关于威胁情报，你所不知道的事儿

奇安信威胁情报中心在数据生产落地和项目推进的过程中，总会有用户感到困惑：为什么我买了其他产品的情报功能模块，还要买情报中心的产品或服务？你们奇安信的威胁情报产品又和别的厂商有什么区别？

针对上述两个典型的问题，本文将一键解锁其中的奥义。

随着网络安全的快速发展，我们常听到一个术语--“纵深防御”(Defense-in-Depth,DiD)，通过设置多层重叠的安全防护系统而构成多道防线，使得即使某一防线失效也能被其他防线弥补或纠正，即通过增加系统的防御屏障或将各层之间的漏洞以错开的方式防范差错发生。

不难理解，纵深防御就像是人体的免疫系统，只有生病后才能知道它的价值。尽管有很多方案可以保护网络，并且每种方案都有各自的优势，但由于攻击者有各种各样的攻击目标，任何一种解决方案都可能留下防护盲区，因此需要不同的防御层才能有效防御。

而纵深防御就是一个很好的策略，它为系统增加很多保护层，以减少任何可能的风险，就像你既可以打针吃药，也可以强身健体。

根据纵深防御体系，各安全设备的市场定位（指为使产品在目标消费者心目中占据清晰、特别和理想的位置而进行的安排）非常清晰。

在建设纵深防御体系里，构建边界防御是最重要的原则之一，企业通常通过部署防火墙、IDS等安全设备来实现，所有这些都是为了把威胁挡在外面。

当然，错误地设置防火墙等安全设备、调用错误的安全方法都可以让防护措施成为摆设。同时，在不断复杂的网络环境下，攻击者频繁使用漏洞来绕过基础安全设备，这些漏洞并不是防火墙、IDS等需要检查的内容，这导致依旧有大量用户信息系统被黑客入侵并丢失数据，而90%的企业对此完全无察觉。

想要识别攻击事件，就需要依靠记录IT网络中发生的任何操作的日志，这些日志数据越多越好，甚至是全量数据。

奇安信天眼新一代威胁感知系统可对本地流量进行全量还原、存储与深度分析。只要日志受到监控，它就能告诉你很多关于网络上正在发生的事情，可以帮助你识别任何可疑行为。当有人成功攻击了你的网络，日志还可以帮助你了解攻击的过程、原理，以及如何防止安全事件再次发生。

由于告警数据量庞大，对于想要通览所有数据以找到特定内容的人来说，工作量听起来有些吓人。

想要再进一步对攻击事件做出快速反应、决策， 以确保攻击者无可乘之机，就涉及到强化系统的过程。在积极防御建设阶段，主要利用威胁情报来完善纵深防御体系的安全能力。

就像是你在监控看到了一名鬼鬼祟祟的男子，结合公安发出的通告或新闻，发现该男子只对小孩下手，于是将附近的小孩重点保护起来。威胁情报是否能被有效利用，这需要将日常安全运营和情报运营做深度融合，在运营过程中产生情报并共享。

威胁情报在安全建设中的定位

基于上述市场定位，各产品的功能、性能将受控于自身的产品定位（对应什么样的产品来满足目标消费者或目标消费市场的需求）。

如今，威胁情报作为网络安全发展到高阶的标配，将威胁情报能力融入安全设备，成为网络安全纵深防御架构中不可或缺的一个环节。奇安信威胁情报中心通过Q-TDE威胁情报检测引擎SDK方式，将威胁情报集成到态势感知、NGSOC、虚拟化安全、云安全、终端安全、天眼、NGFW等安全产品。

可即便如此，各产品集成的威胁情报和情报中心的产品在性能、功能层面仍存在很大差异。

我们都知道，安全网关类设备在高速流量转发的情况下，需要在微秒内判断请求阻断还是放行。因此，为了兼顾高可用性和高检出率，加载IOC（Indicator of compromise 威胁检测指标）的平衡点仅在30万～200万之间。

所以，威胁情报中心仅将部分情报数据（如：商业化、定制化、开源情报等）赋能给安全设备，而情报中心的全量数据当前已超过1亿，且日增量超过9000条。

一般来说，安全体系较为完善的企事业单位，为进一步实现纵深防御，通常在企业的数据汇聚中枢平台引入威胁知识库，通过部署本地化威胁情报平台TIP，推送、下沉海量情报数据。

情报中心的威胁情报平台（TIP）则是面向大数据平台NGSOC、SIEM、Splunk、ELK提供的一种大型威胁知识库，将威胁情报的全生命周期形成闭环，有效应对Kill Chain（杀伤链）的各种检测环节。

说完了“内部”区别，我们再看“外部”区别。目前关于威胁情报，用户有诸多安全厂商可供选择，如果产品没有明确的辨识度，大家很可能挑花眼。弄清楚以下几条重要的决策点，我们就能轻松选对供应商。

情报是基于很多数据经过一系列加工得出的结果，毋庸置疑，供应商本身的底层数据能力决定了威胁情报的质量。知道数据是仅从公开信息中获取，还是自身具备生产能力，以及是否具备客户侧的非公开信息显得尤为重要。

奇安信在云端拥有样本库200亿+、安全日志18万亿+、DNS解析记录每日500亿+、补天平台漏洞10万+、终端数据量排国内第一、还有完善的爬虫系统、商业数据源采购等；同时，在本地拥有企业级全量数据的采集能力，还是微软MAPP合作伙伴成员，基础数据极其丰富。

生产高精准的情报需要“人+工具+流程”的参与和持续积累，不仅具有一系列独立数据点，还要具备关联归属分析能力，并能够得出独立的结论。

奇安信威胁情报中心基于机器学习的高级多引擎结合，通过IOC生产自动化+AI自动化研判机制，控制有效IOC的输出，将情报在严谨客观的数据分析后下发至使用方，同时进行流程化的完善，保障情报的准确性和时效性。

由于威胁情报都是用高技术性和难解析的语言编写，因此，突出的情报运营能力体现在“紧迫的威胁情报必须能够被需要真正采取行动的人所理解”。

我们在运营情报时经常会听到的一个场景：主管的邮箱中收到一份关于组织安全系统存在隐患的报告，但主管没有充分理解到威胁的重要性，于是造成严重的后果。

奇安信提供完整的安全服务体系，在用户场景处对现场数据提供分析并将其转化为可采取行动的补救措施，构建组织使用威胁情报的能力。同时，结合威胁情报平台的情报共享、标签标记、设置置信度等功能，将威胁情报要表达的信息简单明了的展现在执行者面前，提供重要决策依据。

威胁情报仅基于事件观测，还是来自深入的APT组织分析是供应商高级威胁分析能力的体现。

奇安信威胁情报中心依托在全球领先的安全大数据能力以及攻防研究团队专业领先的高级威胁事件跟踪、发现能力，将情报内容结合APT组织进行深度分析。持续跟踪分析的主要APT团伙超过44个，独立发现APT组织11个，持续发布APT组织的跟踪报告超过30篇。

红雨滴团队面向网络安全主管部门和职能部门、政府机构和行业客户与高校科研机构提供的高级威胁分析服务，为其提供决策和参考。目前高级威胁分析服务内容主要包括：威胁情报通告服务、APT分析取证服务、商业报告服务、重保资产APT持续监测分析服务。

通过以上内容，相信您对本文开头提到的两个问题有了一定的认知和了解。不管是赋能其他安全产品，还是与友商拉开差距，对于威胁情报，我们还有很长的路要走。如何结合情报分析、武器库等能力追踪和防御威胁，实现情报运营闭环的最后一公里，任重而道远。