讓我們來看看威脅情報“黑客特工”的真實生活吧！

一名高級特工偷偷潛入了一個黑產(chǎn)團伙，為了獲取有價值的情報信息，他日夜堅守在時刻存在危險的一線，甚至要偽裝成為黑產(chǎn)共同行動，在每一個行動中發(fā)現(xiàn)蛛絲馬跡，最后將這些信息匯總分析成有價值的情報傳回總部。

這也許是網(wǎng)絡安全、威脅情報領域最真實的寫照，這些特工們將更多的計算機網(wǎng)絡、云端和千千萬萬的算法模型構建出來的超級大腦，實時監(jiān)控和監(jiān)測那些不法分子的入侵，獲取有價值的信息和情報，將這些團伙一網(wǎng)打盡。

目前的網(wǎng)絡安全正在向數(shù)據(jù)化、云端化、實戰(zhàn)化的方向發(fā)展，對于企業(yè)而言，有效的入侵檢測是不可或缺的能力，建立全面可持續(xù)的威脅監(jiān)控，及時掌握來自網(wǎng)絡的未知威脅情報，是企業(yè)安全戰(zhàn)略中的關鍵一環(huán)。雷鋒網(wǎng)雷鋒網(wǎng)

為更進一步了解威脅情報行業(yè)的發(fā)展及技術突破，雷鋒網(wǎng)和微步在線CEO薛鋒聊了聊，并讓他為我們深度解讀威脅情報（特工）領域（真實生活）的發(fā)展狀態(tài)。

威脅情報的“神秘面紗”

很多企業(yè)，甚至是安全廠商認為威脅情報是一個很抽象、很神秘的概念，但是威脅情報在網(wǎng)絡安全市場卻并不陌生。威脅情報針對威脅者利用惡意軟件、漏洞，收集用于評估和檢測的數(shù)據(jù)，這些情報數(shù)據(jù)能夠讓安全團隊更快地響應攻擊和緊急威脅，幫助企業(yè)優(yōu)化漏洞修復，制定安全防控策略。

 “我經(jīng)常用這個比喻，威脅情報就像 AI 技術，當我們談這樣一個抽象的技術時，其實很難理解它到底有什么用，或是如何落地的，因為它是一個底層技術。但是如果我們將這技術應用在一個系統(tǒng)中，告訴客戶可以實現(xiàn)什么樣的功能，他們就很容易理解。” 薛鋒表示。

其實無論是威脅情報，還是 AI、大數(shù)據(jù)分析，這些技術都能派生出其獨立產(chǎn)品，并改變行業(yè)生態(tài)。威脅情報也會滲入到很多安全產(chǎn)品中，如WAF、IDS、SOC等，最終在后臺“施展拳腳”。

一個典型的例子就是 CrowdStrike 公司，這家終端公司的背后有強大的威脅情報平臺作為支撐，他們會將威脅情報轉化為一個終端或是一套軟件呈現(xiàn)給客戶，幫助用戶解決安全問題，情報能力與呈現(xiàn)給公司的產(chǎn)品落地場景不太一樣。

在威脅情報的應用中，用戶拿到的是威脅情報廠商分析之后的結果和信息，而不是制造和研究情報的能力模型，相比于內(nèi)部的核心算法，用戶更在乎的是威脅情報的結果，至于底層分析的引擎，用戶不關心。雖然用戶看不到實際的威脅情報，但是在他們購買并使用產(chǎn)品之后威脅情報的“使命”就已經(jīng)開始，這也是威脅情報保持“神秘面紗”的重要原因之一。

但是，對于有些行業(yè)的公司來說，很看重自身核心業(yè)務的數(shù)據(jù)安全，根據(jù)微步在線的經(jīng)驗，薛鋒將其分為兩種情況。“在威脅情報項目落地時，一種是比較理想化的場景，用戶的環(huán)境和數(shù)據(jù)與微步在線的云端進行連接，這種情況的前提就是用戶的數(shù)據(jù)敏感度不高，并且充分信任我們的環(huán)境。另一種情況就是客戶的數(shù)據(jù)我們不能對接，此時就需要一種落地的方式，將前端的處理方式在用戶的環(huán)境里落地，將獲取的信息情報單向推送給用戶?！?/p>

很多涉及到信息安全的產(chǎn)品后臺都有多個開關，允許用戶去調配，設定用戶與產(chǎn)品之間有多大程度的聯(lián)通，是單向還是雙向，是充分還是一半，這是需要向用戶公開的。以微步在線為例，在云端上傳的用戶信息，都要有用戶的審核，需要在用戶知情的情況下進行，這是對用戶信息與隱私的尊重，更是在開展威脅情報落地中不容忽視的一點。

1000萬獎勵計劃

在開展威脅情報服務中存在一個巨大的“黑戶”——黑產(chǎn)，為了能夠更好地在云端進行安全防護，與這些“心腹大患”對抗，微步在線在“2019網(wǎng)絡安全分析與情報大會”現(xiàn)場向社會發(fā)起了1000萬情報獎勵計劃。

薛鋒坦言稱：“全國每天有那么多生產(chǎn)在活動，受騙的人遠比我們想象中的要多，但是我們微步在線本身沒有那么多人，所以我們希望一些技術人員可以將掌握的有價值的情報信息展現(xiàn)出來。”

這個獎勵計劃本質上是一種有償?shù)那閳蠊蚕硇袨?，利用眾人的智慧，共同“圍剿”黑產(chǎn)。薛鋒表示，這個獎勵計劃實行匿名制度，在不觸碰用戶隱私的情況下挖出黑產(chǎn)們的不合法行為。

“有的情報可能要幾十塊錢，有的則要幾萬塊，我們根據(jù)用戶給我們東西的價值去決定獎勵的金額。目前這個計劃已經(jīng)上線了一個星期，但是第一天就已經(jīng)收到了十幾個用戶提交的線索，其中包括IP、木馬情報和境外團伙等。從整體上來看，雖然這個計劃是面向全社會，但是最終參與者一般都是技術人員，一方面其他人可能對這個并不感興趣，另一方面他們手里并不掌握這一方面的線索?！?/p>

在薛鋒看來，這個計劃能夠吸引到一批技術人員是一件值得高興的事情，這讓威脅情報“更接地氣兒”，他稱看到了情報威脅領域內(nèi)存在的活力、熱情和希望。

“在網(wǎng)絡安全中存在問題有很多，解決辦法有很多，遇到的困難也會很多；發(fā)動群眾的智慧，進行眾包是一個比較省力的辦法。但是沒有人愿意無償?shù)鼗敲炊嘈乃既プ?，因而需要一個平臺，一種全新的方式把這個機制撬動起來，以推動情報共享。”

實際上，在情報共享方面，微步在線早就與很多大型公司、安全廠商有所行動。去年 7 月，中國互聯(lián)網(wǎng)協(xié)會成立威脅情報共享工作組，微步在線作為組長單位；此外，微步在線還與平安、萬能鑰匙 wifi、奇安信、數(shù)字觀星，以及上海的一些單位共同成立了一個威脅情報共享聯(lián)盟，共享情報信息。

“但其實這些共享平臺的直接共享性還是有一定的難度。一方面，任何數(shù)據(jù)共享都需要去衡量付出和收獲的比例，如果無法衡量的話，每個成員機構都會只考慮自身利益而忘記顧全大局。另一方面，怎么轉化十個情報跟一個情報的重要性比例？這其中存在著公平問題、動機問題，都是很難解決的。”

雖然這些問題沒有一個完美的解決方案，但這些聯(lián)盟也已經(jīng)開展了很多的工作，比如中國互聯(lián)網(wǎng)協(xié)會的威脅情報共享工作組，成員單位之間有統(tǒng)一標準、統(tǒng)一接口、統(tǒng)一語言，雖然還遠達不到很多人期望或者理想的狀態(tài)，但實則已在推動整個行業(yè)的發(fā)展。

“賦能”國內(nèi)威脅情報

威脅情報的發(fā)展離不開社會的關注，最近國內(nèi)推出了等保2.0，其中首次出現(xiàn)了對“威脅情報檢測系統(tǒng)”和“威脅情報庫”的要求。在薛鋒看來，威脅情報檢測系統(tǒng)進入等保合規(guī)里并提出新的要求，這是等保2.0擁抱新技術的一個標志，也是威脅情報行業(yè)在國內(nèi)逐步走向標準化、正規(guī)化和法制化的開端。

威脅情報在國內(nèi)起步較晚，在國內(nèi)，很少有人愿意花錢去買這樣的服務，但是仍舊有很多安全廠商持續(xù)去做。薛鋒稱，對于微步在線而言，不僅要在技術上保持持續(xù)更迭，還要不斷探索商業(yè)化道路，研究產(chǎn)品的落地形態(tài)，深挖用戶需求。

“威脅情報需要考慮的是最終到用戶的手里的東西，是否能夠解決用戶的需求。否則情報再厲害，如果不能滿足用戶所需，也不會體現(xiàn)價值。隨著OneDNS正式落地，在業(yè)務落地方面的場景和產(chǎn)品化的能力上還要做更多的持續(xù)改進和提升?！?/p>

目前，微步在線主要是對已有算法和模型的應用，將這些技術應用到網(wǎng)絡安全中，薛鋒表示微步要與AI相結合，更好地實現(xiàn)業(yè)務場景的展示。在提到微步在線如何保持威脅情報競爭力時，薛鋒指出了四個方面：

第一個是數(shù)據(jù)化，很多東西是數(shù)據(jù)化沉淀的結果，這些是別人不能輕易超越的東西；

第二個是模型化，在實踐中摸索和打磨出來的模型是別人短時間內(nèi)追趕不上；

第三個就是產(chǎn)品化，模型的提升永無止境，而產(chǎn)品化是產(chǎn)生競爭差異的關鍵點，這一點跟數(shù)據(jù)化一樣重要；

第四個就是人才的培養(yǎng)，在威脅情報領域不僅要對技術，包括機器學習和深度學習有所掌握，還要理解安全行業(yè)的業(yè)務，綜合性人才的培養(yǎng)是保持競爭力重要因素。

面對國內(nèi)市場的現(xiàn)狀，薛鋒看到了威脅情報在國內(nèi)網(wǎng)絡安全市場發(fā)展的可行性和發(fā)展空間，而威脅情報的重要性也在全球化網(wǎng)絡環(huán)境中以越來越清晰的態(tài)勢展呈現(xiàn)出來。對于企業(yè)而言，把握好威脅情報，對企業(yè)網(wǎng)絡安全和社會網(wǎng)絡安全都將具有重大意義。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權禁止轉載。詳情見轉載須知。