“珍珠港事件是美國(guó)情報(bào)史上最失敗的一戰(zhàn)，這樣的失敗不會(huì)再發(fā)生?！彪娪啊稕Q戰(zhàn)中途島》中有這樣一句臺(tái)詞，指出了情報(bào)對(duì)戰(zhàn)爭(zhēng)走勢(shì)的重大意義。

圖（影視資料）：情報(bào)在中途島海戰(zhàn)中發(fā)揮關(guān)鍵作用

從偷襲珍珠港到中途島海戰(zhàn)，恰恰對(duì)應(yīng)了情報(bào)工作的正反兩個(gè)案例。在珍珠港海戰(zhàn)中，美國(guó)忽視了提前獲得的情報(bào)，導(dǎo)致海軍損失慘重；相反，到中途島海戰(zhàn)，美軍提前破獲重要情報(bào)，分析出日軍意圖并提前籌備部署，最終大獲全勝，一舉扭轉(zhuǎn)了二戰(zhàn)的局勢(shì)。

從兩場(chǎng)結(jié)局迥異的戰(zhàn)爭(zhēng)不難發(fā)現(xiàn)，情報(bào)獲取固然必要，而情報(bào)的分析、判別和處理能力，才是重中之中。在如今網(wǎng)絡(luò)空間的攻防戰(zhàn)場(chǎng)上，威脅情報(bào)，早已成為網(wǎng)絡(luò)安全防御體系中不可或缺的組成部分，而如何用好威脅情報(bào)、充分發(fā)揮好威脅情報(bào)的作用，也成為業(yè)內(nèi)探討的焦點(diǎn)。

從狂熱到冷靜 威脅情報(bào)的5年“起起伏伏”

當(dāng)今，隨著數(shù)字經(jīng)濟(jì)的發(fā)展和數(shù)字化轉(zhuǎn)型的深入、數(shù)據(jù)資產(chǎn)的不斷增大和數(shù)字業(yè)務(wù)的增加，以數(shù)據(jù)為目標(biāo)的網(wǎng)絡(luò)攻擊愈演愈烈，商業(yè)利益訴求和恐怖破壞目的交織，組織化攻擊和網(wǎng)絡(luò)犯罪交織威脅呈現(xiàn)多樣化、未知性態(tài)勢(shì)，建立實(shí)戰(zhàn)化的攻防能力體系已是大勢(shì)所趨。

圖：威脅情報(bào)是高級(jí)網(wǎng)絡(luò)安全能力的標(biāo)配

“在實(shí)戰(zhàn)化攻防中，威脅情報(bào)正在成為一種必要技術(shù)和手段。”在不久前奇安信的TI INSIDE計(jì)劃發(fā)布會(huì)上，奇安信集團(tuán)總裁吳云坤表示?！皽?zhǔn)確有效的威脅情報(bào)能夠幫助企業(yè)實(shí)現(xiàn)對(duì)各類(lèi)威脅的實(shí)時(shí)檢測(cè)、主動(dòng)防御、提前預(yù)警、快速響應(yīng)，實(shí)現(xiàn)從被動(dòng)防御體系向積極防御體系的轉(zhuǎn)變?！?/p>

但在現(xiàn)實(shí)中，威脅情報(bào)在國(guó)內(nèi)的發(fā)展并非一帆風(fēng)順。

“雖然威脅情報(bào)進(jìn)入中國(guó)市場(chǎng)的時(shí)間不長(zhǎng)，僅有5年時(shí)間，卻已經(jīng)歷了從懵懂期待到狂熱追捧，再到回歸冷靜理性的三個(gè)階段?！?奇安信威脅情報(bào)中心負(fù)責(zé)人汪列軍認(rèn)為。

圖：威脅情報(bào)的三個(gè)發(fā)展時(shí)期

據(jù)汪列軍回憶，威脅情報(bào)最早概念的提出，來(lái)自于2014年Gartner在《安全威脅情報(bào)服務(wù)市場(chǎng)指南》的論述。2015年前后，它這個(gè)全新概念被引入國(guó)內(nèi)市場(chǎng)，到2017年、2018年，國(guó)內(nèi)對(duì)于威脅情報(bào)的關(guān)注達(dá)到了一個(gè)空前高峰，甚至出現(xiàn)了“威脅情報(bào)萬(wàn)能論”的狂熱論點(diǎn)。

圖：Gartner發(fā)布的2019年威脅情報(bào)發(fā)展趨勢(shì)

汪列軍認(rèn)為，威脅情報(bào)之所以受熱捧，得益于它能夠“料敵預(yù)先”，在理論上可以改變攻守不對(duì)等的局面，所以業(yè)界對(duì)威脅情報(bào)的期望很高。另一方面，專(zhuān)業(yè)機(jī)構(gòu)也在為其推波助瀾。從Gartner發(fā)布的《全球威脅情報(bào)市場(chǎng)指南》、到SANS的每年發(fā)布的《網(wǎng)絡(luò)威脅情報(bào)調(diào)查》，再到多家專(zhuān)業(yè)廠(chǎng)商接連發(fā)布報(bào)告，威脅情報(bào)急劇升溫。而在去年RSA大會(huì)上，威脅情報(bào)上升至熱詞榜第七位。

“當(dāng)時(shí)我去參加國(guó)內(nèi)外大的安全展會(huì)，威脅情報(bào)幾乎無(wú)處不在，各種防火墻、IDS、終端安全、SOC等等產(chǎn)品，都集成了威脅情報(bào)模塊，已經(jīng)到了‘言必稱(chēng)威脅情報(bào)’的地步?！蓖袅熊姳硎?。

“過(guò)度的贊譽(yù)是一種捧殺”，這種威脅情報(bào)的“大躍進(jìn)”式普及，也給發(fā)展帶來(lái)隱憂(yōu)。據(jù)介紹，很多客戶(hù)匆忙上了威脅情報(bào)功能，卻抱怨不好用、不會(huì)用，尤其是部分安全產(chǎn)品集成了威脅情報(bào)后，產(chǎn)生了大量的告警和誤報(bào)，搞得安全人員不堪重負(fù)，甚至得出威脅情報(bào)‘沒(méi)用’的結(jié)論。

“威脅情報(bào)具有相當(dāng)?shù)拈T(mén)檻，對(duì)使用者要求比較高。”汪列軍表示，“如果沒(méi)有專(zhuān)業(yè)的情報(bào)分析和安全運(yùn)營(yíng)團(tuán)隊(duì)，就很難發(fā)揮其本身的作用?！?/p>

威脅情報(bào)市場(chǎng)仍在增長(zhǎng) 客戶(hù)需求更加多元

經(jīng)過(guò)了2017年至2018年的狂熱之后，到2019和2020年，威脅情報(bào)市場(chǎng)潮水退卻，進(jìn)入了理性冷靜期。不過(guò)，奇安信威脅情報(bào)中心認(rèn)為該領(lǐng)域的市場(chǎng)需求依然很大。根據(jù)美國(guó)安全研究機(jī)構(gòu)SANS發(fā)布的《威脅情報(bào)的演進(jìn)：2019應(yīng)用調(diào)研報(bào)告》顯示：81%的受訪(fǎng)者認(rèn)為威脅情報(bào)改善了企業(yè)的安全檢測(cè)與響應(yīng)能力。這與前一年的60%相比有大幅的增長(zhǎng)，這證明威脅情報(bào)的有效性得到高度認(rèn)同。

圖：SANS對(duì)威脅情報(bào)的應(yīng)用調(diào)研

威脅情報(bào)被認(rèn)同的同時(shí)，用戶(hù)的需求也在不斷分化。SANS今年發(fā)布的《2020年網(wǎng)絡(luò)威脅情報(bào)現(xiàn)狀調(diào)研報(bào)告》顯示，40%的受訪(fǎng)者既消費(fèi)情報(bào)也生產(chǎn)情報(bào)，——這是威脅情報(bào)領(lǐng)域日益成熟和專(zhuān)業(yè)化的重要標(biāo)志。但對(duì)于大量的中小組織機(jī)構(gòu)而言，普通的情報(bào)訂閱服務(wù)即可滿(mǎn)足他們的需求。而根據(jù)Gartner對(duì)用戶(hù)群的預(yù)測(cè)，中型組織和小型IT團(tuán)隊(duì)對(duì)情報(bào)的需求會(huì)成為未來(lái)高速增長(zhǎng)的一部分市場(chǎng)。

“我們不能讓每一個(gè)用戶(hù)讓他們都成為情報(bào)專(zhuān)家，所以需要更多元化的滿(mǎn)足不同類(lèi)型組織機(jī)構(gòu)的需求?！蓖袅熊姳硎?。

TI INSIDE計(jì)劃發(fā)布 致力于降低威脅情報(bào)門(mén)檻  

為了讓更多客戶(hù)用好威脅情報(bào)，2020年初，奇安信提出了“情報(bào)內(nèi)生”的觀(guān)點(diǎn)，并指出：基于內(nèi)部信息化和業(yè)務(wù)系統(tǒng)實(shí)現(xiàn)“情報(bào)內(nèi)生”，構(gòu)建內(nèi)生安全能力，將成為實(shí)現(xiàn)和提升高級(jí)威脅檢測(cè)的必要條件。同時(shí)，情報(bào)內(nèi)生也是應(yīng)對(duì)高級(jí)威脅的必然需求。

“在實(shí)戰(zhàn)化攻防環(huán)境下，威脅情報(bào)如果沒(méi)有與內(nèi)部信息化、業(yè)務(wù)和安全數(shù)據(jù)有效結(jié)合，情報(bào)將是一個(gè)空殼，無(wú)法落地?！眳窃评け硎?，“威脅情報(bào)不僅需要互聯(lián)網(wǎng)數(shù)據(jù)，還要考慮把信息化數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)和安全數(shù)據(jù)結(jié)合在一起，將信息化技術(shù)、人員和流程緊密結(jié)合，這對(duì)于很多組織機(jī)構(gòu)而言，門(mén)檻較高?！?/p>

SANS《2020年網(wǎng)絡(luò)威脅情報(bào)現(xiàn)狀調(diào)研報(bào)告》也發(fā)現(xiàn)，制約威脅情報(bào)應(yīng)用的原因有很多，其中占到57%的首要因素，是缺乏專(zhuān)業(yè)的員工和能充分利用威脅情報(bào)的經(jīng)驗(yàn)。操作難度問(wèn)題/自動(dòng)化水平差、在管理方面缺少足夠支持、缺少自動(dòng)化報(bào)告高管層的能力等等，也占了很大比例。受訪(fǎng)者普遍認(rèn)為，“人、工具、流程相互配合及內(nèi)外部團(tuán)隊(duì)合作，是有效使用威脅情報(bào)的關(guān)鍵”。

那么，如何降低用戶(hù)威脅情報(bào)消費(fèi)的門(mén)檻？如何讓更多用戶(hù)更加便捷的使用威脅情報(bào)？中小廠(chǎng)商沒(méi)有安全分析師又該怎么玩情報(bào)？中小廠(chǎng)商沒(méi)有大數(shù)據(jù)怎么玩情報(bào)？ 2020年6月29日，奇安信面向威脅信息共享交換聯(lián)盟（TIXA聯(lián)盟）內(nèi)的生態(tài)合作伙伴，發(fā)起了威脅情報(bào)技術(shù)應(yīng)用2.0 ----TI INSIDE計(jì)劃，旨在降低威脅情報(bào)的消費(fèi)門(mén)檻，助力行業(yè)生態(tài)健康發(fā)展。

圖：由奇安信發(fā)布的TI INSIDE計(jì)劃

據(jù)介紹，TI INSIDE計(jì)劃分為三個(gè)層面，在技術(shù)實(shí)現(xiàn)層面，通過(guò)SDK和API接口開(kāi)發(fā)集成來(lái)實(shí)現(xiàn)開(kāi)放；在合作方面，它將面向TIXA聯(lián)盟內(nèi)合作伙伴或者其他有意愿加入聯(lián)盟的合作伙伴；而在能力輸出方面，該計(jì)劃將開(kāi)放奇安信的核心威脅情報(bào)檢測(cè)能力，以吸引更多的伙伴加入。

TI INSIDE計(jì)劃體現(xiàn)了奇安信開(kāi)放協(xié)同、共建共贏(yíng)的理念，迅速得到主管部門(mén)、行業(yè)協(xié)會(huì)、合作伙伴以及核心客戶(hù)的積極反饋。中國(guó)網(wǎng)絡(luò)空間安全協(xié)會(huì)副秘書(shū)長(zhǎng)張健指出，目前威脅情報(bào)的共享和產(chǎn)業(yè)協(xié)同方面，存在明顯的短板，其中重要原因是“競(jìng)爭(zhēng)大于合作，封閉分散大于開(kāi)放聯(lián)動(dòng)”，“TI INSIDE”計(jì)劃是產(chǎn)業(yè)內(nèi)技術(shù)合作、聯(lián)動(dòng)防御的一次有益的嘗試，對(duì)加強(qiáng)最終用戶(hù)的安全建設(shè)與檢測(cè)能力，大有裨益，也利于進(jìn)一步提升行業(yè)的整體防御能力基線(xiàn)。

盛邦安全CEO權(quán)小文也持同樣觀(guān)點(diǎn)。他認(rèn)為，國(guó)內(nèi)有數(shù)十家威脅情報(bào)廠(chǎng)商，不可避免出現(xiàn)重復(fù)造輪子的情況，而高質(zhì)量的情報(bào)不能靠單打獨(dú)斗，而需要生態(tài)合作，強(qiáng)強(qiáng)合作，實(shí)現(xiàn)團(tuán)隊(duì)協(xié)同作戰(zhàn)，開(kāi)放的心態(tài)和行動(dòng)至關(guān)重要。

TI INSIDE計(jì)劃將驅(qū)動(dòng)威脅情報(bào)下一輪增長(zhǎng)

達(dá)爾文《進(jìn)化論》曾說(shuō)過(guò)一句話(huà)----世界上最后能生存的生物，不是最強(qiáng)的，也不是智慧最高的，而是適應(yīng)能力最強(qiáng)的。汪列軍認(rèn)為，在威脅情報(bào)的新賽道之上，誰(shuí)能夠解決并降低用戶(hù)側(cè)的情報(bào)消費(fèi)門(mén)檻，誰(shuí)能最滿(mǎn)足、最適合普通用戶(hù)的切實(shí)需求，誰(shuí)將在未來(lái)的威脅情報(bào)市場(chǎng)上占據(jù)主導(dǎo)地位。

“通過(guò)TI INSIDE計(jì)劃，我們希望將威脅情報(bào)中心6年來(lái)的數(shù)據(jù)積累、技術(shù)、能力、專(zhuān)家，尤其是威脅情報(bào)實(shí)戰(zhàn)經(jīng)驗(yàn)固化形成平臺(tái)，以平臺(tái)化和標(biāo)準(zhǔn)化的方式，服務(wù)于客戶(hù)和生態(tài)合作伙伴，能夠有效降低威脅情報(bào)應(yīng)用的門(mén)檻，加速威脅情報(bào)的普及，進(jìn)而提高國(guó)內(nèi)整體的網(wǎng)絡(luò)安全防護(hù)水平，并推動(dòng)威脅情報(bào)市場(chǎng)進(jìn)入新一輪的高速增長(zhǎng)時(shí)期。”汪列軍表示。    

雷鋒網(wǎng)雷鋒網(wǎng)

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。