威脅情報(bào)在安全信息通報(bào)、安全能力建設(shè)、安全體系建設(shè)、威脅捕獵等多個領(lǐng)域中到底是如何應(yīng)用的?基于威脅情報(bào)生態(tài)的合作模式和實(shí)踐又有何探索?近日，以“協(xié)同安全能力·共建情報(bào)生態(tài)“為主題的威脅情報(bào)生態(tài)大會在北京舉行。會議匯聚了來自不同領(lǐng)域的專家及領(lǐng)導(dǎo)，分別從威脅情報(bào)生態(tài)的不同角色，分享了威脅情報(bào)在安全信息通報(bào)、安全能力建設(shè)、安全體系建設(shè)、威脅捕獵等多個領(lǐng)域的應(yīng)用、以及基于威脅情報(bào)生態(tài)的合作模式和實(shí)踐探索。本文首發(fā)于安全牛，作者左小格;由億歐編輯，供行業(yè)人士參考。

一、情報(bào)驅(qū)動的安全體系建設(shè)

會議中360企業(yè)安全集團(tuán)總裁吳云坤發(fā)表了題為“情報(bào)驅(qū)動的安全體系建設(shè)”的主題演講，在數(shù)字化轉(zhuǎn)型的大背景下，面對越來越多樣化和未知性的安全威脅和新的網(wǎng)絡(luò)安全形勢，網(wǎng)絡(luò)安全建設(shè)必須從被動的威脅應(yīng)對和標(biāo)準(zhǔn)合規(guī)的規(guī)劃模式，走向面向能力的體系化同步建設(shè)模式，在演講中，吳云坤提出了面向能力的體系化建設(shè)的三個關(guān)鍵點(diǎn)：

關(guān)鍵點(diǎn)1：關(guān)口前移，與信息化同步規(guī)劃與建設(shè)綜合防御能力體系。

參照SANS的網(wǎng)絡(luò)安全滑動標(biāo)尺基礎(chǔ)模型，在規(guī)劃與建設(shè)中分五個階段組織安全能力，進(jìn)而從能力的角度構(gòu)建防御體系。

基礎(chǔ)架構(gòu)安全

第一階段“”，把內(nèi)設(shè)安全放進(jìn)去，利用信息化系統(tǒng)自身的能力，縮小攻擊面。

縱深防御

第二階段“”，在信息化的基礎(chǔ)設(shè)施之上附著安全，通過設(shè)備、軟件、配置策略等進(jìn)一步縮小攻擊面，消耗進(jìn)攻者的資源。

這兩階段偏靜態(tài)的防御能力體系，強(qiáng)調(diào)“深度結(jié)合，全面覆蓋”，覆蓋信息化的每一個點(diǎn)，實(shí)現(xiàn)與信息化的深入結(jié)合。

積極防御

第三階段“”，更多采用監(jiān)測、識別、溯源、獵殺，還有可能通過指揮調(diào)度來做應(yīng)急處置。

情報(bào)體系

第四階段“”，對于積極防御有非常大的作用。

“掌握敵情、協(xié)同響應(yīng)”

這兩個階段是偏動態(tài)的積極防御能力體系。強(qiáng)調(diào)，實(shí)現(xiàn)對安全事件的快速應(yīng)急處置。

靜態(tài)綜合防御能力體系和動態(tài)積極防御能力體系的結(jié)合，構(gòu)成了能力導(dǎo)向的安全體系。關(guān)口前移，描述的是偏靜態(tài)的綜合防御體系，強(qiáng)調(diào)安全措施應(yīng)該覆蓋所有體系中不同層次的信息化系統(tǒng)，通過安全與信息化的深度結(jié)合，實(shí)現(xiàn)內(nèi)生安全。比如做數(shù)據(jù)安全，規(guī)劃必須回到云信息化的技術(shù)化層次描述各個層次的控制點(diǎn)，回到云信息化本身做內(nèi)生安全。

關(guān)鍵點(diǎn)2：威脅情報(bào)是構(gòu)建積極防御能力體系的關(guān)鍵

綜合防御體系、基礎(chǔ)結(jié)構(gòu)安全和縱深防御體系

吳云坤指出威脅情報(bào)的消化理解不單單是用于檢測和響應(yīng)，更大的價值是在于對有很大的指導(dǎo)作用。在綜合防御體系中，將情報(bào)消化理解到安全措施，安全措施既包含相對靜態(tài)的防御措施又包含動態(tài)的防御措施，情報(bào)的利用是整體的完善的體系。用一句話描述就是：

“從IOC轉(zhuǎn)化成為監(jiān)測特征，從TTP轉(zhuǎn)化成為態(tài)勢感知的心智模型，從漏洞情報(bào)轉(zhuǎn)化成為資產(chǎn)匹配篩選模板以及從覆蓋全環(huán)境/情報(bào)發(fā)現(xiàn)者環(huán)境的威脅情報(bào)，做減法匹配到實(shí)際的具體信息化環(huán)境(資產(chǎn)、配置、拓?fù)涞?。”

關(guān)鍵點(diǎn)3：威脅情報(bào)能力構(gòu)建，需要從生態(tài)開始

從威脅情報(bào)的典型應(yīng)用場景我們發(fā)現(xiàn)單單的威脅情報(bào)不會發(fā)揮作用，只有融入到總體的防御體系中才能體現(xiàn)價值

，所以威脅情報(bào)能力的構(gòu)建必須要從生態(tài)開始，如何有效利用威脅情報(bào)不是一個在實(shí)驗(yàn)室研究數(shù)據(jù)的過程，它是一個綜合的防御體系如何有效把態(tài)勢感知消化威脅情報(bào)的結(jié)果應(yīng)用于防御體系的過程，這個過程當(dāng)中涉及到非常多的生態(tài)角色，有網(wǎng)絡(luò)安全監(jiān)管機(jī)構(gòu)、信息化服務(wù)商、行業(yè)用戶、研究機(jī)構(gòu)，也有安全廠商，這些生態(tài)角色相互協(xié)作，構(gòu)建形成威脅情報(bào)生態(tài)。

二、威脅情報(bào)大數(shù)據(jù)共享開放平臺

CNTIC工作組第六研究室主任劉寶旭在會議中介紹了“國家網(wǎng)絡(luò)空間威脅情報(bào)大數(shù)據(jù)共享開放平臺”建設(shè)的重要意義及成果。“威脅情報(bào)大數(shù)據(jù)共享開放平臺”由國家保密局組織，信工所牽頭于2017年正式成立，當(dāng)前已經(jīng)整合接入情報(bào)源共8家安全廠商(360企業(yè)安全、安天、亞信安全、綠盟、天融信、深信服、銳安科技、中測安華、銳安科技)，共建單位4家，意向單位6家，海關(guān)部門脫敏數(shù)據(jù)、主管部門數(shù)據(jù)及監(jiān)管機(jī)構(gòu)數(shù)據(jù)也逐漸進(jìn)入平臺，目前平臺已有800多億條可訪問數(shù)據(jù)，平臺自身存儲中心數(shù)據(jù)共80多億條。

多方機(jī)構(gòu)情報(bào)匯集匯聚與共享，有效解決了信息孤島和情報(bào)分片化的問題，CNTIC將收集的數(shù)據(jù)整合之后進(jìn)行分析、挖掘、處理形成高價值情報(bào)，再通過一種可控共享的手段為各類用戶(主管部門、監(jiān)管機(jī)構(gòu)、企事業(yè)單位和社會公眾)提供高價值、可靠、安全的威脅情報(bào)。

三、威脅情報(bào)市場的預(yù)測及建議

IDC調(diào)研發(fā)現(xiàn)，國內(nèi)威脅情報(bào)安全服務(wù)提供商在2018年威脅情報(bào)直接收入相較于2017年普遍呈現(xiàn)高速增長態(tài)勢(多數(shù)企業(yè)威脅情報(bào)收入YoY遠(yuǎn)超50%)。但現(xiàn)階段，威脅情報(bào)技術(shù)和市場還處于前期發(fā)展階段，參與廠商較多且數(shù)據(jù)描述和傳輸所遵循的協(xié)議不盡相同，廠商之間的生態(tài)合作仍存在壁壘，因此迫切需要建設(shè)一個互利共贏的威脅情報(bào)生態(tài)。

IDC預(yù)測全球到2021年將(中國將在2022年)有50%的自動報(bào)警將是自動響應(yīng)，不受人類分析師的影響;2024年全球90%(中國70%)的托管安全服務(wù)客戶將采用威脅生命周期服務(wù)。IDC建議無論是行業(yè)客戶還是安全廠商在提供解決方案、產(chǎn)品和服務(wù)的時候要由傳統(tǒng)合規(guī)性驅(qū)動轉(zhuǎn)向?yàn)橹悄芑瘶I(yè)務(wù)需求驅(qū)動的服務(wù)方案。

四、國內(nèi)威脅情報(bào)市場趨勢及生態(tài)建設(shè)

自2015年360 ISC在國內(nèi)主辦的第一場威脅情報(bào)會議到本次威脅情報(bào)生態(tài)大會，“威脅情報(bào)”從概念的認(rèn)知、數(shù)據(jù)的積累到現(xiàn)在“威脅情報(bào)”在行業(yè)內(nèi)的應(yīng)用，短短幾年時間，威脅情報(bào)市場發(fā)生著巨大的變化。

360企業(yè)安全作為首個將“威脅情報(bào)”帶入國內(nèi)的安全廠商，對威脅情報(bào)市場的發(fā)展與變化必然有著更深的認(rèn)識及建議，會后安全牛記者對360企業(yè)安全副總裁吳云坤做了專訪。

安全牛：據(jù)2018年安全牛對國內(nèi)“威脅情報(bào)”市場的調(diào)研顯示，目前國內(nèi)提供威脅情報(bào)的方式主要以搭配安全產(chǎn)品服務(wù)及訂閱服務(wù)為主，約占威脅情報(bào)采購市場的60%，這與國外市場是否有著不同的區(qū)別?

吳云坤：無論國內(nèi)外，威脅情報(bào)若單獨(dú)存在是沒有意義的，它必須通過一些產(chǎn)品和服務(wù)來實(shí)現(xiàn)它的價值。國內(nèi)外的主要區(qū)別是在威脅情報(bào)市場的劃分上，國外安全威脅情報(bào)可以獨(dú)立成一個市場，大家通過這種商業(yè)環(huán)境有效消費(fèi)它，這時候它可以存在獨(dú)立的威脅情報(bào)廠商。

但由于中國防御體系的構(gòu)建不像國外成熟，所以在這個過程中威脅情報(bào)真正能夠發(fā)揮價值是依賴于它的防御體系有沒有按照體系化能力進(jìn)行建設(shè)。如果沒有按照體系化能力建設(shè)，威脅情報(bào)就無法產(chǎn)生價值，客戶就會認(rèn)為威脅情報(bào)沒價值，實(shí)際上是由于防御體系能力建設(shè)不足。所以，中國呈現(xiàn)的趨勢是，體系能力建設(shè)廠商結(jié)合了威脅情報(bào)才能發(fā)揮價值，它的重點(diǎn)在于體系化能力建設(shè)的解決方案。

安全牛：2018年10月我國首個有關(guān)威脅情報(bào)標(biāo)準(zhǔn)的正式發(fā)布，對于威脅情報(bào)生態(tài)的建設(shè)是否有著積極的推動作用。

生產(chǎn)威脅情報(bào)

吳云坤：威脅情報(bào)生態(tài)主要包含兩方面，第一，如何保證大家很好的，第二，如何保證大家很好的。

其實(shí)從生產(chǎn)者角度來說，多方的威脅情報(bào)產(chǎn)生出來，但沒有統(tǒng)一的分類及評判標(biāo)準(zhǔn)，國家標(biāo)準(zhǔn)保證了產(chǎn)生出來的威脅情報(bào)在大部分用戶中得到有效的應(yīng)用，但這不代表用戶獲得同樣數(shù)據(jù)就能有效利用，利用還要回到防御體系中去，需要有人把威脅情報(bào)轉(zhuǎn)化為檢測能力、響應(yīng)能力，包括規(guī)則、策略、配置，這是缺失的，所以它是往前推動的過程，但是還需要更多的生態(tài)廠商加入進(jìn)去，往往是非安全廠商，也就是IT服務(wù)商，包括研究機(jī)構(gòu)進(jìn)入到這個體系中去。