压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

威脅情報(bào)就像圣經(jīng)，每個(gè)人都在談?wù)撍苌儆腥俗x懂它，更少有人踐行它。

2020 年，眾所周知的 “灰犀牛年”、奧運(yùn)年、大選年、周期年、沖突年…… 同時(shí)也是企業(yè)數(shù)字化轉(zhuǎn)型和顛覆性技術(shù)集體發(fā)力的第三次數(shù)字革命的關(guān)鍵年頭。

2020 年，對(duì)大多數(shù)企業(yè)的領(lǐng)導(dǎo)者來說，最大的兩個(gè)挑戰(zhàn)是如何以最低的成本：控制風(fēng)險(xiǎn)，把握機(jī)遇。

而信息安全風(fēng)險(xiǎn)，無疑是數(shù)字化時(shí)代企業(yè)面臨的最大風(fēng)險(xiǎn)。但更大的風(fēng)險(xiǎn)來自于：企業(yè)安全防護(hù)體系的有效性不進(jìn)反退，因?yàn)椋喊踩{更加難以防范，過去的安全防護(hù)體系存在 “大坑”，“安全債” 高企。

面對(duì)安全風(fēng)險(xiǎn)與企業(yè)防御能力的不對(duì)等，一個(gè)業(yè)界共識(shí)的重大安全防御變革方向是：圍繞威脅情報(bào)建設(shè) “內(nèi)生化” 的全新安全體系。

威脅情報(bào)就是通過暴露未知威脅，提供更優(yōu)決策支撐信息，降低企業(yè)整體風(fēng)險(xiǎn)，并大大提高安全團(tuán)隊(duì)和工具有效性的理念，是企業(yè)應(yīng)對(duì) APT、網(wǎng)絡(luò)犯罪、新興安全威脅（例如人工智能增強(qiáng)攻擊）的 “預(yù)警機(jī)”，是企業(yè)建設(shè)能力導(dǎo)向的網(wǎng)絡(luò)安全體系的戰(zhàn)略和戰(zhàn)術(shù)雙核心。

但是，企業(yè)界對(duì)威脅情報(bào)的現(xiàn)狀、價(jià)值、趨勢和最佳實(shí)踐路徑的理解還存在頗多誤區(qū)和盲區(qū)。

帶著這些問題，安全牛作為支持媒體應(yīng)邀參加了國內(nèi)威脅情報(bào)的第一峰會(huì)——2020 年 1 月 3 日北京舉行的奇智威脅情報(bào)峰會(huì)。

奇智威脅情報(bào)峰會(huì)現(xiàn)場

本次大會(huì)主題是 “情報(bào)內(nèi)生、聚合應(yīng)變”，目的是幫助企業(yè)“構(gòu)建內(nèi)生的威脅情報(bào)能力”。來自威脅情報(bào)央企用戶、主要服務(wù)提供商、相關(guān)國家和行業(yè)機(jī)構(gòu)以及專業(yè)咨詢服務(wù)商的專家分享了中國威脅情報(bào)技術(shù)應(yīng)用現(xiàn)狀與趨勢、用戶痛點(diǎn)與心得、市場挑戰(zhàn)與機(jī)遇的關(guān)鍵信息。

演講嘉賓包括：國家網(wǎng)絡(luò)與信息安全信息通報(bào)中心處長盤冠員、國家互聯(lián)網(wǎng)應(yīng)急中心運(yùn)行部工程師周昊、奇安信集團(tuán)總裁吳云坤，建設(shè)銀行金融科技部信息安全管理處處長陳德鋒、國家電網(wǎng)信通公司調(diào)度中心主任胡威、華泰證券威脅情報(bào)中心主任周正虎、普華永道風(fēng)險(xiǎn)控制及服務(wù)部高級(jí)經(jīng)理張偉等專家出席大會(huì)，圍繞威脅情報(bào)技術(shù)創(chuàng)新、基于威脅情報(bào)的安全體系創(chuàng)新、威脅情報(bào)在垂直行業(yè)的應(yīng)用實(shí)踐及價(jià)值挖掘、情報(bào)共享及合作等多個(gè)層面，發(fā)表了精彩演講。

以下安全牛結(jié)合會(huì)議嘉賓觀點(diǎn)，為讀者梳理當(dāng)下威脅情報(bào)市場面臨的機(jī)遇、趨勢、最佳實(shí)踐和痛點(diǎn)。

威脅情報(bào)進(jìn)入爆發(fā)期

Gartner 對(duì)威脅情報(bào) (TI) 的定義是：威脅情報(bào)產(chǎn)品和服務(wù)提供關(guān)于信息安全威脅和其他安全相關(guān)問題的知識(shí)。威脅情報(bào)可提供的信息包括攻擊者的身份、動(dòng)機(jī)、特征以及方法。這些信息來自技術(shù)工具（例如流量分析）和人員行動(dòng)，例如對(duì)黑客和詐騙團(tuán)伙的調(diào)查，以及與司法部門和行業(yè)組織的信息分享和協(xié)作。

與基于漏洞的防御思路不同，威脅情報(bào)面向新的威脅形式，它和大數(shù)據(jù)安全分析、基于攻擊鏈的縱深防御等思想正在形成新一代的防御體系的基石。

威脅情報(bào)在企業(yè)安全市場的崛起，主要來自以下兩個(gè)方面的驅(qū)動(dòng)力：

驅(qū)動(dòng)一：威脅情報(bào)是企業(yè)安全變革的催化劑

威脅情報(bào)的應(yīng)用場景和服務(wù)對(duì)象無處不在，EDR、SOC、SIEM、SOAR、TIP、下一代防火墻到企業(yè)行業(yè)情報(bào)聯(lián)盟，從端點(diǎn)到云端、從一線安全分析師到CISO，從業(yè)務(wù)人員到總裁CEO。威脅情報(bào)是真正的“國民”安全服務(wù)，所有人都能從中受益，因而也是安全與IT融合和內(nèi)生的催化劑和粘合劑。

威脅情報(bào)服務(wù)/應(yīng)用場景在企業(yè)信息安全體系中的分布

威脅情報(bào)的直接受益人：

SOC 團(tuán)隊(duì)：威脅情報(bào)利用加速分流所必需的外部信息和上下文豐富了內(nèi)部警報(bào)，加快了 “無為時(shí)”，減輕了警報(bào)疲勞，最終幫助 SOC 團(tuán)隊(duì)做出更快的基于風(fēng)險(xiǎn)的決策。威脅情報(bào)還可以幫助SOC團(tuán)隊(duì)簡化事件分析和控制。

事件響應(yīng)團(tuán)隊(duì)：威脅情報(bào)可以幫助彌合巨大的網(wǎng)絡(luò)安全技能差距，減少誤報(bào)，并提供快速識(shí)別，確定優(yōu)先級(jí)并應(yīng)對(duì)可能的威脅所需的可行見解。

漏洞管理團(tuán)隊(duì)：威脅情報(bào)可為特定漏洞提供必要的上下文，這些漏洞代表了組織面臨的風(fēng)險(xiǎn)，并使他們可以了解利用漏洞的可能性。有了這些知識(shí)，團(tuán)隊(duì)就可以快速權(quán)衡針對(duì)漏洞所造成的現(xiàn)實(shí)威脅應(yīng)用補(bǔ)丁的潛在中斷，并迅速做出明智的決定。

安全領(lǐng)導(dǎo)者CISO/CSO/安全總監(jiān)：威脅情報(bào)可幫助他們?nèi)媪私饩W(wǎng)絡(luò)風(fēng)險(xiǎn)狀況（包括可能影響業(yè)務(wù)的新興威脅和未知風(fēng)險(xiǎn)），確定合適的策略和技術(shù)來規(guī)避或減輕風(fēng)險(xiǎn)。

欺詐防護(hù)團(tuán)隊(duì)：威脅情報(bào)可以通過監(jiān)視對(duì)業(yè)務(wù)的直接威脅（域，憑據(jù)，管理人員提及，BIN / PIN號(hào)碼等），警告來自暗網(wǎng)的威脅，幫助保護(hù)企業(yè)的聲譽(yù)、品牌和網(wǎng)站等），并減少社交媒體的濫用和域名搶注。

風(fēng)險(xiǎn)管理團(tuán)隊(duì)：威脅情報(bào)可幫助所有供應(yīng)商和合作伙伴中全面了解以威脅為中心的第三方風(fēng)險(xiǎn)視圖，從而有助于他們更快，更自信地理解，分析和解決問題。

威脅情報(bào)可幫助網(wǎng)絡(luò)安全體系中的每個(gè)人（從分析師到 CEO）預(yù)測威脅，更快地響應(yīng)攻擊并就如何降低風(fēng)險(xiǎn)做出更優(yōu)決策。威脅情報(bào)可以應(yīng)用于企業(yè)安全策略和安全體系的各個(gè)層面，幫助企業(yè)安全防護(hù)體系轉(zhuǎn)向更主動(dòng)，更全面的安全方法。這就是安全情報(bào)——一種通過暴露未知威脅，通知更好的決策并達(dá)成共識(shí)以最終加速整個(gè)組織的風(fēng)險(xiǎn)降低來提高安全團(tuán)隊(duì)和工具有效性的理念。

驅(qū)動(dòng)二：投入少，見效快的威脅情報(bào)價(jià)值被嚴(yán)重低估

根據(jù)研究公司 IDC 的調(diào)研，威脅情報(bào)可以顯著降低風(fēng)險(xiǎn)，同時(shí)推動(dòng)安全和運(yùn)營效率的提高。威脅情報(bào)可以將企業(yè)發(fā)現(xiàn)威脅的速度提高 10 倍，響應(yīng)和解決威脅的速度提高 63％，并在受到攻擊之前主動(dòng)識(shí)別出 22％ 的安全威脅。通過用自動(dòng)化取代手動(dòng)任務(wù)和研究，威脅情報(bào)可以將整個(gè)IT安全團(tuán)隊(duì)的生產(chǎn)率提高32％。

隨著網(wǎng)絡(luò)犯罪和安全威脅復(fù)雜性的不斷增加，威脅情報(bào)正在成為網(wǎng)絡(luò)安全市場最具潛力、市場規(guī)模增速最快，創(chuàng)業(yè)投資融資最活躍的 “估值洼地”。

根據(jù) Market Inside Report 的報(bào)告，2016 年全球威脅情報(bào)市場的價(jià)值約為 30.2 億美元，在 2017 年至 2025 年的預(yù)測期內(nèi)，將以超過 17.40％ 的健康增長率增長，亞洲尤其是東亞市場的增速要高于全球水平。到 2025 年，全球威脅情報(bào)市場將達(dá)到 128 億美元。

根據(jù) Gartner 的調(diào)查報(bào)告，過去兩年威脅情報(bào)的認(rèn)知和需求都在快速增長，尤其對(duì)政府主導(dǎo)和商業(yè)化威脅情報(bào)服務(wù)感興趣的企業(yè)激增。此外，除了傳統(tǒng)的政府和金融機(jī)構(gòu)外，能源、航空、醫(yī)療、醫(yī)藥、零售、制造等行業(yè)用戶對(duì)威脅情報(bào)的興趣和需求都在快速增長。

市場需求刺激了威脅情報(bào)市場的快速成長，除了眾多大型安全公司以外，創(chuàng)業(yè)公司也不斷涌入這個(gè)充滿活力和生機(jī)的市場。報(bào)告顯示：到 2022 年，20% 的大型企業(yè)都將使用商業(yè)化的威脅情報(bào)服務(wù)，而 2019 年只有不到 10% 的大企業(yè)。換而言之：

在未來不到兩年時(shí)間內(nèi)，行業(yè)用戶和大型企業(yè)的威脅情報(bào)市場規(guī)模將增長100%。

此外，中型企業(yè)的威脅情報(bào)市場雖然才剛剛起步，但增速更為驚人，根據(jù)Gartner報(bào)告，2018年只有不到1%的中型企業(yè)購買商業(yè)威脅情報(bào)服務(wù)/工具，到2021年，購買比例將增長至5%，三年內(nèi)增長五倍。

威脅情報(bào)市場為何如此 “牛氣”？讓我們先回顧一下企業(yè)安全目前面臨的兩大挑戰(zhàn)：

2020 年企業(yè)安全信息化建設(shè)面臨兩大挑戰(zhàn)：一方面，安全威脅的技術(shù)、方法、形態(tài)、路徑多樣化、復(fù)雜化，安全防護(hù)難度急劇增加；另一方面，企業(yè)信息化的安全債不斷累積。

挑戰(zhàn)一：威脅升級(jí)

在奇智威脅情報(bào)峰會(huì)上，奇安信集團(tuán)總裁吳云坤指出：靜態(tài)的標(biāo)準(zhǔn)規(guī)范、陳舊的技術(shù)方法都難以應(yīng)對(duì)日益復(fù)雜和常態(tài)化的安全威脅，“你不能用三五年前的技術(shù)和產(chǎn)品去對(duì)抗未來的威脅”。

如今，實(shí)網(wǎng)攻防演習(xí)已經(jīng)成為常態(tài)化的監(jiān)督檢查手段，企業(yè)安全防護(hù)體系建設(shè)需要從合規(guī)導(dǎo)向轉(zhuǎn)向能力導(dǎo)向。吳云坤將企業(yè)面臨的新安全威脅總結(jié)為 “四化”：攻擊組織化、環(huán)境云化、目標(biāo)數(shù)據(jù)化和戰(zhàn)法實(shí)戰(zhàn)化。

以攻擊的組織化為例，根據(jù)埃森哲公司的報(bào)告，APT 攻擊者們一直在往組織化的方向發(fā)展，以便共享戰(zhàn)術(shù)和工具以進(jìn)行大規(guī)模攻擊。例如，據(jù)報(bào)道，俄羅斯的 Silence APT 集團(tuán)正在積極瞄準(zhǔn)金融機(jī)構(gòu)，并成功地從全球各家銀行盜竊了數(shù)百萬美元。

安全威脅的另外一個(gè)趨勢是 “小微化”，表現(xiàn)為 DDoS 和 APT 等攻擊規(guī)模的小型化和低成本化，而且針對(duì)的對(duì)象也覆蓋更多中小企業(yè)和生態(tài)鏈企業(yè)。任何易受攻擊的基礎(chǔ)架構(gòu)都可能被破壞。這意味著對(duì)于所有企業(yè)和組織來說，都有必要了解新興安全威脅的運(yùn)行方式和實(shí)施，威脅情報(bào)能力建設(shè)也需要 “常態(tài)化” 和 “民主化”。

挑戰(zhàn)二：安全債

奇安信集團(tuán)總裁吳云坤將企業(yè)安全防護(hù)與運(yùn)營體系的 “安全債” 總結(jié)為 “四個(gè)大坑”：

(1）缺規(guī)劃：創(chuàng)可貼式的安全防御，導(dǎo)致產(chǎn)品堆砌，防護(hù)失衡，手段碎片化。

(2) 缺運(yùn)營：IT 和安全兩層皮，摩擦和隔閡難以消除、安全團(tuán)隊(duì)不能站在信息化角度思考安全，而IT部門的開發(fā)運(yùn)維也沒有 “安全基因” 和 “安全思維”，沒有樹立正確的安全價(jià)值觀，對(duì)安全還停留在 “成本中心” 和 “拖后腿” 的陳舊觀點(diǎn)。IT 和安全技術(shù)、運(yùn)營的融合與 “共生”，是 2020 年擺在所有企業(yè) CIO 和 CISO 面前的最大難題之一。

(3) 缺預(yù)算+成本高：企業(yè)一方面缺預(yù)算，根據(jù) Gartner 的數(shù)據(jù)測算，我國網(wǎng)絡(luò)安全在 IT 總投入中的占比 2016 年為 0.84%、2017 年為 0.88%。對(duì)照全球平均水平，我國網(wǎng)絡(luò)安全在 IT 總投入中的占比與全球平均數(shù)據(jù)相比存在約 1.8 倍的差距。另一方面，（可選擇）安全工具過剩且集成和使用成本過高。

(4) 效率低、反應(yīng)慢：即使是最先進(jìn)的 SIEM 和 SOC 方案對(duì)未知威脅的檢測和響應(yīng)的 “反射弧” 也是過長。在安全牛報(bào)道的小米生態(tài)鏈企業(yè) Wyze 在北美泄露 240 萬用戶隱私數(shù)據(jù)的重大安全事故中，Wyze 在漏洞信息被公開披露后居然毫不知情，在安全媒體 IPVM 的善意提醒下才緊急響應(yīng)。對(duì)安全威脅的預(yù)測、感知和響應(yīng)如此遲鈍，與小米生態(tài)這個(gè)全球最大的物聯(lián)網(wǎng)生態(tài)鏈的高速發(fā)展是完全脫節(jié)而且極其危險(xiǎn)的。

威脅情報(bào)兩大趨勢：內(nèi)生化、平臺(tái)化

數(shù)據(jù)驅(qū)動(dòng)的云大物移人新一代信息技術(shù)普及、企業(yè)業(yè)務(wù)前置、零信任環(huán)境、隱私合規(guī)、人員意識(shí)、物聯(lián)網(wǎng)、與區(qū)塊鏈人工智能等新技術(shù)融合應(yīng)用演化，這些趨勢都是企業(yè)構(gòu)建新一代信息安全防御體系的 “變量”：

數(shù)據(jù)驅(qū)動(dòng)的安全2.0 圖表來自：吳云坤

而內(nèi)生安全的關(guān)鍵特征，就是安全與企業(yè) IT 系統(tǒng)的深度集成，以及對(duì)企業(yè)業(yè)務(wù)數(shù)據(jù)的深度利用，打造出符合企業(yè)需求的，獨(dú)特的安全競爭力。

目前在醫(yī)藥研發(fā)領(lǐng)域，最熱門的研究領(lǐng)域就是 “免疫療法”，而內(nèi)生安全的核心價(jià)值，也正是通過提升企業(yè)內(nèi)在的 “免疫力” 來構(gòu)筑企業(yè)防御安全威脅的核心能力。根據(jù)吳云坤的演講，企業(yè)內(nèi)生安全防護(hù)系統(tǒng)應(yīng)當(dāng)具備三大特征：自適應(yīng)的免疫功能、內(nèi)外兼修的自主可控、自成長自進(jìn)化的學(xué)習(xí)型實(shí)戰(zhàn)型團(tuán)隊(duì)。而打造內(nèi)生安全的四大要素分別是：新機(jī)制、技術(shù)聚合、數(shù)據(jù)聚合、人的聚合（包括與業(yè)務(wù)流程的集成）。

與此同時(shí)，在內(nèi)生安全、數(shù)據(jù)驅(qū)動(dòng)、主動(dòng)防御、自動(dòng)化與智能化等新的安全理念驅(qū)動(dòng)下，威脅情報(bào)也正在經(jīng)歷內(nèi)生化和由點(diǎn)到面的平臺(tái)化變革，其技術(shù)、方法、定位和交付方式都在發(fā)生巨大變化。

從邊緣到核心：威脅情報(bào)是內(nèi)生安全新體系的核心

威脅情報(bào)在安全內(nèi)生化趨勢中重要性正在不斷凸顯，成為企業(yè)防御體系的軸心和大腦。過去，網(wǎng)絡(luò)安全三要素是 “人員、技術(shù)、流程”，而在內(nèi)生安全時(shí)代，“人員、情報(bào)、技術(shù)” 構(gòu)成了新的三要素。企業(yè)應(yīng)當(dāng)以威脅情報(bào)為核心建設(shè)新業(yè)態(tài)下的安全體系：

制圖：普華永道風(fēng)險(xiǎn)控制及服務(wù)部高級(jí)經(jīng)理張偉

從功能到平臺(tái)：從初始消費(fèi)到支持運(yùn)營

奇安信威脅情報(bào)中心負(fù)責(zé)人汪列軍認(rèn)為，在威脅情報(bào)初級(jí)階段，消費(fèi)外部輸入的威脅情報(bào)效果立桿見影，但有其先天的限制，作為彌補(bǔ)和進(jìn)階，需要建立基于自有基礎(chǔ)數(shù)據(jù)的威脅情報(bào)生產(chǎn)能力，這將使企業(yè)組織的威脅對(duì)抗水平更上一個(gè)臺(tái)階。

根據(jù) Gartner 的威脅情報(bào)成熟度模型（上圖），大多數(shù)企業(yè)在進(jìn)入 “支持運(yùn)營” 階段后，就會(huì)面臨威脅情報(bào)的平臺(tái)化運(yùn)營，向內(nèi)部提供定制化的威脅分析和調(diào)查服務(wù)，同時(shí)開始建立威脅情報(bào)的可信伙伴分享聯(lián)盟。

其中，以 TIP 為 “大腦” 的安全中臺(tái)是信息安全內(nèi)生化的一個(gè)重要概念，從上圖可以看出，威脅情報(bào)平臺(tái) (TIP)，在安全自動(dòng)化編排和響應(yīng)平臺(tái)中，威脅情報(bào)扮演著 “大腦” 的重要角色，而不僅僅是被編排的對(duì)象：

制圖：普華永道風(fēng)險(xiǎn)控制及服務(wù)部高級(jí)經(jīng)理張偉

奇安信集團(tuán)總裁吳云坤強(qiáng)調(diào)從信息化的角度看待威脅情報(bào)運(yùn)營建設(shè)；威脅情報(bào)驅(qū)動(dòng)的威脅運(yùn)營是一個(gè)運(yùn)行閉環(huán)（上圖），要嵌入到信息化流程中并作用于積極防御，建立自身的情報(bào)生產(chǎn)（來自內(nèi)部信息化業(yè)務(wù)數(shù)據(jù)和外部多源情報(bào)）和消費(fèi)能力，挖掘出潛在和未知威脅，并及時(shí)有效的彌補(bǔ)防御弱點(diǎn)。

國家互聯(lián)網(wǎng)應(yīng)急中心運(yùn)行部工程師周昊認(rèn)為（上圖），企業(yè)應(yīng)當(dāng)以威脅情報(bào)為紐帶構(gòu)建安全中臺(tái)，統(tǒng)一威脅情報(bào)體系，擴(kuò)展不同類型情報(bào)，和其它引擎聯(lián)動(dòng)，形成具體響應(yīng)動(dòng)作，向各部門提供統(tǒng)一服務(wù)，實(shí)現(xiàn)情報(bào)賦能，情報(bào)即服務(wù)。

威脅情報(bào)內(nèi)生化的最佳實(shí)踐與痛點(diǎn)

建設(shè)銀行金融科技部信息安全管理處處長陳德鋒：三步走打造智能主動(dòng)防御體系和運(yùn)營平臺(tái)、

在當(dāng)下建設(shè)銀行電子銀行快速發(fā)展時(shí)期，不能僅依靠內(nèi)部安全體系，必須利用威脅情報(bào)，預(yù)防、攔截、追溯、優(yōu)化控制。在系統(tǒng)漏洞預(yù)警、數(shù)據(jù)泄露監(jiān)測、釣魚網(wǎng)站發(fā)現(xiàn)關(guān)閉等多個(gè)領(lǐng)域構(gòu)建威脅情報(bào)共享機(jī)制，逐步加大、加深威脅情報(bào)和安全體系的結(jié)合。

分三步走打造智能主動(dòng)防御體系和智能運(yùn)營平臺(tái)，以安全大數(shù)據(jù)和資產(chǎn)大數(shù)據(jù)為基礎(chǔ)，安全對(duì)抗為核心，結(jié)合威脅情報(bào)，應(yīng)對(duì)有組織的大規(guī)模網(wǎng)絡(luò)攻擊。

痛點(diǎn)

• 數(shù)據(jù)驅(qū)動(dòng)的安全分析模型精度與隱私保護(hù)嚴(yán)控之間的矛盾；
• 資產(chǎn)管理的數(shù)據(jù)覆蓋和維度不夠；
• 人才短缺；
• 缺乏有效的情報(bào)分享機(jī)制；

國家電網(wǎng)信通調(diào)度中心主任胡威：主動(dòng)防御體系需要以情報(bào)驅(qū)動(dòng)安全

情報(bào)驅(qū)動(dòng)安全：國家電網(wǎng)網(wǎng)絡(luò)安全保障體系總框架

2017 年勒索軟件肆虐之后，電力行業(yè)的安全感就沒了。如今，電力關(guān)鍵信息基礎(chǔ)設(shè)施已經(jīng)成為網(wǎng)絡(luò)打擊破壞的重要目標(biāo)，攻擊的持續(xù)性隱蔽性顯著增強(qiáng)，防護(hù)難度加大。今年三月提出的電力泛在物聯(lián)網(wǎng)，給相對(duì)封閉的內(nèi)部工業(yè)系統(tǒng)和工業(yè)互聯(lián)網(wǎng)帶來了“無限大”的攻擊面，加之電網(wǎng)公司信息化近年來自我加壓，緊追并引領(lǐng)行業(yè)潮流，新技術(shù)和應(yīng)用帶來網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜化，威脅形態(tài)和攻擊面也在同步增多。

在全新的安全威脅形勢下，我們的安全防御體系開始從被動(dòng)走向主動(dòng)，過去網(wǎng)絡(luò)安全建設(shè)的技術(shù)設(shè)備，例如防火墻、IPS以及其他基于標(biāo)記檢測的設(shè)備，發(fā)揮的作用越來越小。在新的主動(dòng)防御體系中安全感知、安全情報(bào)的比重越來越大。

如今我們的防御體系建設(shè)思路，是以情報(bào)驅(qū)動(dòng)安全，建設(shè)情報(bào)搜集和分享體系，實(shí)現(xiàn)對(duì)威脅情報(bào)的高級(jí)分析，通報(bào)預(yù)警應(yīng)急處置，技術(shù)支撐閉環(huán)評(píng)估，24小時(shí)協(xié)同聯(lián)動(dòng)機(jī)制。

打造一線人員看得懂的態(tài)勢感知，是我們一直以來的目標(biāo)。

痛點(diǎn)：威脅情報(bào)方面面臨五大問題需要解決：威脅預(yù)警如何更及時(shí)、態(tài)勢感知如何更精確、智能分析更深入、情報(bào)共享更貫通、協(xié)同聯(lián)動(dòng)更充分。

廠商的感知相關(guān)產(chǎn)品很多，但是真正了解和適合國家電網(wǎng)業(yè)務(wù)特點(diǎn)的不多。

華泰證券威脅情報(bào)中心主任周正虎：將威脅情報(bào)體系建設(shè)成情報(bào) “賦能中心”

我們引入 NIST 網(wǎng)絡(luò)安全框架構(gòu)建威脅情報(bào)體系，覆蓋八大領(lǐng)域（上圖）：IOC情報(bào)（商業(yè)+開源）、數(shù)據(jù)泄露（GitHub+百度網(wǎng)盤）、黑灰產(chǎn)監(jiān)控、漏洞情報(bào)、規(guī)則情報(bào)、Hash情報(bào)、響應(yīng)情報(bào)、蜜罐與IP監(jiān)測情報(bào)。此外，華泰證券還把一些安全運(yùn)營中比較固化的的流程利用SOAR進(jìn)行安全的自動(dòng)化編排和響應(yīng)。

痛點(diǎn)：缺乏威脅情報(bào)數(shù)據(jù)（IOC）

國家互聯(lián)網(wǎng)應(yīng)急中心運(yùn)行部工程師周昊：用情報(bào)集市打破威脅情報(bào)共享瓶頸

威脅情報(bào)的生產(chǎn)、共享、賦能應(yīng)當(dāng)形成一個(gè)閉環(huán)的生態(tài)系統(tǒng)，解決情報(bào)分享痛點(diǎn)的關(guān)鍵是調(diào)動(dòng)各單位分享的積極性，打破制約情報(bào)分享的 “納什均衡”。過去威脅情報(bào)市場主要是 P2P 的私下拓展方式。廠商不知道用戶在哪，用戶不知道廠商優(yōu)劣，導(dǎo)致優(yōu)質(zhì)情報(bào)價(jià)格上不去。一種解決方案就是我們正在探索的一種平臺(tái)型的雙邊情報(bào)市場，由廠商、平臺(tái)以及用戶三方構(gòu)成。加入的廠商越多，吸引的用戶也越多，而更多的用戶使用，同樣也會(huì)促進(jìn)更多廠商加入，情報(bào)來源和可選擇性不斷增加，成本逐步降低，形成一個(gè)良性循環(huán)。目前國家互聯(lián)網(wǎng)應(yīng)急中心已經(jīng)構(gòu)建了一個(gè)多元情報(bào)匯聚和服務(wù)平臺(tái)，預(yù)計(jì)年后發(fā)布，平臺(tái)充分利用了國家級(jí)的平臺(tái)和數(shù)據(jù)優(yōu)勢，聯(lián)動(dòng)威脅情報(bào)智利能力，形成國家級(jí)一站式威脅情報(bào)服務(wù)。

北京盛華安信息技術(shù)有限公司聯(lián)合創(chuàng)始人、副總裁葉蓬：威脅情報(bào)應(yīng)當(dāng)落地內(nèi)部大數(shù)據(jù)平臺(tái)，SOAR是能力驅(qū)動(dòng)的信息安全建設(shè)的重大方向

企業(yè) SOC 從最初的面向資產(chǎn)到面向業(yè)務(wù)，再到現(xiàn)在的數(shù)據(jù)驅(qū)動(dòng)，一步步演進(jìn)。威脅情報(bào)在企業(yè)安全運(yùn)營中的地位也在不斷提升，現(xiàn)在是情報(bào)引領(lǐng)的安全體系建設(shè)，但是要解決威脅情報(bào) “最后一公里” 企業(yè)側(cè)落地的需求匹配問題，需要集成商、安全托管服務(wù)商多方協(xié)力。不管是國外的經(jīng)驗(yàn)或者國內(nèi)的實(shí)踐，比較好的落腳點(diǎn)還是聚焦在企業(yè)側(cè)的大數(shù)據(jù)平臺(tái)，不管是外部情報(bào)平臺(tái)數(shù)據(jù)還是內(nèi)部數(shù)據(jù)，都需要在這個(gè)平臺(tái)上匯聚、碰撞和處理。但目前的問題是情報(bào)對(duì)比仍然是老的方式，誤報(bào)率下不來，不能根本解決報(bào)警疲勞的問題。解決途徑就是結(jié)合多種威脅檢測手段和上下文信息比對(duì)，要把情報(bào)和企業(yè)內(nèi)部業(yè)務(wù)數(shù)據(jù)，以及安全防御體系結(jié)合起來，安全運(yùn)營的自動(dòng)化和編排是未來安全發(fā)展的重大方向，通過編排，很多安全公司的產(chǎn)品都會(huì)在甲方的要求下能力化，例如防火墻、IDS 系統(tǒng)是一個(gè)能力集合，不是孤立的輸出，而是變成一組 API 或者服務(wù)的概念。

在所謂軟件定義安全或者軟件定義的安全運(yùn)維中，威脅情報(bào)是一個(gè)可以被編排的功能。

總結(jié)：痛點(diǎn)即機(jī)遇

痛點(diǎn)一、用戶選擇困難

安全牛 2019 版全景圖中的威脅情報(bào)廠商分類（將于2020年1月更新版本）

威脅情報(bào)產(chǎn)品概念繁多、價(jià)格不透明、缺乏綜合方案。Gartner報(bào)告。也指出了目前威脅情報(bào)市場的問題：市場提供的服務(wù)五花八門，但沒有一家企業(yè)能夠提供整體方案，只有極少數(shù)的供應(yīng)商能提供定制化的情報(bào)服務(wù)；企業(yè)用戶比較選型難度大，“選擇困難綜合征“非常普遍。

痛點(diǎn)二、情報(bào)分享難

企業(yè)和行業(yè)情報(bào)聯(lián)盟容易陷入“納什均衡”，導(dǎo)致情報(bào)很難聚合、流通和分享。

痛點(diǎn)三、觀念轉(zhuǎn)變難

安全廠商和企業(yè)安全團(tuán)隊(duì)需要從信息化的角度看安全，從數(shù)字化轉(zhuǎn)型戰(zhàn)略和業(yè)務(wù)價(jià)值的角度而不是單純的安全指標(biāo)來指導(dǎo)內(nèi)生化的，以威脅情報(bào)為中心的安全防御體系的規(guī)劃和運(yùn)營。

痛點(diǎn)四、人才短缺

類似威脅捕手、安全大數(shù)據(jù)分析師這樣的威脅情報(bào)相關(guān)新興安全職業(yè)崗位的人才嚴(yán)重匱乏。

痛點(diǎn)五、隱私合規(guī)與情報(bào)數(shù)據(jù)的矛盾

2020年，繼GDPR之后各國隱私數(shù)據(jù)保護(hù)法規(guī)接連出臺(tái)，威脅情報(bào)數(shù)據(jù)生產(chǎn)、分析與分享的合規(guī)風(fēng)險(xiǎn)也不斷加大。

痛點(diǎn)六、缺乏標(biāo)準(zhǔn)化

威脅情報(bào)數(shù)據(jù)格式缺乏標(biāo)準(zhǔn)化，不但制約情報(bào)分享，而且也制約威脅情報(bào)在企業(yè)安全防護(hù)體系中的集成化和智能化演進(jìn)。

痛點(diǎn)七、缺乏針對(duì)性產(chǎn)品和服務(wù)

參考資料：

奇智威脅情報(bào)峰會(huì)會(huì)議資料（安全牛企業(yè)會(huì)員可發(fā)送郵件：xurongrong@aqniu.com，備注：公司名稱+奇智威脅情報(bào)峰會(huì)PPT）

埃森哲2019網(wǎng)絡(luò)威脅全景報(bào)告 ：

https://www.accenture.com/_acnmedia/pdf-107/accenture-security-cyber.pdf

Gartner威脅情報(bào)成熟度模型報(bào)告

Market Inside Report：2025全球威脅情報(bào)市場預(yù)測報(bào)告