Anomali统合多种威胁情资与即时鉴识兼具情报共享与分析

目前能够提供威胁情资的厂商，可说是比比皆是，而在台湾资安市场上，今年多了不少新面孔，像是来自以色列的IntSights，现在又有一家美国硅谷新创公司Anomali，发布相关的解决方案，称为Anomali Threat Platform，恰巧该公司在7月揭露勒索软体eCh0raix锁定威联通NAS一事，而受到全球瞩目。

Anomali原名为ThreatStream，成立于2013年，当时他们率先推出基于SaaS云端服务营运模式的威胁情资平台，名称也叫做ThreatStream，它号称是第一套运用群众外包概念的网路安全情报解决方案，能够汇聚数百万笔威胁指标，并且整合到企业既有的资安基础架构当中。

到了2016年2月，ThreatStream公司宣布改名，也就是我们现在看到的这个品牌Anomali。到了2018年9月，他们提出了Anomali Threat Platform的解决方案名称，当中统合了逐年发展出来的5种威胁情报处理技术核心，也就是情资（Intelligence）、侦测（Detection）、调查（Investigation）、自动化（Automation）、协同合作（Collaboration），同时，还有支援延伸合作伙伴生态系的整合机制，例如，2015年开始提供的APP Store（这里的APP是指Alliance Preferred Partner），以及此时新纳入的3种软体开发套件──Threat Intelligence Feeds SDK、Integration SDK、Enrichment SDK。。此外，从2017年起，Anomali也开始进驻亚太地区，先在澳洲、日本落脚，隔年开始布局台湾市场，并成立办公室，今年则是正式在台发布Anomali Threat Platform的消息。

目前，ThreatStream可蒐集的情资来源超过100种，涵盖範围相当广泛。例如，自家的Anomali Labs、其他资安厂商的威胁情报餵送服务、公开来源情报（Open-source intelligence）、符合STIX/TAXII情资共享格式标準的情报餵送服务，以及ISAC/ISAO等两种情资共享组织所发布的资料，甚至是非结构化的威胁情报内容，像是PDF档、CSV档，以及电子邮件。

接收到这么多类型的威胁情资之后，ThreatStream会运用机器学习技术，对每一笔情资予以评分，让用户不只了解严重性，还能掌握威胁程度，以及可信度（Confidence）。同时，这些经过统整后的情资，不只是让机器能够直接引用，也考量到资安人员分析研判相关内容的需求，当中已结合10余种情报来源，而能列出发起攻击的人士或团体（actor）、活动，以及採用的战略、技俩与流程（TTP），以便提升威胁情资的可读性。

既然能更清楚看见威胁的面貌，接下来，能否整合众多网路与端点安全系统，也是企业评估威胁情报平台的重点项目。ThreatStream目前可整合的资安解决方案类型很多，像是安全资讯事件管理系统（SIEM）、网路防火墙、入侵防御系统，以及端点侦测与反应系统（EDR）。

而在这个平台架构当中，负责执行整合相关工作的系统元件，主要是Anomali Integrator。它会从Anomali云端服务取下威胁情资，再将这些资讯提供给位于企业内部网路的资安设备。

以SIEM、EDR的产品整合为例，ThreatStream能将事件记录进行交互关联，并将系统发出的各种警示，定出优先处理的次序。而在防火墙与入侵防御系统的整合，则是能够协助自动阻挡严重程度较高的威胁。

若要将这里所发现的威胁情资，提供给其他企业参考，ThreatStream也内建了信任圈（Trusted Circles）的机制，能让用户执行双向的情资共享。

除了仰赖ThreatStream提供威胁情报的彙整，Anomali Threat Platform还有另一个成员，专攻威胁情资与过往历史事件记录的分析比对，可用来挖掘企业内部环境的既存威胁，以及侦测新出现在此处的威胁，称为Anomali Enterprise。

这套解决方案在2017年2月和9月，陆续发布了2.0和3.0版，分别着重资料外洩活动的分析（Breach Analytics），以及即时鉴识分析（Real Time Forensics）。

在Anomali Enterprise提供的功能当中，可整合与比对Anomali Labs发布的每週威胁简报情资，以便探查企业内部环境是否出现资安威胁，同时，也能运用动态网域产生演算法（Domain Generation Algorithm，DGA），分析端点是否为了连接C＆C网路，而产生网域名称查询的可疑举动，进而找出那些被恶意软体感染的主机。

产品资讯

Anomali Threat Platform
●原厂：Anomali
●建议售价：厂商未提供
●包含产品：威胁情报平台ThreatStream、威胁鉴识与侦测平台Anomali Enterprise
●可收集的外部威胁情资类型：付费Feeds、公开来源情报、STIX/TAXII、ISAC/ISAO
●可收集的内部威胁情资来源：SIEM、网路防火墙、IPS、EDR、API

【注：规格与价格由厂商提供，因时有异动，正确资讯请洽厂商】