情报作为大数据安全的典型代表，能充分拉高企业整体防御水位，加强未知威胁的发现和防护能力，缩短攻击检测和响应周期、 提升安全分析水平。

当前，国家正在大力建设大数据疾控中心，旨在让大数据技术在人员扩散监测、传染疾病流向、治疗资源精准投放中发挥作用。那么，作为大数据安全典型代表的威胁情报技术，又是如何帮助企业免于感染、甚至提前预警、主动反制的呢？具体的，它如何与态势感知系统一起，做到全网有效监测、绘制疫情地图、预测疫情走向、回溯感染路径的呢？

从2013年Gartner为情报给出定义，到今天，威胁情报也不算新鲜词汇了。从甲方公司尝试威胁狩猎、行业联盟如火如荼，到情报人才的招聘价位上，这都能看出其热度有增无减。不少企业开始建设边界+终端+管道+大数据多位一体的防御战线，情报作为大数据安全的典型代表，能充分拉高整体防御水位，加强未知威胁的发现和防护能力，缩短攻击检测和响应周期、 提升企业安全分析水平。但具体落实到如何选择、怎样发挥价值、误报的解决和处置，仍是企业客户的困扰。今天我们从情报的概念开始，来尝试解决和探讨这几个话题。

威胁情报知多少

WHAT IT IS

与安全界的很多术语一样，“威胁情报”也是从军事领域泊来的，这里用《辞海》对情报的解释来代替Gartner 2013对威胁情报的定义可能更好理解：情报即“获得他方有关情况以及对其分析研究的成果”。安全情报也一样，都是主动了解、分析对手，并对其重要关键信息确认、加工后的产物，最终的目标是指导决策，这也是“情报”不同于“数据”和“信息”的价值。

威胁情报可以分为战略情报、战术情报和运营情报。其中战略情报比较宽泛抽象，多以报告、指南、框架文件等形式提供给高级管理者阅读，侧重安全态势的整体性描述，以辅助组织的安全战略决策；战术级情报则泛指机读情报的收集和输出，多以IoCs（Indicators of Compromise）的形式输出，如某个木马的C2服务器IP地址、钓鱼网站的URL或某个黑客组织常用工具……运营情报是建立在对战术级情报进行多维分析之上而形成的更高维情报知识，主要用于制定针对性的整体防御、检测和响应策略。

从类别上，又可以分为漏洞情报、资产情报、事件情报。从内容上分，包括IP 地址情报、域名情报、恶意软件情报等。从应用领域，又可以分为：机读情报（MRTI）、人读情报（PRTI）、画像情报和知识情报四类。其中机读情报应用最广，基本已经被各大乙方安全厂商在设备中集成，多以IoC或者Yara的形式存储；人读情报的格式比较宽泛，包括新华三安全攻防团队推送的安全公告、漏洞预警、病毒/APT分析文章都属于这个类别；画像情报则是介于机读和人读情报中的一种，通常用结构化的标签和非结构化的备注来描述，针对单一的威胁、资产、漏洞、事件进行分析形成的知识集，也可以加入场景标注；而知识情报的提法主要是针对态势感知、SOC、SIEM类平台产品的，平台内置的先验规则如关联规则和知识图谱都属于这一类。

目前最普遍得到应用和分享的还是以机读情报为代表的战术情报，通过IoC（病毒hash、C&C域名、IP地址等）呈现和集成。

纵深防御可否代替情报

WHY THREAT INTELLIGENCE

答案是不能。前文提及，搭建四位一体的安全防护体系、积极转型主动防御、充分调动云管端和外脑的力量是我们信息安全建设的目标，除此之外，还有以下几个更朴素的原因

设备告警懈怠

大量的安全设备产生的海量日志可能导致运维人员疲于应对，反而忽略了严重的失陷事件，而威胁情报的价值之一就在于一些情报的命中的确是失陷的铁证。运维人力跟不上告警处置速度时，简单的决策就是盯着情报日志优先处置，高质量的情报能很大程度节省企业安全运维投入的开销。

安全防御盲点

如何有效弥补管道和端点防御的疏漏？如何在损失发生前预警，在危害造成后溯源反制？代价最小、最行之有效的方法，就是部署威胁情报，它与固有的安全体系/产品能充分融合，不强制要求组网变更，能迅速形成云端+本地+管道的主动防御能力覆盖。

新型对抗层出

不可避免的漏检情况有很多，包括厂商或者客户没有及时更新先验规则，以及越来越多的无文件攻击无法用传统引擎检测的情况，一些恶意代码也通过混淆、逃逸和沙盒对抗技术来避免动静态调试。威胁情报的工作机制正好弥补了这个盲点。

威胁情报能有效解决告警懈怠、代表企业安全主动防御的华丽转型，并能有效弥补传统引擎无法检测新型攻击的短板，实属企业信息安全建设之必备利器。

威胁情报与安全设备，1+1>2

HOW TO CHOOSE

再好的内容都需要有工具载体才能被广泛利用，除了少数单位有自建SOC/SIEM的能力而自行采购情报之外，多数情况下威胁情报还是需要安全设备/平台作为载体来进行价值体现。

主流方案：本地Feed集成+云端查询

Feed（IoCs）在不同产品的集成策略各有侧重,设备侧由于实时匹配性能有限，本地集成的Feed的原则通常会考虑时效性、破坏性和准确性，兼顾流行度,可以简单理解为“重封堵，轻分析”。态势感知平台正好弥补了这一问题，大数据集群的架构优势，可以容纳更大的情报规模和更丰富的属性字段，最大程度支持研判分析，以及进一步的知识图谱匹配。

此外云端情报中心内置的海量情报可以用作手工的查询，提供更加丰富的画像内容和人读情报，支持深度分析和溯源,云端情报中心可以用内置链接的方式与设备或者监控平台进行关联。值得一提的是，相对于传统特征库一到两周的更新频率，情报Feed的更新更快，云端甚至可以做到随时更新。关键时刻，实时动态刷新的情报信息对攻击的及时掣肘有决定性的影响。

典型案例：情报驱动的自适应安全体系

在具体使用场景中，也可以设计丰俭皆宜的联动处置方案。最简单的是情报在管道设备如NTA/IPS/NGFW中集成后，对来往流量关键KEY进行IoC匹配，视匹配结果近源或者多点封堵；更有效的用法则是借助态势感知全景感知的能力，联合上下文情报来完成全网联动响应。

举个例子，某企业态势感知通过分析探针日志结合情报匹配上报事件：网内一台主机已被感染，外联域名指向木马a，更多情报显示a是知名远控家族A的一个新型变种，有类似的网络行为特征。历史情报表明感染A家族后会迅速展开内网扫描，利用老旧浏览器漏洞进行攻击，进一步下载木马程序，安装DDoS后门，并造成对外网的DDoS行为；同时该病毒只感染指定版本的Windows机器，不影响Linux操作系统。此时针对这条情报可以做出有效预案，在经验时间窗内尽快行动，联动EDR对受害机器进行断网隔离，结合漏扫结果对符合感染条件的机器进行补丁升级/端口封堵、联合管道安全设备增加特征以切断横向传播，最大程度减小对现有业务的影响,甚至依赖态感系统的日志关联分析，还原攻击路径、绘制疫情地图，并对可能的感染趋势进行预测（结合满足感染的技术条件）；进一步还可以通过详细研读TTP情报，对发起攻击的黑客团伙技术背景进行掌握，了解其攻击意图和作战手法，行业CSO或许需要据此进行下一步的资源分配和战略决策。该场景对探针的密度、质量以及态势感知关联分析和知识图谱等底层能力也有一定要求。

综上所述，威胁情报在安全整体解决方案中的应用，将安全防御体系中对单点日志的关注，转变成对攻击技术、攻击向量、攻击面的研究，对攻击的提前发现和反制有绝对的意义。

专业的事情交给专业的人处理

HOW TO USE

在威胁情报的获取渠道上，企业安全团队也各显神通。除了少数有专业安全攻防和病毒分析能力的团队具备自研潜质外，多数企业还是需要借助外部力量。那么如何衡量威胁情报的质量、情报建设的好坏呢？考虑到威胁情报的终极目标是指导响应，因此，建议从四个维度来设置评价标准——延迟、精度、运营、闭环。

目前可以获取情报的渠道比较多，包括专业情报厂商购买、开源情报社区拉取以及加入一些行业联盟进行共享和交换，但过于开源的渠道也可能导致参差不齐的质量，因为数量庞大到无法抽检、衡量。同时，由于各家情报厂商在专业领域优势和积累的差异，导致覆盖侧重点不同，只靠单一来源提供有价值的威胁情报基本是不可能的。

以新华三的情报库来说，我们选取了国内外多个来源的数据，结合自研、商业合作、共享交换等形式，整合CERT/ANVA、CNNVD、VT、MAPP等权威机构数据，并提供全球情报整合平台，可以根据客户需求定制拉取，并正基于厂商、行业、黑客组织进行标记，提供更多的筛选标签。新华三攻防团队有专门的分析师会对情报进行覆盖率和准确性进行再一次的研判调优，并在各行业实验局、公司自有网络内部署充分验证后，再将数据分发给安全防御设备和态势感知上集成。

目前，新华三安全产品、态势感知系统均已搭载威胁情报，用户只需按需启用，便可以搭建云管端的主动防御与协同体系。使用中的任何问题，还有专业团队进行分析解释和协助处置。

专业的事情交给专业的人。购买内置情报的安全产品和解决方案，节约企业客户使用成本。

如果情报的生产和消费脱离用户实际场景的多样化检验，那么威胁情报还会一直停留在乙方虚假繁荣而甲方饱受质疑的层面。我们希望情报发挥的效果，是“研判溯源有依据，全网联动可落地”，这就不光关乎威胁情报的规模和质量，而是人、设施、技术、流程全方位的支撑，是长期的、在网的、多方位的磨合。网络安全体系建设从合规到实战从不是一日之功，所幸我们已经在路上。

威胁情报最高价值在于业务共生、自我迭代，情报的有效运营，需要依靠流程、自动化+人的共同保障，需要企业客户、安全厂商和情报供应商一起努力。