自2013年威脅情報（Threat intelligence）提出以來，迄今已經(jīng)在網(wǎng)絡(luò)安全領(lǐng)域得到廣泛應用，諸多安全產(chǎn)品如防火墻、入侵檢測、態(tài)勢感知、端點保護、SIEM、漏洞管理、DDoS防護等，都能看到威脅情報的身影，能力得到大幅提升。根據(jù) IDC 的調(diào)研數(shù)據(jù)顯示，威脅情報可以推動安全和運營效率的提高，將企業(yè)發(fā)現(xiàn)威脅的速度提高 10 倍，響應和解決威脅的速度提高 63％，并在受到攻擊之前主動識別出 22％ 的安全威脅。

　　威脅情報的落地方式有很多，天際友盟選擇了做好威脅情報的優(yōu)質(zhì)“供貨商”，為此提出“TI Inside”生態(tài)戰(zhàn)略詮釋。TI ，即威脅情報Threat intelligence的縮寫，Inside類似電腦行業(yè)英特爾專注于做好CPU，賦能于各個PC廠商，天際友盟也是用TI Inside賦能整個安全產(chǎn)業(yè)，通過TI Inside協(xié)同，通過生態(tài)聚合力量，實現(xiàn)威脅情報能力與安全廠商的集成聯(lián)動。

　　6月18日，以“新IN力 御萬象”為主題的 TI Inside 威脅情報應用生態(tài)協(xié)同峰會在北京召開。在“TI Inside”生態(tài)的集聚效應下，峰會吸引了大量網(wǎng)絡(luò)安全企業(yè)代表、威脅情報生態(tài)合作機構(gòu)、分析機構(gòu)，共同交流威脅情報的最佳應用實踐，探討 “TI Inside”生態(tài)共建戰(zhàn)略，推進安全行業(yè)威脅情報生態(tài)協(xié)同。

　　“TI Inside”生態(tài)伙伴現(xiàn)身說法

　　威脅情報最直接受眾當屬網(wǎng)絡(luò)安全廠商。據(jù)介紹，依托TI Inside模式，天際友盟目前的情報源達到200+，合作安全廠商60+，已成為安全行業(yè)威脅情報應用的牢固底座。對TI Inside模式的有效性和優(yōu)勢，以及威脅情報的實踐，奇安信、H3C、IBM、六方云等企業(yè)在會上進行了分享。

　　H3C安全攻防實驗室主任梁力文對TI Inside模式表示認同。她認為，威脅情報的協(xié)同和共享特性決定了TI Inside生態(tài)建設(shè)需要企業(yè)客戶、安全廠商和情報廠商一起努力?；谕{情報的主動安全和縱深防御體系共生，縱深防御是主動安全的落地抓手，二者相輔相成。TI Inside模式能夠?qū)崿F(xiàn)威脅情報的生產(chǎn)和消費閉環(huán)，讓威脅情報有效流動起來，進而拉高企業(yè)整體防御水位，縮短檢測響應周期，提升風險預測能力和分析水平。

　　奇安信威脅情報中心負責人汪列軍認為，要做好外部和內(nèi)部情報的結(jié)合。首先要使用好開源和商業(yè)的威脅情報數(shù)據(jù)，其次還要從自身的安全設(shè)備、應急響應及安全分析過程中收集威脅情報。目前，這種既“消費”也“生產(chǎn)”威脅情報的用戶占比甚至近半?！皟?nèi)生情報”是威脅情報SaaS化賦能的必備補充，適配無法外聯(lián)的封閉組織防護場景，同時應對APT高級威脅也需要內(nèi)生情報數(shù)據(jù)和相應的判定能力。

　　IBM 大中華區(qū)信息安全售前經(jīng)理高爽強調(diào)，行業(yè)要共建高端威脅情報服務(wù)。IBM X-Force作為領(lǐng)先的威脅情報研究機構(gòu)之一，將與天際友盟攜手打造開放共享生態(tài)、共筑威脅情報聯(lián)盟，共建高端威脅情報服務(wù)，通過向市場傳遞高端威脅情報、共建樣板工程、展示更豐富的威脅情報使用場景，提升用戶對威脅情報使用的高度和認知。

　　六方云產(chǎn)品部總經(jīng)理劉建興介紹了TI Inside模式在工業(yè)互聯(lián)網(wǎng)安全體系的構(gòu)建。采用AI威脅檢測+TI Inside模式，通過威脅檢測、交叉驗證和溯源查詢等方式，將威脅情報能力融入工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品，全面感知工業(yè)生產(chǎn)全生命周期的安全態(tài)勢，構(gòu)建起高度智能化的工業(yè)互聯(lián)網(wǎng)安全防護體系。

　　共建安全新生態(tài) “TI Inside”的初心與未來

　　為什么要專注于做好威脅情報的“供貨商”？根本目的是要幫助安全廠商降本增效，集中精力做自己擅長的事情。

　　天際友盟 CEO 楊大路表示，網(wǎng)絡(luò)威脅日趨專業(yè)化，安全廠商自身獲取威脅情報具有局限性，同時自建威脅情報體系投入巨大，這里就是第三方情報供應商的價值所在。作為專業(yè)、中立的威脅情報供應商，天際友盟能夠?qū)崿F(xiàn)全產(chǎn)業(yè)鏈、多源威脅情報的匯聚，在TI Inside生態(tài)中起到根基的作用，通過威脅情報場景化應用賦能，與生態(tài)合作伙伴一起，共同最大化發(fā)揮威脅情報的價值。

　　天際友盟CEO 楊大路

　　楊大路介紹，天際友盟的威脅情報能力實現(xiàn)了與奇安信、H3C、IBM等龍頭企業(yè)的打通，還實現(xiàn)與60+家安全廠商的集成聯(lián)動。同時，天際友盟與全球多家知名安全機構(gòu)達成情報數(shù)據(jù)合作，實現(xiàn)200+家情報源的實時聚合，熱情報日更新2000萬+，并提供feed情報訂閱，支持明文批量交付數(shù)據(jù)，方便與安全產(chǎn)品集成或再加工。

　　另外，根據(jù)不同類型安全產(chǎn)品的定位、性能和應用場景，天際友盟TI Inside設(shè)計出三種典型的情報融合策略，包括處置類集合、分析類集合、EDR集合，針對不同的集合篩選出適用的威脅情報數(shù)據(jù)，滿足不同類型的安全產(chǎn)品與威脅情報進行高效的融合。

　　按照不同的情報來源和威脅類型，天際友盟的威脅情報市場建立情報卡片體系，在訂閱威脅情報數(shù)據(jù)時，只需要將感興趣的一張或多張卡片加入至數(shù)據(jù)下載集合，便可以自由下載使用。目前天際友盟維護包括自有情報、IBM、火絨、網(wǎng)宿等多家優(yōu)質(zhì)情報源，包括惡意軟件、C&C節(jié)點、數(shù)字貨幣、APT情報、惡意網(wǎng)站、病毒木馬等在內(nèi)的40余種情報卡片。

　　在生態(tài)共享的理念下，天際友盟作為威脅情報國標（GB/T 36643-2018）的協(xié)助起草單位，不但產(chǎn)出符合國標的威脅情報，還提供離線明文威脅情報，并支持在線查詢功能，幫助網(wǎng)絡(luò)安全廠商高效、便捷、低成本使用TI Inside服務(wù)。此外，天際友盟還設(shè)計了一套完整、高效的數(shù)據(jù)信譽度評價機制，實現(xiàn)對情報進行信譽度評價和動態(tài)跟蹤，并據(jù)此進行數(shù)據(jù)老化處理和數(shù)據(jù)清洗，以保證相關(guān)數(shù)據(jù)的可靠性和有效性。

　　對未來TI Inside的發(fā)展，天際友盟TI Inside戰(zhàn)略負責人趙嘉偉表示，天際友盟TI Inside將堅持開放、生態(tài)、共生的理念，致力于攜手安全廠商為最終用戶打造更加安全的網(wǎng)絡(luò)空間。TI Inside模式，不僅要實現(xiàn)與安全廠商的集成聯(lián)動，形成新的聚變效應；還要通過威脅情報賦能生態(tài)伙伴，應對客戶實際業(yè)務(wù)的各類場景，確保客戶在數(shù)字化和智能化的時代里行穩(wěn)致遠。