威胁情报到底有没有用？怎么用？

虽然中国的威胁情报产业起步较晚，但在政策和环境的共同推动下，其发展态势较为迅猛。头豹研究院发布的《2022年中国威胁情报平台行业概览》（2022 China Threat Intelligence Platform Industry Overview）数据显示，预计未来五年中国威胁情报市场规模有望达到26.6亿元。

基于威胁情报，用户不仅可以了解攻击者关注的目标，也可以掌握攻击者的攻击方式、攻击路径和攻击源头。此外，威胁情报还可以使用户进一步了解安全态势，例如在地缘政治冲突中提前做好应对准备，保障企业不卷入因地缘政治冲突导致的溢出攻击等。

然而，威胁情报在用户侧的反馈却褒贬不一，有的用户认为这是一把有效“抵御外敌”的利器，有的却认为威胁情报带来了高昂的成本，增加了运营的压力并阻碍了联防联控的流畅度。当前威胁情报还存在哪些不足？站在用户层面又该如何解决呢？

实际上，威胁情报是企业掌握外部安全信息的重要渠道，但不是唯一渠道。与所有管理人员一样，CISO 会从多种渠道获取信息，帮助他们做出决策和制定计划。有安全从业者认为，威胁情报（CTI）只是信息流中的一环，但它具有一些独特的品质和价值。

澳大利亚 CI-ISAC 首席执行官 David Sandell认为，威胁情报是关于网络威胁的及时、准确和相关的信息，CISO 可以利用这些信息评估其内部优先事项，并将工作重点放在相关风险上。

在Sandell看来，关于什么是威胁情报，业界存在一定的误解。大部分作为“情报”出售或收集的信息实际上只是数据，这些数据或许是威胁，但并不是风险，与环境、背景以及企业或行业相结合的数据才能被称之为“情报”。

根据Gartner的定义，威胁情报是某种基于证据的知识，包括上下文、机制、标示、含义和能够执行的建议，这些知识与资产所面临已有的或酝酿中的威胁或危害相关，可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持。业内大多数所说的威胁情报可以认为是狭义的威胁情报，其主要内容为用于识别和检测威胁的失陷标识，如文件HASH，IP，域名，程序运行路径，注册表项等，以及相关的归属标签。

威胁情报的不同定义没有阻碍其普及和发展，据Searchlight Cyber 2023 年的报告，有93% 的受访 CISO 关注威胁情报，大部分CISO在获取威胁情报方面没有阻碍。在国外，几乎所有的安全团队都在安全产品和服务中内置了一些威胁情报，而这些产品和服务现在已成为所有组织的标准配置。

国内虽然也有用户主动搜集情报，但更高质量的情报往往由厂商输送。同时，为了更进一步提高产品的竞争力，国内厂商往往将威胁情报与防火墙等传统IDC产品相结合，专注于安全运营、云安全或数据安全的厂商也会加入威胁情报能力，并结合包括AI、自动化等方式优化情报的利用率。

由此可以看出，当前威胁情报的利用方式多种多样，甲方用户在日常工作中可以很轻松地利用情报来辅助决策。那为什么还有人认为威胁情报有很多缺点呢？

在搜集过甲方专家和厂商代表的观点后，针对威胁情报的缺陷可以总结出两类观点。第一是用户错误地使用方式，导致其没有正确利用情报，从而认为威胁情报影响安全的连贯性，越用越“危险”。

第二是厂商错误的生产方式，部分厂商只是将蜜罐采集的数据作为情报进行出售，并没有针对性地采集某一类情报，或是无法与上下文耦合；生产出来的“情报”不完整，利用价值不高。同时，用户也需要耗费大量精力来整理这些“情报”，导致部分用户抱有怨言。

结合这两类观点，我们或许可以理解当下威胁情报为什么“褒贬不一”。那么，应该如何使用威胁情报，又该如何判断威胁情报的价值，选择合适的厂商呢？

一般来说，用户会如何使用威胁情报？Forrester 首席分析师 Brian Wrozek 认为，当前威胁情报的使用有三种方式：

第一是战术性的，将威胁情报与自动化等技术相结合。安全厂商在获取新的情报后，会更新其情报仓库，并使产品自动屏蔽危险IP等；用户在使用产品时，借助其提供的自动化能力实现IP封禁等等。换言之，用户并没有主动搜集情报，而是通过厂商提供的衍生能力实现安全目标，对情报的利用是较为粗浅的。

第二是操作性的，CISO及安全团队利用情报为事件响应提供信息。例如，如果团队在环境中发现某种类型的威胁，情报可以告知他们下一步应该采取什么措施。这种方式是对情报的主动利用，用户会主动采集和整理自身及厂商提供的威胁情报，并将其与企业当前安全状况和目标相结合，实现主动防御。

最后是战略性的，这是对威胁情报最复杂的使用。CISO 将情报与威胁形势、IT 环境、组织和行业相结合，为安全职能部门和整个组织制定战略决策。这种方式的利用需要的不仅是情报，还需要CISO和安全部门在组织中有足够的话语权，能够将威胁情报从安全部门输送到其他部门，实现全面的联防联控。

事实上，大部分CISO和甲方企业只停留在第一或第二种应用方式，在战略性应用方面有所不足。但无论是哪种方式，在应用威胁情报前都需要充足的准备，这也是当前部分甲方用户所忽略的。

某电商公司安全管理杨文斌表示，在应用威胁情报前，企业需要先梳理好自身的资产，其中包括IT资产、业务资产、组织资产等多个维度，只有在发现威胁情报时，建立与内部资产之间的关联关系，才能及时作出风险应对。当下威胁情报应用成效不佳的主要挑战有情报本身的精准性、资产的规范性以及大数据分析能力。某科技公司负责人朱士贺表示，企业应用威胁情报需要建立运营威胁情报运营的专岗或者团队，能够分析和响应预警告警信息。

威胁情报与传统IDC产品及部分安全产品的最大区别就是需要投入一定的使用成本和学习成本，这些成本和企业的安全水平和安全能力有关。大部分安全厂商试图通过将威胁情报与IDC产品相结合的方式来抵扣成本，让用户可以更简单直接地使用威胁情报。但随着这么做的厂商越来越多，新的问题就出现了，那就是情报的标准。

当下，甲方企业对威胁情报最为抨击的一点就是标准。因为前期要投入成本，所以企业在应用威胁情报时就会更加关注其会带来的效果，但由于当下对于威胁情报的标准不统一，很难说谁家生产的情报价值更高。此外，甲方用户往往不会单独采用某一家的威胁情报和安全产品，而是会结合多家厂商的情报共同分析企业的主要威胁。但由于情报的标准不统一，内置于安全产品的威胁情报反而阻碍了企业的使用。

以弱口令这一项风险为例，不同厂商会提出不同的名词来解释，例如发现存在弱口令风险（FTP）、FTP 服务弱口令认证、FTP_口令弱、FTP系统默认口令登录等等，不同的情报名称导致企业需要耗费大量的人力来将其进行归类总结，才能实现产品之间的联防联控。

情报标准一直也是厂商们所困扰的问题。当威胁情报成为产品的增值项之后，越来越多的厂商开始搜集和生产情报。实际上，威胁情报的搜集并不难，在公网上放置几个蜜罐或是在情报交易市场上购买就能搜集到大量情报，真正困难的是如何将这些情报与安全产品、用户场景、用户需求相贴合。由于没有标准的制约，部分厂商到这一步就结束了，他们将未经整理的、大量的无用情报打包交给用户，冠以情报赋能或是情报驱动的名义将难题交给了用户来解决。

对此，业内人士表示，甲方只关注与他有关的威胁情报，通过上述方式搜集的情报很多是无价值的，甲方需要更精准、与其安全状况和目标高度相关的情报。另一方面，甲方关注情报的可信度，而通过蜜罐采集或是购买的情报缺乏上下文联系，导致情报很难利用。结合这两方面，威胁情报很有可能会带来两大问题，一是告警爆炸，似乎每一组数据每一个访问都有问题，二是误判漏判，用户难以从大量告警中发现真正的风险和威胁，最终导致威胁情报越用越“危险”。

那么，什么样的情报才是有价值，才是能让用户直接利用的？首先是完整性，完整的威胁情报不是蜜罐搜集到的数据，而是结合日志分析等方式，将大量无用的、无关的情报筛选出去之后，还要与行业属性、产业环境及用户需求进一步结合。其次是普及性，能否覆盖更多的应用环境，能否满足更多的用户需求，能否长期、持续、准确地报告风险和预警，这些都是情报价值的体现。最后是时效性，滞后的情报起不到任何作用，快速且大量地更新情报，才能让情报具有价值。

综合来看，不仅用户使用威胁情报需要一定的基础，厂商也同样如此。用户在选择情报厂商时也可以通过上述几个方面来判断，其生产的情报是否真的具有价值。除此之外，威胁情报的另一个关键点是外部情报与内生情报的联动。用户不能只听信威胁情报厂商提供的建议，而是要与本地告警等内生情报相结合，这样才能判断威胁情报是否真的与自身有关。

虽然当前威胁情报市场存在种种问题，但我们不能忽视一个客观规律，那就是我国威胁情报市场起步较晚。用户往往将国内的威胁情报厂商与国外的进行对比，相较于国外，国内厂商的确还有很多的进步空间，但这些进步需要时间来解决，也需要用户的督促和建议。

因此，我们不能把情报现存的问题归咎到厂商一方，而是要和更多的厂商一起，提高威胁情报的覆盖领域，挖掘威胁情报的最佳实践，最终实现用户与厂商的合作共赢，助力我国威胁情报产业的发展。