有一個(gè)不幸的消息。

小王在某公司安全運(yùn)營(yíng)部上班，因?yàn)橄脲X少、事多、離家遠(yuǎn)，最近他想離職了。

換工作本身并沒有什么不幸，但可怕的是，他的小秘密被老板發(fā)現(xiàn)了……

悲劇是這樣發(fā)生的——

小綠：張主任，您好，今天公布了一個(gè)Web應(yīng)用漏洞，編號(hào)是CVE-2017-XXX，如果被利用，將會(huì)被遠(yuǎn)程執(zhí)行任意代碼，后果非常嚴(yán)重。您公司的安全運(yùn)維接口人王工已經(jīng)在今天早晨7點(diǎn)55分，漏洞公布后的5分鐘內(nèi)，收到了我們的安全通告郵件和短信。我們有下列安全建議和配置：blablabla……

張主任：我讓小王立刻進(jìn)行配置。

小綠：最近王工是不是有什么心事？或者想離職？

張主任：啊，你怎么知道？他剛剛提出離職。

小綠：云端情報(bào)顯示，他和以前不太一樣，以前新設(shè)備入網(wǎng)，規(guī)則配置的相當(dāng)及時(shí)，基本在一小時(shí)內(nèi)完成；最近3天，都需要一天才完成，我們每隔一小時(shí)會(huì)發(fā)送短信提醒。另外，他從文檔服務(wù)器上下載了大量密級(jí)很高的文件，并發(fā)給一個(gè)他不常用的郵箱。

張主任：……

不過，這并不是一個(gè)真實(shí)的故事，但這是一個(gè)未來可能發(fā)生的故事。如果是一個(gè)真實(shí)的故事，小王可能會(huì)因?yàn)樯嫦颖I竊公司機(jī)密被警察蜀黍帶走……

2017年初，綠盟科技副總裁周凱去了趟美國(guó)RSA大會(huì)，今年這個(gè)大會(huì)有3萬人參加、600多個(gè)參展商搞起來代表安全商業(yè)走勢(shì)的盛大會(huì)議上，和威脅情報(bào)相關(guān)的參展商就有151個(gè)。

這說明了什么？安全廠商都覺得威脅情報(bào)是門大生意啊！于是，周凱在 3月28日 RSA 熱點(diǎn)研討會(huì)上講述了小王的故事。

雷鋒網(wǎng)宅客頻道編輯小李以為，坐下來一聊，周凱就要來一波威脅情報(bào)的安（guang）利（gao）。結(jié)果，他從頭到尾強(qiáng)調(diào)了五次“威脅情報(bào)不能預(yù)測(cè)接下來要發(fā)生的攻擊”，并擺出了拒絕的樣子：

“誰要是和你說，威脅情報(bào)能百分百預(yù)測(cè)接下來哪里要發(fā)起攻擊，他們一定是騙子！”

那……它有什么用？為什么各大廠商一副動(dòng)手搶江山的架勢(shì)？

 2017RSA搶這塊蛋糕是怎么回事

信息安全業(yè)界面對(duì)著紛繁復(fù)雜的形勢(shì)，越來越意識(shí)到：僅僅防御是不夠的，更加需要持續(xù)地檢測(cè)與響應(yīng)。而要做到更有效的檢測(cè)與更快速的響應(yīng)，要做到這一點(diǎn)，得拿到至關(guān)重要的威脅情報(bào)！

比如，兩軍交戰(zhàn)，總要有人刺探軍情對(duì)不對(duì)？所以，各大廠商當(dāng)然要搶占這個(gè)蛋糕！

但是，安全領(lǐng)域的威脅情報(bào)比較坑爹：又不是時(shí)時(shí)能派人臥底攻擊者內(nèi)部?。m然可能有，但絕對(duì)不是大多數(shù)，你以為人人都能無間道？）

于是，大家就使出渾身解數(shù)來搜集各類信息，甚至，可能僅僅看到蛛絲馬跡，200塊拼圖只拿到其中的幾十塊，在強(qiáng)大的分析之下，有一定幾率知道敵人可能瞄上了你的哪塊肥肉，從而提醒你做出準(zhǔn)備和響應(yīng)。

說白了，威脅情報(bào)就是揭露一個(gè)企業(yè)、組織，乃至一個(gè)國(guó)家網(wǎng)絡(luò)資產(chǎn)的脆弱面，它也有可能在某一段特殊時(shí)間內(nèi)發(fā)現(xiàn)你可能會(huì)遭到某種類型的攻擊。

比如，小明家失火了，你家也跟小明家一樣有類似的安全隱患，最近天干物燥，它能指點(diǎn)你哪哪不對(duì)，要消除火災(zāi)隱患。

據(jù)周凱介紹，現(xiàn)在，威脅情報(bào)主要承擔(dān)這些方面的重任：

• 情報(bào)查詢：告訴大家世界發(fā)生了什么

• 威脅監(jiān)測(cè)：童鞋，你家設(shè)備暴露在公網(wǎng)上了你知道嗎？ 你這些資產(chǎn)（IP/域名/URL）的信譽(yù)怎么樣？來來來，我告訴你。

• 情報(bào)機(jī)讀：不光要告訴管理的安全人員，我們對(duì)待機(jī)器也要“一視同仁”，這位機(jī)器童鞋，我給你同步一下信息。管理平臺(tái)不要急，你也有份，直接通過 API 喂飽你。

• 情報(bào)資訊：敲小黑板了，最近大家要注意這些熱點(diǎn)威脅，哎喲，你看又暴露了這些漏洞、木馬，我來給你分析分析。告訴你，最近這一陣子不大太平，有這些安全趨勢(shì)blabla…… 對(duì)了，還有這些高級(jí)情報(bào)，算了，我偷偷說給你聽。

• ……

周凱說，威脅情報(bào)是一個(gè)企業(yè)、組織、國(guó)家在飛速發(fā)展的網(wǎng)絡(luò)空間中做好安全防范的加分項(xiàng)，但這個(gè)加分項(xiàng)很重要。

還記得美國(guó)東部的那場(chǎng)大斷網(wǎng)嗎？

2016年10月，美國(guó)全境，從東海岸的波士頓紐約費(fèi)城華盛頓，到西海岸的洛杉磯舊金山甚至和北京關(guān)系不錯(cuò)的西雅圖互聯(lián)網(wǎng)服務(wù)全面宕機(jī)。Twitter、Tumblr、Netflix、亞馬遜、Shopify、Reddit、Airbnb、PayPal 和 Yelp 等熱門網(wǎng)站都沒有幸免，無一能登陸。

后來，人們發(fā)現(xiàn)，這次大斷網(wǎng)源于有人利用大量智能硬件，尤其是監(jiān)控設(shè)備的通用漏洞，通過代碼，同時(shí)控制大規(guī)模的設(shè)備發(fā)起了 DDoS（分布式拒絕服務(wù)）攻擊。

周凱透露，其實(shí)早在大斷網(wǎng)事件發(fā)生的一個(gè)星期前，他們就發(fā)現(xiàn)黑客侵入了很多攝像頭，有這些漏洞存在，而且這些入侵都是惡意入侵！

這就是威脅情報(bào)，這場(chǎng)風(fēng)雨遲早會(huì)來，雖然他們并不能預(yù)計(jì)發(fā)動(dòng)這場(chǎng)攻擊的具體規(guī)模和確切時(shí)間。

專注攻防對(duì)抗15年的老司機(jī)、綠盟科技的高級(jí)副總裁葉曉虎也曾對(duì)雷鋒網(wǎng)小李說過，一個(gè)關(guān)鍵機(jī)構(gòu)或社會(huì)基礎(chǔ)設(shè)施如果遭遇大規(guī)模網(wǎng)絡(luò)襲擊，將產(chǎn)生巨大的社會(huì)影響。比如，一個(gè)水務(wù)網(wǎng)絡(luò)的關(guān)鍵網(wǎng)站，如果遭到攻擊怎么辦？我都不敢想。

威脅情報(bào)也許就能“治療未病”，將災(zāi)難扼殺在萌芽中。

為什么不是“神算子”？

既然威脅情報(bào)那么重要，為什么你又告訴我不能百分百預(yù)測(cè)？

童鞋們，你們以為情報(bào)是那么容易拿到的么？

在威脅情報(bào)領(lǐng)域，各大廠商都是“盲人摸象”，只能得到一部分信息，并不能窺全貌。所以，情報(bào)的分析和共享就成了關(guān)鍵。

哎呀，不就是你把茄子送給我，我把洋蔥拿給你，大家互相給一給就好了嘛！但是，不是所有廠商都能心甘情愿地分享各類安全情報(bào)，祭出自己的優(yōu)勢(shì)資源?！肮蚕怼睜砍兜椒椒矫婷?，不僅是廠商的“鍋”。

還有，一些關(guān)鍵的流量信息，受到“無形的手”制約，并不能被“共享”。

一個(gè)小疑問又蹦出來：又不是要拿全世界、全中國(guó)的信息，如果只是為了一個(gè)特定目標(biāo)服務(wù)，也搞不到關(guān)于它的所有威脅情報(bào)嗎？

真！的！搞！不！到！

周凱說，這個(gè)目標(biāo)如果能提供詳盡的內(nèi)部信息，還是非常利于針對(duì)它做威脅情報(bào)的，比如，它要提供網(wǎng)絡(luò)層面、操作系統(tǒng)、中間面、數(shù)據(jù)庫(kù)層面、底層設(shè)計(jì)等眾多信息。但是——從成本的角度看，不可能時(shí)時(shí)刻刻都能監(jiān)測(cè)到方方面面！

人工智能是答案嗎？

然而，迫在眉捷的是——周凱擔(dān)憂，每個(gè)威脅情報(bào)的提供商都有自己的優(yōu)勢(shì)、強(qiáng)項(xiàng)，也都有自己專注的領(lǐng)域。如果不分享，整合或統(tǒng)一管理威脅情報(bào)，每一個(gè)提供商都是缺失信息的，只不過是信息缺失的多少而已。這意味著，在拼出對(duì)抗攻擊者最關(guān)鍵的線索前，可能永遠(yuǎn)缺少一張有信息含量的拼圖！

最理想的狀態(tài)是，應(yīng)對(duì)一場(chǎng)潛在的網(wǎng)絡(luò)攻擊，能分析全流量，獲取基礎(chǔ)數(shù)據(jù)源，不僅僅是與安全有關(guān)的信息，靈敏地找到攻擊源頭、攻擊路徑，甚至能定位到是哪些設(shè)備參與了攻擊，知道設(shè)備類型、生產(chǎn)廠商、哪些設(shè)備在線等。

除了分享能促進(jìn)威脅情報(bào)真的成為 001級(jí)別的密探，現(xiàn)在大家又將目光投向了人工智能，希望能夠借此幫助威脅情報(bào)從看似紛雜的信息的海洋里成功游到“有效信息”的彼岸。

不僅僅是幫助分析各種惡意樣本。

葉曉虎告訴雷鋒網(wǎng)：

安全從業(yè)者目前正在引入人工智能對(duì)數(shù)據(jù)、網(wǎng)絡(luò)流量、設(shè)備、終端服務(wù)器的日志等進(jìn)行分析，建立對(duì)應(yīng)模型等，抓出蛛絲馬跡。

但是，人工智能不是萬能藥。

周凱說，對(duì)人工智能助力威脅情報(bào)現(xiàn)階段的發(fā)展不能抱有太高期望。

“阿法狗對(duì)弈圍棋高手，面對(duì)的是清晰的規(guī)則，可獲取各種高質(zhì)量的棋譜，還能自我學(xué)習(xí)，大規(guī)?？焖俑纳扑惴ǎ岣咂逅?，戰(zhàn)勝人類。安全領(lǐng)域比較特殊，對(duì)手都是極其聰明的人，機(jī)器面對(duì)的不是既定規(guī)則，而是一個(gè)個(gè)想盡辦法不守規(guī)則的攻擊者，一種種防不勝防的攻擊手法?！?/p>

周凱感嘆：雖然很難，但人工智能助力威脅情報(bào)是大趨勢(shì)之一，我們要抱有謹(jǐn)慎的樂觀。

• 采訪后記

威脅情報(bào)，錦上添花。

雷鋒網(wǎng)宅客頻道編輯小李問周凱：怎么衡量與感受威脅情報(bào)的用處？你們會(huì)因效果評(píng)估困擾嗎？

周凱答：雖然也會(huì)有一些客戶反饋效果，但是，威脅情報(bào)和網(wǎng)絡(luò)安全的其他手段一樣，告訴大家脆弱面在哪里？不斷改進(jìn)，抵抗住了攻擊，或者期待的那場(chǎng)攻擊永遠(yuǎn)沒有來臨，這就是最好的消息。

你永遠(yuǎn)也感受不到一場(chǎng)將發(fā)而未發(fā)的攻擊的威力，但這卻是威脅情報(bào)最大的用處。

或許，這個(gè)故事會(huì)給我們一些啟示：

魏文王問名醫(yī)扁鵲：“你家兄弟三人，都精于醫(yī)術(shù)，到底哪一位最好呢？”

扁鵲答：“長(zhǎng)兄最佳，中兄次之，我最差。”

文王再問：“那為什么你最出名呢？”

扁鵲答：“長(zhǎng)兄治病，于病情發(fā)作之前，一般人不知道他事先能鏟除病因，所以他的名氣無法傳出去；中兄治病，于病情初起時(shí)，一般人以為他只能治輕微的小病，所以他的名氣只及本鄉(xiāng)里；而我是治病于病情嚴(yán)重之時(shí)，一般人都看到我下針放血、用藥教藥，都以為我醫(yī)術(shù)高明，因此名氣響遍全國(guó)。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。