“珍珠港事件是美國情報史上最失敗的一戰(zhàn)，這樣的失敗不會再發(fā)生。”電影《決戰(zhàn)中途島》中有這樣一句臺詞，指出了情報對戰(zhàn)爭走勢的重大意義。

圖（影視資料）：情報在中途島海戰(zhàn)中發(fā)揮關鍵作用

從偷襲珍珠港到中途島海戰(zhàn)，恰恰對應了情報工作的正反兩個案例。在珍珠港海戰(zhàn)中，美國忽視了提前獲得的情報，導致海軍損失慘重；相反，到中途島海戰(zhàn)，美軍提前破獲重要情報，分析出日軍意圖并提前籌備部署，最終大獲全勝，一舉扭轉了二戰(zhàn)的局勢。

從兩場結局迥異的戰(zhàn)爭不難發(fā)現(xiàn)，情報獲取固然必要，而情報的分析、判別和處理能力，才是重中之中。在如今網(wǎng)絡空間的攻防戰(zhàn)場上，威脅情報，早已成為網(wǎng)絡安全防御體系中不可或缺的組成部分，而如何用好威脅情報、充分發(fā)揮好威脅情報的作用，也成為業(yè)內(nèi)探討的焦點。

從狂熱到冷靜 威脅情報的5年“起起伏伏”

當今，隨著數(shù)字經(jīng)濟的發(fā)展和數(shù)字化轉型的深入、數(shù)據(jù)資產(chǎn)的不斷增大和數(shù)字業(yè)務的增加，以數(shù)據(jù)為目標的網(wǎng)絡攻擊愈演愈烈，商業(yè)利益訴求和恐怖破壞目的交織，組織化攻擊和網(wǎng)絡犯罪交織威脅呈現(xiàn)多樣化、未知性態(tài)勢，建立實戰(zhàn)化的攻防能力體系已是大勢所趨。

圖：威脅情報是高級網(wǎng)絡安全能力的標配

“在實戰(zhàn)化攻防中，威脅情報正在成為一種必要技術和手段?！痹诓痪们捌姘残诺腡I INSIDE計劃發(fā)布會上，奇安信集團總裁吳云坤表示?！皽蚀_有效的威脅情報能夠幫助企業(yè)實現(xiàn)對各類威脅的實時檢測、主動防御、提前預警、快速響應，實現(xiàn)從被動防御體系向積極防御體系的轉變?！?/p>

但在現(xiàn)實中，威脅情報在國內(nèi)的發(fā)展并非一帆風順。

“雖然威脅情報進入中國市場的時間不長，僅有5年時間，卻已經(jīng)歷了從懵懂期待到狂熱追捧，再到回歸冷靜理性的三個階段?！?奇安信威脅情報中心負責人汪列軍認為。

圖：威脅情報的三個發(fā)展時期

據(jù)汪列軍回憶，威脅情報最早概念的提出，來自于2014年Gartner在《安全威脅情報服務市場指南》的論述。2015年前后，它這個全新概念被引入國內(nèi)市場，到2017年、2018年，國內(nèi)對于威脅情報的關注達到了一個空前高峰，甚至出現(xiàn)了“威脅情報萬能論”的狂熱論點。

圖：Gartner發(fā)布的2019年威脅情報發(fā)展趨勢

汪列軍認為，威脅情報之所以受熱捧，得益于它能夠“料敵預先”，在理論上可以改變攻守不對等的局面，所以業(yè)界對威脅情報的期望很高。另一方面，專業(yè)機構也在為其推波助瀾。從Gartner發(fā)布的《全球威脅情報市場指南》、到SANS的每年發(fā)布的《網(wǎng)絡威脅情報調(diào)查》，再到多家專業(yè)廠商接連發(fā)布報告，威脅情報急劇升溫。而在去年RSA大會上，威脅情報上升至熱詞榜第七位。

“當時我去參加國內(nèi)外大的安全展會，威脅情報幾乎無處不在，各種防火墻、IDS、終端安全、SOC等等產(chǎn)品，都集成了威脅情報模塊，已經(jīng)到了‘言必稱威脅情報’的地步?！蓖袅熊姳硎?。

“過度的贊譽是一種捧殺”，這種威脅情報的“大躍進”式普及，也給發(fā)展帶來隱憂。據(jù)介紹，很多客戶匆忙上了威脅情報功能，卻抱怨不好用、不會用，尤其是部分安全產(chǎn)品集成了威脅情報后，產(chǎn)生了大量的告警和誤報，搞得安全人員不堪重負，甚至得出威脅情報‘沒用’的結論。

“威脅情報具有相當?shù)拈T檻，對使用者要求比較高。”汪列軍表示，“如果沒有專業(yè)的情報分析和安全運營團隊，就很難發(fā)揮其本身的作用。”

威脅情報市場仍在增長 客戶需求更加多元

經(jīng)過了2017年至2018年的狂熱之后，到2019和2020年，威脅情報市場潮水退卻，進入了理性冷靜期。不過，奇安信威脅情報中心認為該領域的市場需求依然很大。根據(jù)美國安全研究機構SANS發(fā)布的《威脅情報的演進：2019應用調(diào)研報告》顯示：81%的受訪者認為威脅情報改善了企業(yè)的安全檢測與響應能力。這與前一年的60%相比有大幅的增長，這證明威脅情報的有效性得到高度認同。

圖：SANS對威脅情報的應用調(diào)研

威脅情報被認同的同時，用戶的需求也在不斷分化。SANS今年發(fā)布的《2020年網(wǎng)絡威脅情報現(xiàn)狀調(diào)研報告》顯示，40%的受訪者既消費情報也生產(chǎn)情報，——這是威脅情報領域日益成熟和專業(yè)化的重要標志。但對于大量的中小組織機構而言，普通的情報訂閱服務即可滿足他們的需求。而根據(jù)Gartner對用戶群的預測，中型組織和小型IT團隊對情報的需求會成為未來高速增長的一部分市場。

“我們不能讓每一個用戶讓他們都成為情報專家，所以需要更多元化的滿足不同類型組織機構的需求?！蓖袅熊姳硎?。

TI INSIDE計劃發(fā)布 致力于降低威脅情報門檻  

為了讓更多客戶用好威脅情報，2020年初，奇安信提出了“情報內(nèi)生”的觀點，并指出：基于內(nèi)部信息化和業(yè)務系統(tǒng)實現(xiàn)“情報內(nèi)生”，構建內(nèi)生安全能力，將成為實現(xiàn)和提升高級威脅檢測的必要條件。同時，情報內(nèi)生也是應對高級威脅的必然需求。

“在實戰(zhàn)化攻防環(huán)境下，威脅情報如果沒有與內(nèi)部信息化、業(yè)務和安全數(shù)據(jù)有效結合，情報將是一個空殼，無法落地。”吳云坤表示，“威脅情報不僅需要互聯(lián)網(wǎng)數(shù)據(jù)，還要考慮把信息化數(shù)據(jù)、業(yè)務數(shù)據(jù)和安全數(shù)據(jù)結合在一起，將信息化技術、人員和流程緊密結合，這對于很多組織機構而言，門檻較高。”

SANS《2020年網(wǎng)絡威脅情報現(xiàn)狀調(diào)研報告》也發(fā)現(xiàn)，制約威脅情報應用的原因有很多，其中占到57%的首要因素，是缺乏專業(yè)的員工和能充分利用威脅情報的經(jīng)驗。操作難度問題/自動化水平差、在管理方面缺少足夠支持、缺少自動化報告高管層的能力等等，也占了很大比例。受訪者普遍認為，“人、工具、流程相互配合及內(nèi)外部團隊合作，是有效使用威脅情報的關鍵”。

那么，如何降低用戶威脅情報消費的門檻？如何讓更多用戶更加便捷的使用威脅情報？中小廠商沒有安全分析師又該怎么玩情報？中小廠商沒有大數(shù)據(jù)怎么玩情報？ 2020年6月29日，奇安信面向威脅信息共享交換聯(lián)盟（TIXA聯(lián)盟）內(nèi)的生態(tài)合作伙伴，發(fā)起了威脅情報技術應用2.0 ----TI INSIDE計劃，旨在降低威脅情報的消費門檻，助力行業(yè)生態(tài)健康發(fā)展。

圖：由奇安信發(fā)布的TI INSIDE計劃

據(jù)介紹，TI INSIDE計劃分為三個層面，在技術實現(xiàn)層面，通過SDK和API接口開發(fā)集成來實現(xiàn)開放；在合作方面，它將面向TIXA聯(lián)盟內(nèi)合作伙伴或者其他有意愿加入聯(lián)盟的合作伙伴；而在能力輸出方面，該計劃將開放奇安信的核心威脅情報檢測能力，以吸引更多的伙伴加入。

TI INSIDE計劃體現(xiàn)了奇安信開放協(xié)同、共建共贏的理念，迅速得到主管部門、行業(yè)協(xié)會、合作伙伴以及核心客戶的積極反饋。中國網(wǎng)絡空間安全協(xié)會副秘書長張健指出，目前威脅情報的共享和產(chǎn)業(yè)協(xié)同方面，存在明顯的短板，其中重要原因是“競爭大于合作，封閉分散大于開放聯(lián)動”，“TI INSIDE”計劃是產(chǎn)業(yè)內(nèi)技術合作、聯(lián)動防御的一次有益的嘗試，對加強最終用戶的安全建設與檢測能力，大有裨益，也利于進一步提升行業(yè)的整體防御能力基線。

盛邦安全CEO權小文也持同樣觀點。他認為，國內(nèi)有數(shù)十家威脅情報廠商，不可避免出現(xiàn)重復造輪子的情況，而高質(zhì)量的情報不能靠單打獨斗，而需要生態(tài)合作，強強合作，實現(xiàn)團隊協(xié)同作戰(zhàn)，開放的心態(tài)和行動至關重要。

TI INSIDE計劃將驅(qū)動威脅情報下一輪增長

達爾文《進化論》曾說過一句話----世界上最后能生存的生物，不是最強的，也不是智慧最高的，而是適應能力最強的。汪列軍認為，在威脅情報的新賽道之上，誰能夠解決并降低用戶側的情報消費門檻，誰能最滿足、最適合普通用戶的切實需求，誰將在未來的威脅情報市場上占據(jù)主導地位。

“通過TI INSIDE計劃，我們希望將威脅情報中心6年來的數(shù)據(jù)積累、技術、能力、專家，尤其是威脅情報實戰(zhàn)經(jīng)驗固化形成平臺，以平臺化和標準化的方式，服務于客戶和生態(tài)合作伙伴，能夠有效降低威脅情報應用的門檻，加速威脅情報的普及，進而提高國內(nèi)整體的網(wǎng)絡安全防護水平，并推動威脅情報市場進入新一輪的高速增長時期?！蓖袅熊姳硎?。    

雷鋒網(wǎng)雷鋒網(wǎng)

雷峰網(wǎng)版權文章，未經(jīng)授權禁止轉載。詳情見轉載須知。