威胁情报的新变化：2021年回顾

这篇文章最初发表在 IntSights 博客上。

去年，Rapid7 收购了 IntSights，这是一个巨大的里程碑。 IntSights 团队很高兴加入一家致力于为其客户简化和改善安全成果的公司。 Rapid7 的重点是对 IntSights 为所有人“普及威胁情报”的核心使命的重要补充。我们期待作为 Rapid7 家族的一部分继续履行这一使命，因为我们的外部威胁情报解决方案已整合到 Insight 平台中。

威胁情报解决方案在日益拥挤的市场中竞争。 我们的解决方案从其他解决方案中脱颖而出，消除了威胁情报的固有复杂性，同时帮助任何规模或成熟度的组织最大限度地降低外部风险，也显著减少工作量。 在 2021 年期间，我们继续兑现这一核心承诺，通过以下方式为我们的产品增加附加价值：

在透明、深层和暗网中扩大检测范围和来源

通过扩展的调查工具集帮助客户加快响应流程

不断改善用户体验，确保我们的解决方案提供开箱即用的即时价值

“IntSights 的竞争优势在于其简单性。” - Chipotle 首席信息安全官 Dave Estlick

2021 IntSights 外部威胁防护套件亮点

扩大威胁范围

在 2021 年期间，我们在几个关键领域增加了威胁命令检测覆盖范围，为客户提供额外的保护和价值。这些扩展功能包括：

网络钓鱼网站：检测和警报覆盖其他网络钓鱼源，包括 AlienVault、OpenPhish、网络钓鱼域数据库、PhishStats 和 PhishTank

公共存储库：扩大 GitHub 和 GitLab 中泄露机密的覆盖范围

泄露的数据库：关于包含组织特定 PII 数据（例如电话号码、实际地址、出生日期）的泄露数据库的警报

黑市覆盖范围：扩大对在暗网黑市中出售的客户产品的检测，并让客户能够查看决策参数以了解为什么将特定威胁提升为警报

待售 BOT 数据：可选择使用新的“机器人价格”条件触发基于机器人价格的警报，并从威胁页面轻松发起机器人购买请求

“IntSights 让我们能够以非常易于使用的方式更详细地查看我们的威胁。” - 霍金路伟全球网络威胁经理 Zac Hinkel

主动网络钓鱼检测

2021 年，我们提供了一种名为 Phishing Watch 的新解决方案，该解决方案提供了先进的抢先式网络钓鱼检测功能，可帮助客户在网络钓鱼网站出现之前识别攻击。 网络钓鱼监视使用安装在面向客户的网站上的轻量级代码段，主动检测合法/官方网站复制或重定向到非法（和潜在的网络钓鱼）网站。 客户在受雇前会收到任何网络钓鱼诈骗的主动通知，包括启用网络钓鱼网站自动删除和在早期阶段消除任何威胁所需的详细信息。

扩展的研究和调查能力

今年，我们还大幅提升了威胁情报平台 (TIP) 的调查能力和内容，以加快客户研究和分类威胁的能力。这些增强功能使客户能够轻松了解与指标相关的意图，并优先考虑那些构成最大风险的指标。特点包括：

· 改进的用户界面，帮助客户快速调查 IOC 和常见的网络攻击细节

· 扩展和加速调查功能，包括攻击上下文、映射工具、注释和导出功能

· 能够轻松地与团队共享有关特定指标的信息，以实现更好的协调和更主动的安全姿态

· 能够分析和理解 CVE 与网络术语的相关性，查看哪个源报告了恶意软件或攻击者，并查看第一个和最后一个报告日期，以更好地了解报告的威胁和上下文

IntSights Extend（浏览器扩展）

今年早些时候推出的 IntSights Extend 会主动解析、丰富和突出来自任何基于 Web 的应用程序的网络威胁情报数据，例如详细介绍最新违规行为的技术博客或原始情报源。它主动抓取域、URL、IP 地址、文件哈希、电子邮件地址和 CVE，只需单击鼠标即可提供情境化的风险优先级警报。此外，在任何基于 Web 的应用程序上分层实时丰富的威胁情报允许安全从业人员执行端到端调查和分析。他们可以立即检测威胁指标是否在其环境中处于活动状态，并直接从浏览器中阻止它们。客户还可以轻松转向 IntSights 平台，以进行进一步的分析、调查和行动。

威胁库

专门的研究分析师在幕后工作，输入最新情报。研究团队包含有关已知威胁参与者、恶意软件、活动和相关 MITRE TID 的详细信息，以帮助安全分析师发现趋势并获取有关针对地理区域的威胁的上下文详细信息，包括威胁参与者的参与和侦察。安全分析师可以通过将与特定主题相关的 IOC 添加到其安全设备中来立即对威胁采取行动，而无需离开图书馆。 IOC 还可以用恶意软件、威胁参与者名称、活动和/或攻击类型进行标记，以加速对现有安全基础设施的分类。

漏洞风险分析器 (VRA) 客户可以单击特定的 CVE，在漏洞页面上查看更多详细信息。 这有助于客户优先考虑影响其组织的特定活动中使用的漏洞，以便他们可以专注于立即更新和修补最相关的 CVE。

MITRE ATT&CK 映射

用于加速调查的更高级搜索功能以及有关 MITRE ATT&CK 框架策略、技术和程序 (TTP) 的详细信息现在映射到威胁库主题，将与威胁相关的所有相关信息集中到一个简化视图中。 除了威胁库之外，平台用户还可以通过特定的 MITRE 框架策略和技术查看和过滤警报，以获取有关客户环境中威胁的更多上下文。

智能查找

IntelliFind 是我们全面的暗网搜索工具，使客户能够直接在其数字足迹之外进行搜索，以立即发现威胁者在黑市、黑客论坛、粘贴网站和其他暗网资源中针对其组织或行业的喋喋不休和潜在攻击。 攻击面。 我们为这些原本无法访问的网站提供最大和最广泛的数据库。

工作流程改进和技术集成

多租户威胁管理

MSSP 和拥有子公司的大型企业现在可以查看和管理与所有帐户相关的威胁数据，以及从单个仪表板在客户之间导航，从而简化帐户管理并节省资金、时间和资源。

· 威胁命令：管理多租户帐户的人员可以从租户视图访问每个帐户的威胁命令警报、补救措施和相关策略选项。扩展的功能还使租户和子公司更容易使用威胁情报并采取行动，以改善他们的数字风险保护和网络安全状况。可以同时显示和管理多个帐户的警报，也可以按日期和类别汇总。多租户帐户所有者还可以与我们的专家威胁分析师实时互动，以深入挖掘特定警报并主动缩短响应时间。

· 提示：MSSP 可以查看每个租户的威胁源以及来自 TIP 的聚合和优先级 IOC，以及为所有托管帐户设置 IOC 严重性。

· IntelliFind：使用这个独有的暗网搜索工具，MSSP 可以访问高级调查功能，并且可以通过一次登录查看和管理查询并触发多个租户的警报。

“新的 MSSP 功能使我们能够从一个仪表板查看和管理所有租户。 我们可以通过单击按钮在客户定制的智能平台之间切换。 此外，我们可以轻松生成报告以与我们的客户分享，记录他们从 Rapid7 威胁情报中获得的价值。”- Royi Biller，MT Cyber (MSSP) 首席执行官

用于 IntSights 威胁情报的 Rapid7 InsightConnect 插件

IntSights 和 Rapid7 InsightConnect（以及 InsightIDR 或 InsightVM）的共同客户现在可以在其 Rapid7 SOAR 解决方案 InsightConnect 中利用情境化威胁警报、指标和漏洞，帮助他们确定事件响应和漏洞管理活动的优先级。 这种集成可帮助组织获得 360 度的外部威胁环境视图，调整内部安全实施，并加快安全运营的关键领域。 第一个 ICON 插件工作流程（用于 Rapid7 InsightIDR）现在在 Rapid7 扩展库中可用。 此工作流通过对威胁情报调查模块中的所有域、哈希、URL 和 IP 执行查找来丰富 IDR 警报。 此外，IntSights 现在可以根据生成的警报直接触发 InsightConnect 中的事件响应工作流，从而更有效地响应 IntSights 平台检测到的威胁。

用于 Splunk 的 IntSights 双向应用程序使客户能够将可操作的威胁情报引入其 Splunk 解决方案，以全面了解针对其环境的威胁。 今年早些时候推出的应用程序以促进从 IntSights 平台导入优先 IOC 的现有功能为基础，使客户能够：

· 通过将环境中的指标与 IntSights 高严重性 IOC 相关联，识别网络上正在进行的攻击

· 将 Threat Command 警报和优先级漏洞从 Vulnerability Risk Analyzer 导入 Splunk 环境，以继续直接从 Splunk 仪表板对外部威胁进行分类

· 在 IntSights 环境中即时分析可信威胁并确定其优先级。 当在客户的 Splunk 环境中发现警报、IOC 或 CVE 时，会在 Splunk 和 IntSights 中同时对其进行标记，以便用户可以在任一平台上采取行动。

我们用于 IBM QRadar 的本机双向应用程序允许客户在其 QRadar 环境中利用 IntSights TIP 的强大扩充和调查功能。 共同客户可以：

· 检测网络中发现的 IOC

· 查看针对组织的主要恶意软件和威胁参与者

· 直接在 Qradar 环境中进行全面的端到端调查

展望未来

展望 2022 年，Rapid7 的威胁情报客户将体验到的一些关键主题和投资领域包括：

· 通过新的战略情报模块和自定义报告功能提供更多可见性以加快决策速度

· 与 Rapid7 产品的主要集成，包括 InsightIDR XDR/SIEM 解决方案、InsightConnect SOAR 平台和 InsightVM 漏洞管理解决方案

· 新的定价和包装模型，可根据成熟度范围内的客户需求进行扩展

· 继续投资扩大情报来源和检测，以减少噪音和更好的保护

· 通过为 MSSP 合作伙伴提供更优化的威胁情报体验来推动增长

非常感谢今年与我们合作的所有客户和合作伙伴。作为 Rapid7 家族的一员，我们期待为我们的 Threat Intelligence 客户提供更多价值，并期待在 2022 年与您分享有关这些投资和其他更新的更多信息。