自2013年威脅情報（Threat intelligence）提出以來，迄今已經在網絡安全領域得到廣泛應用，諸多安全產品如防火墻、入侵檢測、態(tài)勢感知、端點保護、SIEM、漏洞管理、DDoS防護等，都能看到威脅情報的身影，能力得到大幅提升。根據 IDC 的調研數據顯示，威脅情報可以推動安全和運營效率的提高，將企業(yè)發(fā)現威脅的速度提高 10 倍，響應和解決威脅的速度提高 63％，并在受到攻擊之前主動識別出 22％ 的安全威脅。

　　威脅情報的落地方式有很多，天際友盟選擇了做好威脅情報的優(yōu)質“供貨商”，為此提出“TI Inside”生態(tài)戰(zhàn)略詮釋。TI ，即威脅情報Threat intelligence的縮寫，Inside類似電腦行業(yè)英特爾專注于做好CPU，賦能于各個PC廠商，天際友盟也是用TI Inside賦能整個安全產業(yè)，通過TI Inside協(xié)同，通過生態(tài)聚合力量，實現威脅情報能力與安全廠商的集成聯動。

　　6月18日，以“新IN力 御萬象”為主題的 TI Inside 威脅情報應用生態(tài)協(xié)同峰會在北京召開。在“TI Inside”生態(tài)的集聚效應下，峰會吸引了大量網絡安全企業(yè)代表、威脅情報生態(tài)合作機構、分析機構，共同交流威脅情報的最佳應用實踐，探討 “TI Inside”生態(tài)共建戰(zhàn)略，推進安全行業(yè)威脅情報生態(tài)協(xié)同。

　　“TI Inside”生態(tài)伙伴現身說法

　　威脅情報最直接受眾當屬網絡安全廠商。據介紹，依托TI Inside模式，天際友盟目前的情報源達到200+，合作安全廠商60+，已成為安全行業(yè)威脅情報應用的牢固底座。對TI Inside模式的有效性和優(yōu)勢，以及威脅情報的實踐，奇安信、H3C、IBM、六方云等企業(yè)在會上進行了分享。

　　H3C安全攻防實驗室主任梁力文對TI Inside模式表示認同。她認為，威脅情報的協(xié)同和共享特性決定了TI Inside生態(tài)建設需要企業(yè)客戶、安全廠商和情報廠商一起努力?；谕{情報的主動安全和縱深防御體系共生，縱深防御是主動安全的落地抓手，二者相輔相成。TI Inside模式能夠實現威脅情報的生產和消費閉環(huán)，讓威脅情報有效流動起來，進而拉高企業(yè)整體防御水位，縮短檢測響應周期，提升風險預測能力和分析水平。

　　奇安信威脅情報中心負責人汪列軍認為，要做好外部和內部情報的結合。首先要使用好開源和商業(yè)的威脅情報數據，其次還要從自身的安全設備、應急響應及安全分析過程中收集威脅情報。目前，這種既“消費”也“生產”威脅情報的用戶占比甚至近半?！皟壬閳蟆笔峭{情報SaaS化賦能的必備補充，適配無法外聯的封閉組織防護場景，同時應對APT高級威脅也需要內生情報數據和相應的判定能力。

　　IBM 大中華區(qū)信息安全售前經理高爽強調，行業(yè)要共建高端威脅情報服務。IBM X-Force作為領先的威脅情報研究機構之一，將與天際友盟攜手打造開放共享生態(tài)、共筑威脅情報聯盟，共建高端威脅情報服務，通過向市場傳遞高端威脅情報、共建樣板工程、展示更豐富的威脅情報使用場景，提升用戶對威脅情報使用的高度和認知。

　　六方云產品部總經理劉建興介紹了TI Inside模式在工業(yè)互聯網安全體系的構建。采用AI威脅檢測+TI Inside模式，通過威脅檢測、交叉驗證和溯源查詢等方式，將威脅情報能力融入工業(yè)互聯網安全產品，全面感知工業(yè)生產全生命周期的安全態(tài)勢，構建起高度智能化的工業(yè)互聯網安全防護體系。

　　共建安全新生態(tài) “TI Inside”的初心與未來

　　為什么要專注于做好威脅情報的“供貨商”？根本目的是要幫助安全廠商降本增效，集中精力做自己擅長的事情。

　　天際友盟 CEO 楊大路表示，網絡威脅日趨專業(yè)化，安全廠商自身獲取威脅情報具有局限性，同時自建威脅情報體系投入巨大，這里就是第三方情報供應商的價值所在。作為專業(yè)、中立的威脅情報供應商，天際友盟能夠實現全產業(yè)鏈、多源威脅情報的匯聚，在TI Inside生態(tài)中起到根基的作用，通過威脅情報場景化應用賦能，與生態(tài)合作伙伴一起，共同最大化發(fā)揮威脅情報的價值。

　　天際友盟CEO 楊大路

　　楊大路介紹，天際友盟的威脅情報能力實現了與奇安信、H3C、IBM等龍頭企業(yè)的打通，還實現與60+家安全廠商的集成聯動。同時，天際友盟與全球多家知名安全機構達成情報數據合作，實現200+家情報源的實時聚合，熱情報日更新2000萬+，并提供feed情報訂閱，支持明文批量交付數據，方便與安全產品集成或再加工。

　　另外，根據不同類型安全產品的定位、性能和應用場景，天際友盟TI Inside設計出三種典型的情報融合策略，包括處置類集合、分析類集合、EDR集合，針對不同的集合篩選出適用的威脅情報數據，滿足不同類型的安全產品與威脅情報進行高效的融合。

　　按照不同的情報來源和威脅類型，天際友盟的威脅情報市場建立情報卡片體系，在訂閱威脅情報數據時，只需要將感興趣的一張或多張卡片加入至數據下載集合，便可以自由下載使用。目前天際友盟維護包括自有情報、IBM、火絨、網宿等多家優(yōu)質情報源，包括惡意軟件、C&C節(jié)點、數字貨幣、APT情報、惡意網站、病毒木馬等在內的40余種情報卡片。

　　在生態(tài)共享的理念下，天際友盟作為威脅情報國標（GB/T 36643-2018）的協(xié)助起草單位，不但產出符合國標的威脅情報，還提供離線明文威脅情報，并支持在線查詢功能，幫助網絡安全廠商高效、便捷、低成本使用TI Inside服務。此外，天際友盟還設計了一套完整、高效的數據信譽度評價機制，實現對情報進行信譽度評價和動態(tài)跟蹤，并據此進行數據老化處理和數據清洗，以保證相關數據的可靠性和有效性。

　　對未來TI Inside的發(fā)展，天際友盟TI Inside戰(zhàn)略負責人趙嘉偉表示，天際友盟TI Inside將堅持開放、生態(tài)、共生的理念，致力于攜手安全廠商為最終用戶打造更加安全的網絡空間。TI Inside模式，不僅要實現與安全廠商的集成聯動，形成新的聚變效應；還要通過威脅情報賦能生態(tài)伙伴，應對客戶實際業(yè)務的各類場景，確?？蛻粼跀底只椭悄芑臅r代里行穩(wěn)致遠。