新冠疫情的爆發(fā)給社會(huì)帶來(lái)了巨大的影響，吹哨人的作用也因?yàn)檫@場(chǎng)意外，愈加收到重視。威脅情報(bào)作為網(wǎng)絡(luò)安全體系的重要組成部分，其準(zhǔn)確性、相關(guān)性和時(shí)效性的特點(diǎn)，使得防御者能比攻擊者更快地找到反擊措施，為安全團(tuán)隊(duì)的正確決策和安全事件的快速響應(yīng)作出了重大貢獻(xiàn)。6月18日下午，由北京天際友盟信息技術(shù)有限公司主辦，以“新IN力 御萬(wàn)象”為主題的 TI Inside 威脅情報(bào)應(yīng)用生態(tài)協(xié)同峰會(huì)在北京舉行。會(huì)議分享交流威脅情報(bào)在各個(gè)行業(yè)的具體應(yīng)用方案以及取得的良好效果，探討“TI Inside”生態(tài)共建戰(zhàn)略，推動(dòng)安全行業(yè)威脅情報(bào)生態(tài)協(xié)同的進(jìn)一步發(fā)展。

天際友盟倡導(dǎo)通過(guò)TI Inside協(xié)同，實(shí)現(xiàn)威脅情報(bào)能力與百大安全廠商的集成聯(lián)動(dòng)，形成新的協(xié)同生態(tài)效應(yīng)。天際友盟 CEO 楊大路認(rèn)為，安全生態(tài)是一種態(tài)度和信仰，已經(jīng)深深融入天際友盟的產(chǎn)品和技術(shù)理念之中。

　　天際友盟 CEO 楊大路

　　正是基于這種態(tài)度和信仰，天際友盟率先將高成本投入換來(lái)的情報(bào)明文輸出，以實(shí)際行動(dòng)加大生態(tài)開放力度，進(jìn)一步降低廠商合作和企業(yè)使用的門檻兒。同時(shí)作為專業(yè)、中立的威脅情報(bào)供應(yīng)商，天際友盟堅(jiān)持不與傳統(tǒng)安全廠商競(jìng)爭(zhēng)，堅(jiān)持開放的合作態(tài)度。這看似愚蠢的行為，恰恰贏得了市場(chǎng)和合作伙伴的高度認(rèn)可，形成了“廠商踴躍加入，威脅情報(bào)不斷完善，企業(yè)積極采購(gòu)”的正反饋機(jī)制。

　　什么是威脅情報(bào)？

　　根據(jù)Gartner對(duì)威脅情報(bào)的定義，威脅情報(bào)是某種基于證據(jù)的知識(shí)，包括上下文、機(jī)制、標(biāo)示、含義和能夠執(zhí)行的建議，這些知識(shí)與資產(chǎn)所面臨已有的或醞釀中的威脅或危害相關(guān)，可用于資產(chǎn)相關(guān)主體對(duì)威脅或危害的響應(yīng)或處理決策提供信息支持。業(yè)內(nèi)大多數(shù)所說(shuō)的威脅情報(bào)可以認(rèn)為是狹義的威脅情報(bào)，其主要內(nèi)容為用于識(shí)別和檢測(cè)威脅的失陷標(biāo)識(shí)，如文件HASH，IP，域名，程序運(yùn)行路徑，注冊(cè)表項(xiàng)等，以及相關(guān)的歸屬標(biāo)簽。

　　威脅情報(bào)的生產(chǎn)就是通過(guò)對(duì)原始數(shù)據(jù)/樣本的采集、交換、分析、追蹤，之后產(chǎn)生和共享有價(jià)值的威脅情報(bào)信息的過(guò)程。生產(chǎn)者可以通過(guò)使用蜜罐、沙箱、終端等手段收集大量的信息，經(jīng)過(guò)初級(jí)或者專業(yè)技術(shù)分析后提供給消費(fèi)者，滿足消費(fèi)者的服務(wù)安全運(yùn)行的需求。

　　威脅情報(bào)之于企業(yè)的重要意義

　　威脅情報(bào)在自然界中廣泛存在，在非洲的樹林中經(jīng)常會(huì)有狒狒的身影，由于狒狒在樹上，視野較遠(yuǎn)。當(dāng)獅子等捕獵者接近后，任何一只狒狒有所覺(jué)察就會(huì)向周圍的動(dòng)物發(fā)出危險(xiǎn)信號(hào)，周圍動(dòng)物的安全性得到很大的提高。人類世界要比動(dòng)物社會(huì)更加復(fù)雜，尤其是在攻守進(jìn)化過(guò)程中的網(wǎng)絡(luò)安全。

　　當(dāng)前網(wǎng)絡(luò)威脅的專業(yè)化趨勢(shì)不斷凸顯，迫使網(wǎng)絡(luò)安全廠商的產(chǎn)品愈加細(xì)分、垂直。傳統(tǒng)安全廠商多只能獲取自己產(chǎn)品、用戶相關(guān)的相對(duì)局部的威脅情報(bào)，自建完整的威脅情報(bào)體系又需要極大的設(shè)備、軟件等資源投入，同時(shí)還需要持續(xù)維護(hù)情報(bào)專家團(tuán)隊(duì)。目前面向情報(bào)溯源和分析能力的分析師至少需要具備日志分析能力、數(shù)據(jù)洞察力、安全消息源、樣本淺層次分析能力和安全運(yùn)維能力，但目前市面上合格的人才少之又少。因此，企業(yè)需要專業(yè)的第三方情報(bào)供應(yīng)商，獲取到全產(chǎn)業(yè)鏈、多源威脅情報(bào)的整合。

　　根據(jù)權(quán)威研究機(jī)構(gòu) IDC 的調(diào)研數(shù)據(jù)顯示，威脅情報(bào)可以顯著降低風(fēng)險(xiǎn)，同時(shí)推動(dòng)安全和運(yùn)營(yíng)效率的提高，將企業(yè)發(fā)現(xiàn)威脅的速度提高 10 倍，響應(yīng)和解決威脅的速度提高 63％，并在受到攻擊之前主動(dòng)識(shí)別出 22％ 的安全威脅。

　　現(xiàn)階段TI Inside的發(fā)展?fàn)顩r

　　采用明文方式輸出，不設(shè)置信息壁壘是TI Inside模式顯著的特點(diǎn)，這需要充分的信心和過(guò)人的勇氣。天際友盟實(shí)時(shí)匯聚全球200+情報(bào)源，每日更新2000萬(wàn)+熱情報(bào)，通過(guò)場(chǎng)景化應(yīng)用賦能，協(xié)同聯(lián)動(dòng)60+專業(yè)安全廠商，與生態(tài)合作伙伴一起，共同最大化發(fā)揮威脅情報(bào)的價(jià)值。

企業(yè)的發(fā)展階段不同、側(cè)重點(diǎn)不同，其所需的功能、數(shù)據(jù)量也不相同。根據(jù)不同類型安全產(chǎn)品的定位、性能和應(yīng)用場(chǎng)景，天際友盟TI Inside設(shè)計(jì)出三種典型的情報(bào)融合策略，包括處置類集合、分析類集合、EDR集合，針對(duì)不同的集合篩選出適用的威脅情報(bào)數(shù)據(jù)，滿足不同類型的安全產(chǎn)品與威脅情報(bào)進(jìn)行高效的融合，幫助網(wǎng)絡(luò)安全廠商高效、便捷、低成本使用TI Inside服務(wù)。

按照不同的情報(bào)來(lái)源和威脅類型，天際友盟的威脅共享與協(xié)同機(jī)制包含網(wǎng)絡(luò)安全、應(yīng)用安全、終端安全、數(shù)據(jù)安全、數(shù)據(jù)分析、事件處置、風(fēng)險(xiǎn)管理和犯罪中止共計(jì)八個(gè)領(lǐng)域、二十多項(xiàng)細(xì)分技術(shù)。

　　除了輸出實(shí)時(shí)的通用情報(bào)數(shù)據(jù)之外，TI Inside還支持對(duì)情報(bào)的IOC字段和歷史數(shù)據(jù)字段等進(jìn)行定制，進(jìn)一步方便企業(yè)的訂閱和查詢。

　　TI Inside可靠性如何？

　　高可靠性和完善的售后服務(wù)是企業(yè)加入的首要考慮因素，也是生態(tài)得以健康發(fā)展的根本。

在情報(bào)可靠性方面，目前可達(dá)到IOCs的更新頻率不低于24h/次，IOCs準(zhǔn)確率不低于99.9%，漏洞情報(bào)覆蓋率不低于70%；API接口可靠性方面，服務(wù)可用性不低于99.95%。

售后支持方面，標(biāo)準(zhǔn)正式簽約服務(wù)包含技術(shù)培訓(xùn)、技術(shù)支持和人工IOCs校驗(yàn)服務(wù)，同時(shí)還具有調(diào)查分析的增值服務(wù)，可以使大多數(shù)企業(yè)較低成本地滿足情報(bào)需求。