阅读随笔：Forrester 威胁情报服务厂商评估报告

今年9月，Forrester 分析师 Josh Zelonis 发布了一份关于外部威胁情报服务的厂商评估报告¹。这份报告基于 10 项评估标准（参见附录图1），对市场上较重要的15 家威胁情报厂商做了进一步分析。报告读完后，我有一些不太成熟的想法在此和大家分享。

1、情报能力是厂商的综合技术能力表现

Josh 提出一项重要观点：厂商的情报收集能力是其最大的市场关键差异点。他在评估厂商、进行能力排序时，认为应该始于对厂商情报来源和收集能力的了解，以便判断厂商能力宣称的可信度。具体体现到评估标准中：

• 情报源应足够全面，覆盖开源情报、暗网情报，以及利用传感器网络（收集网络设备的流量数据、终端软件的样本信息，或 MSS 服务获取的日志信息）和 DFIR 能力进行情报收集。此外，尚需考虑厂商如何利用分析师和技术来构建这些能力。
• 针对 APT 情报、黑产情报和金融犯罪情报，厂商的情报收集策略是如何予以支撑的？厂商又是如何体现自身在这些方面的独特差异性？

综上，咨询机构已充分认识到，情报能力需要整合技术、人和运营，同时也需要产品和服务能力的有效结合。目前处于市场领先地位的厂商往往是综合型安全厂商（如大家熟知的 FireEye 和 Crowdstrike），而不是独立的情报厂商。FireEye 作为本次评估综合实力最强的公司，正如 ZenMind 之前总结过的² ：“利用在优势沙箱技术衍生的 DTI 情报，利用优势情报分析和事件响应能力衍生的作战、战略类情报，这些是 FireEye 优势的高度汇聚。”再如 Crowdstrike，2013年尚在 B 轮，当时产品布局上已体现云端运营和情报能力。CrowdStrike 云会通过全球范围部署的传感器实时收集安全事件和情报，进行关联分析和事件挖掘。Falcon Intelligence 作为其大数据主动防御平台的一个应用，也有单独的 Intelligence-as-a-Service 服务。CrowdStrike 采用产品和服务并行的模式，其事件响应和威胁狩猎服务能力也会转化到情报上。其公开材料介绍的情报团队组成参见附录图2，从中可以看出情报团队实则是涉及多项专业领域的综合团队。

2、厂商将数据转化为情报的能力

以这次报告中强调的暗网情报为例。Josh 对厂商的这项评估要求，并不止步于概念或者市场营销层面，而是要求厂商切实阐述自身的理解以及如何利用私人论坛等渠道进行有效的数据收集，而且要有专职的分析师资源投入，从而进行数据到信息到最终情报的转化。本次评估结果，FireEye、Hold Security、Flashpoint、Intel 471 以及卡巴斯基在暗网情报能力上，均超出市场平均水平。其中Intel 471 在暗网情报上拥有业界最大的分析师资源池。

3、情报需要考虑区域特性和语言特点

具备全球覆盖度的情报能力，实则是对厂商的区域服务能力和语言能力提出了要求。FireEye 介绍自身情报能力的公开材料中，多次出现诸如地缘专家、语言学家一类的专家资源。在前面提过的 Crowdstrike 情报团队也有类似的职责和角色。入选厂商中，有两家来自俄罗斯，分别是卡巴斯基和 Group-IB。Josh 建议：如果关心非西方情报源的APT情报，可以考虑卡巴斯基；如果希望获取基于俄语的地下产业情报，则推荐 Group-IB。同时我们也看到，一些国际安全厂商会选取区域情报厂商进行合作。

4、情报市场空间巨大，将不断有新的公司进入

本次评估厂商名单，除了一些已经熟悉的厂商，还看到一些新鲜的面孔，如以暗网情报能力见长、HUMINT 情报能力领先的 Hold Security；情报应用侧重在欺诈检测、品牌监控以及数字风险保护的以色列公司 IntSights。结合 Gartner 的预测³，2021年威胁情报市场将会成长为一个 17.8 亿美元的市场，这个市场存在较大发展空间并且复合增长率较高，必然还会吸引更多厂商进入。

上述个人想法难免偏颇和不足，欢迎指正，也希望和大家有更多探讨。

附录：

本次评估标准涵盖 7 项产品能力（对应 New Wave 模型 Y 轴）与 3 项公司战略层面的评估内容（对应 New Wave 模型 X 轴）。参考 Josh 去年的报告《Vendor Landscape: External Threat Intelligence, 2017》，并基于个人理解，评估标准内容翻译整理见下图，有兴趣的同学可以具体看看。

图1-评估标准.png

图2- Crowdstrike 情报团队构成.png

1. Josh Zelonis, “The Forrester New WaveTM: External Threat Intelligence Services, Q3 2018”，Forrester，2018年9月，https://reprints.forrester.com/#/assets/2/1456/RES143275/reports
2. ZenMind，《从FireEye发展看产品规划》，https://www.jianshu.com/p/e78a869c7f8c
3. Ruggero Contu, Lawrence Pingree, “Competitive Landscape: Threat Intelligence Services, Worldwide, 2017”， Gartner，2017年7月26日