美国Recorded Future情报云平台解析

（图片来源于“记录未来”公司网站，如有侵权请联系删除）

情报云（Intelligence Cloud）是美国“记录未来”（Recorded Future）网络安全公司开发的一项技术平台，该公司自称其情报云平台为世界上最全面的情报库，访问情报云将能够使用户以最快的速度做出决策，以支持所有网络域和物理域的安全防护任务。

情报云基于该公司长期的数据收集，可进行大规模图形分析，并结合研究团队的人工分析，为用户提供关于其对手、基础设施和目标组织的全面情报覆盖，以支撑用户相关行动。

“记录未来”公司是一家美国网络安全公司，成立于2009年，总部位于美国马萨诸塞州萨默维尔，2024年被美国跨国支付公司“万事达卡”（Mastercard）收购。“记录未来”公司一直在收集全球各地的威胁资料，并通过模型构建和分析将大量资料转化为可用的情报。截至2023年，该公司持续收集了300多个国家、300万个犯罪论坛和1万个活跃C2服务器的数据，以及数十亿个域、2.75亿个IP和9.8万个ASN。

“记录未来”公司虽然是一个网络安全公司，但曾获美国中央情报局资助，其政治立场十分鲜明。该公司曾多次将矛头对准我国，如声称我进行网络间谍活动等。此外，由于参与收集和分析俄罗斯军队行动的数据，并向乌克兰提供针对俄罗斯进行信息行动的应用程序，该公司于2024年12月被俄罗斯指定为“不良组织”。

情报云被称为全球最先进的威胁情报平台之一，也是首个集成OpenAI GPT的网络威胁平台，可主动识别、分析和应对新兴网络威胁。凭借尖端的人工智能和机器学习能力，情报云使用户能够访问基于各种数据来源的实时情报，包括公共来源、技术来源、暗网、深网、地下论坛、特殊访问网站、犯罪分子使用的即时通讯群组、代码存储库、粘贴网站、专有威胁源以及来自其人工分析团队的情报。

图1. 情报云平台（图片来源于“记录未来”公司文件，如有侵权请联系删除）

利用其长期以来积累的大量有关恶意黑客活动的数据，“记录未来”公司对Open AI的深度学习模型进行了微调，构建了一个为分析师和用户汇总数据和事件的生成式人工智能工具，即情报云。情报云能够更深入地洞察威胁行为者的基础设施、战术、技术和程序（TTP）以及目标。

情报云可直接将情报能力整合进分析师的工作流程。此外，情报云还被视为一种暗网监控工具。“记录未来”公司还建立了情报云社区，这是一个由专业人士和合作伙伴组成的数据联盟。

情报云为“记录未来”公司的9大情报模块提供了支撑，每个模块都具备独特的功能和应用场景。首先，依托情报云，“记录未来”公司于2023年4月推出了威胁情报模块，该模块具备自动化分析、成品情报以及高级搜索和分析功能，可为用户提供实时威胁情报。另外8大情报模块分别是：安全运营情报、地缘政治情报、第三方/供应商情报、漏洞情报、企业品牌情报、认证身份情报、攻击面情报、信用卡及支付欺诈情报。

其中涉及国防领域的主要为地缘政治情报。该模块提供有关全球或本地事件和趋势的洞察，包括抗议、军事活动、犯罪和暴力活动、政治事件、选举、恐怖主义活动和自然灾害等。对于私营企业，这些事件和趋势可能会影响机构的实体资产、生命安全、正常商业运作，甚至货物能否如期交付。对于公共部门，地缘政治情报支持监测认知作战、选情影响活动、不实信息、外国军事活动、恐怖组织、外国投资和关于己方军队的讨论等事件和信息。

“记录未来”公司与全球超过74个国家的1600多家企业和政府机构存在合作关系，以下为部分案例。

1.台湾“奇信息保安及网络有限公司”

据悉，台湾网络安全公司“奇信息保安及网络有限公司”（CyberSecThreat，简称奇资安）是“记录未来”公司在台湾的代理商，同样提供情报云服务。基于“记录未来”公司的威胁情报，结合奇资安公司的情报团队的服务，情报云能够针对各种威胁进行优先级排序，预先针对犯罪组织的行动采取反制措施。

2.美国“国民油井华高公司”

“记录未来”公司的案例研究提及美国跨国公司“国民油井华高公司”（National Oilwell Varco，NOV）对情报云平台的应用。具体来说，NOV公司的需求是构建分层防御机制，抵御针对石油、天然气和可再生能源公司的国家级对手的攻击。挑战在于整合网络情报并进行自动化处理，以发现并确定威胁和漏洞的优先级。解决方案即“记录未来”公司的情报云平台，其中包括威胁情报、安全运营情报、漏洞情报、企业品牌情报等模块以及“记录未来”公司为Splunk公司定制的情报服务的相关能力。该项合作的成果包括：帮助NOV公司防御国家级对手的攻击，提供实施零信任所必需的自动化能力，保护整个能源生态系统的品牌声誉，以及为NOV公司利益相关者提供分析和见解。

NOV公司表示，“记录未来”公司的情报云平台对各个方面（威胁情报、安全运营情报、漏洞情报、企业品牌情报）的情报信息的整合非常实用，突出了重要情报（高风险事件）并确定了优先级。NOV公司管理人员还依赖情报云提供的情报向领导层报告不断演变的威胁。

3.德国SVA

德国IT服务商SVA同样采用了“记录未来”公司的情报云平台，并集成了100多个开箱即用的工具和流程，覆盖所有主要的技术类别。该公司利用情报云平台实现了安全流程的自动化，包括确定需要紧急关注的漏洞优先级、对警报进行排序、通过SOAR中的自动化脚本进行响应、导入恶意IP列表更新检测工具的策略等。

4.挪威Visma

挪威私人控股公司Visma利用“记录未来”公司的情报云平台，进行威胁搜寻、暗网监控、品牌冒充检测（域名滥用）、泄露数据监控、漏洞披露监控，以及位置和事件风险监控等。此次合作部署的情报云平台包含5大情报模块，分别是威胁情报、漏洞情报、企业品牌情报、地缘政治情报和认证身份情报。

据悉，在与“记录未来”公司合作后不久，Visma公司曾遭遇一次有针对性的网络攻击。攻击者通过对该公司员工进行网络钓鱼，以及凭证填补和服务器入侵，窃取了该公司的文件。在数据泄露时，情报云平台发现了此次攻击，并阻止了第二次攻击。情报云的自动威胁监控能力加速了Visma安全分析师从动态威胁态势中发现风险的过程。通过自定义监视列表和警报，Visma的分析师团队可以追踪暗网活动、域名抢注、攻击者对相关攻击的讨论以及影响Visma整个技术堆栈的漏洞等。

5.美国Splunk公司

2016年“记录未来”公司被美国软件公司Splunk评为威胁情报合作伙伴。“记录未来”公司与Splunk公司合作，基于其情报信息构建了Splunk Enterprise和Splunk Enterprise Security两大安全系统。“记录未来”公司提供的情报信息支持与Splunk公司内部遥测数据进行关联，以检测高风险入侵指标（IOC），加快警报分类速度，并减少人工研究的时间。以下为Splunk Enterprise在关联分析、入侵指标增强、Sigma规则、警报等方面的特征。

• 关联分析

关联分析能够以较低的误报率检测出恶意事件，专用关联视图有助于缩短事件分类时间。所有视图均提供完整的上下文信息，说明事件被视为恶意事件的原因，包括信息的来源。

图2. 关联视图（图片来源于“记录未来”公司文件，如有侵权请联系删除）

• 入侵指标增强

可疑“入侵指标”的上下文对于判断事件是否为恶意事件至关重要。Splunk Enterprise提供多个增强视图，可以呈现有关入侵指标的详细情报，包括IP、域名、哈希值（Hash）、漏洞、网址和恶意软件。

图3. 增强视图为可疑入侵指标提供了详细上下文（图片来源于“记录未来”公司文件，如有侵权请联系删除）

• Sigma规则

“记录未来”公司的威胁情报团队Insikt负责生成检测规则，目前支持Sigma、Snort和YARA格式。为了尽可能简化部署，所有规则均从YML转换成了Splunk处理语言（SPL）格式的保存查询。

图4. Sigma检测规则（图片来源于“记录未来”公司文件，如有侵权请联系删除）

• 警报

“记录未来”公司平台提供各种经典警报和响应流程警报（Playbook alerts），二者均可在应用程序内监控和处理。

图5. 警报（图片来源于“记录未来”公司文件，如有侵权请联系删除）

综上所述，“记录未来”公司的情报云平台集成的情报来源多种多样，分析和处理能力较强，且应用范围广，是人工智能在数据收集和处理方面应用的领先代表之一。然而，鉴于“记录未来”公司与美国中央情报局的关联及其鲜明的政治立场，其可能对我信息安全及其他领域造成威胁，值得重点关注。

渊亭防务是中国军事智能先行者和领导者。（i.utenet.cn)致力于外军前沿情报挖掘，扫码添加“渊亭防务”，了解最新防务情报。