报源”, Wrozek说,“如果你是一个威胁情报提供商,你会思考,‘嘿,等一下。如果我可以提供这些其他用途,也许我可以替代那些其他威胁情报源,并成为他们首选的信息源。"”
Wrozek认为CrowdStrike目前的威胁情报提供是最强的,而Google、Recorded Future和ReliaQuest分别获得第二、第三和第四高分。与2021年3月形成鲜明对比,当时现已并入Google的FireEye遥遥领先,而第二、第三、第四和第五分别由Kaspersky、Intel 471、CrowdStrike和Recorded Future获得。
CrowdStrike和Google在最新的Forrester Wave中在策略方面并列获得最高分。Recorded Future获得第三高的排名,而ReliaQuest和Microsoft并列获得第四名。这与2021年3月大相径庭,当时FireEye获得了最高排名,而CrowdStrike、IBM、Kaspersky和RiskIQ - 现在是Microsoft的一部分 - 分别获得了第二、第三、第四和第五高的分数。
Wrozek称赞了CrowdStrike因其在安全工具中紧密集成情报和易于使用的自动检测与响应能力。他称赞Google利用不同的情报来源,投资生成式人工智能,并将事件响应的经验应用于威胁情报。他赞扬Recorded Future在开源情报方面的工作,并为其具有直观且易于使用的平台而赞叹。
“机器自动化只能做到这么多” ,Wrozek说道,“在某个点上,你需要熟练的人类情报分析师来排除误报并提供相关背景。而在这一点上,他们表现出色。”
在领导者之外,Forrester对外部威胁情报服务市场的看法如下。
强劲表现者:ReliaQuest、ZeroFox、Flashpoint
竞争者:Microsoft、Fortinet、Trellix、CybelAngel、Rapid7、IBM
Fortinet、Trellix和CybelAngel均为首次出现在这份Forrester Wave报告中,而Kaspersky、Group-IB和Intel 471在2021年到现在都没再出现。根据Wrozek的说法,出于地缘政治和信誉原因,鉴于俄罗斯于2022年2月入侵乌克兰,以及这些公司与俄罗斯的历史联系,Forrester有意不将Kaspersky和Group-IB纳入报告中。
“出于地缘政治问题,我们有许多客户不购买他们的产品”, Wrozek说道,“如果我在这份报告中提及我知道他们不会使用的公司,那我对我的客户实际上是不负责任的。”
Wrozek表示,展望未来,他预计会看到生成式和自然语言人工智能的成熟度增加,以及网络和物理威胁情报更大程度的融合。到目前为止,生成式人工智能已经使供应商更容易收集和分析大量的威胁情报,他预计未来人工智能的进步将使终端用户组织更有效地消化和利用威胁情报。
随着计算机安全和物理安全团队的合并,Wrozek预计威胁情报也会合并,因为所有数据将输入到同一个安全运营中心。不再是一个系统监视针对前往中国的高管的社交媒体威胁,另一个系统关注他们的行动、物理威胁和附近的抗议活动,一个单一的供应商将提供这两种服务,Wrozek预测道。
“未来,我认为优势将从人工智能惠及威胁情报公司转移到惠及最终客户”, Wrozek说道。
这些威胁情报领导者如何一步步走上巅峰?
CrowdStrike整合了威胁情报和威胁狩猎
CrowdStrike将威胁情报和威胁狩猎能力整合到一个组织中,以增加对手对客户发起攻击的的运营难度,对抗运营高级副总裁Adam Meyers表示。该公司可以从其大规模全球终端安全设备的遥测数据中提取信息,包括在其威胁情报平台上,并推动更快的行动。
该公司还通过机器学习分析和自然语言处理加强了其暗网监测模块,以更好地理解非英语母语黑客的俚语和上下文,Meyers说道。CrowdStrike的人类分析师已经建立了包含俄语俚语的自定义词典,以帮助监测暗网论坛的自然语言处理机器生成更准确的信息。
“我们集合了Recorded Future和Mandiant所提供的功能”,Meyers说。“这可能是推动我们在该图表上所处位置的原因,我们在做所有这些事情。而且我们每天都在不断改进。”
Forrester批评CrowdStrike的品牌保护威胁情报发展不足,并且无法关闭欺诈性域名。Meyers表示,在过去的六个月里,CrowdStrike已经对其品牌保护技术进行了改进,并且正在积极提升其能力。他说,该公司还计划在未来六至九个月内添加欺诈性域名下线服务。
“我们了解客户的需求以及如何有效地为他们提供所需”,Meyers说道。
Google通过去年对Mandiant的收购,将基础设施与专业知识结合
Google得以将其世界一流的基础设施和人工智能与Mandiant的人员专长相结合,更快、更好地理解威胁,Mandiant智能云副总裁Sandra Joyce表示。她提到,Google为Mandiant提供了大量计算能力,如密码破解等任务,以扩大其能力。
Google在Mandiant和VirusTotal等地有400多名纯粹从事情报工作的分析师,以及大量其他安全研究人员,她表示这比公司的任何竞争对手都要多。Google已经加倍注重将威胁情报融入其产品,从Chronicle安全运营到Mandiant的托管检测和响应服务,Joyce说。
“我们拥有而其他人没有的,是超过15年的威胁可见性”,Joyce表示,“我们长时间以来一直能够看到并收集与重大侵犯有关的信息。我们能够监控对手的基础设施,获得所有这些见解。”
Forrester批评Google的解决方案选择和定价复杂、新兴的数字风险防护套件以及依赖第三方服务执行流氓域和个人资料关闭。Joyce表示,她并未听说过价格或复杂性成为问题,她希望利用人工智能来帮助应对数字风险,并珍视获得才华横溢、高质量的合作伙伴,以扩展Google的关闭能力。
“在某些领域的合作是一种非常强大的方式,可以在每个本地市场中获得最佳服务”,Joyce表示,“我不会说,在某些方面合作是一件坏事。在某些情况下,这是一个非常明智的决定。”
Recorded Future通过ChatGPT和新的数据来源融入情报
Recorded Future已经训练了ChatGPT以分析师的风格编写,并利用公司10年的历史数据来创建具有透明来源的情报数据详细摘要,产品营销副总裁Kalpana Singh表示。公司在其平台的后端长期以来一直在使用人工智能,Singh表示,添加对话元素并消除对人工智能幻觉的担忧将推动工作流程。
据Singh表示,该公司通过在公共部门加倍努力,并提升客户关于如何利用威胁情报构建更强大安全防御的案例,努力教育市场,强调了威胁情报的重要性。根据Singh的说法,Recorded Future还增加了威胁情报的更多来源,如Telegram,以及全球其他地区。
“我们是优质产品,因为我们在数据的质量、广度和深度上投入了很多,这正是推动情报的因素”,Singh说,“如果您没有那种质量,而只是找到了通用数据,我们不认为那是情报。”
Forrester批评了Recorded Future的高价格,内部遥测方面的广度和深度不足,以及其暗网威胁情报能力的不足。Singh表示,Recorded Future会实时监控论坛和Telegram频道,以帮助客户采取积极行动,同时从更广泛的来源获得网络和终端遥测数据,从而在其定价点上提供了很大的价值。
“我们也拥有人工情报,但我们的平台从很多实时信息中获益”,Singh说,“竞争对手可能在一些领域做得更好,但这不是实时的。所以,当您采取行动时,可能为时已晚。”
这一赛道未来将如何发展演变?拭目以待!
相关链接:
https://www.bankinfosecurity.com/articles.php?art_id=22874&preview=inactive_article
声明:本文来自安全喵喵站,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
