有一個不幸的消息。

小王在某公司安全運營部上班，因為想錢少、事多、離家遠(yuǎn)，最近他想離職了。

換工作本身并沒有什么不幸，但可怕的是，他的小秘密被老板發(fā)現(xiàn)了……

悲劇是這樣發(fā)生的——

小綠：張主任，您好，今天公布了一個Web應(yīng)用漏洞，編號是CVE-2017-XXX，如果被利用，將會被遠(yuǎn)程執(zhí)行任意代碼，后果非常嚴(yán)重。您公司的安全運維接口人王工已經(jīng)在今天早晨7點55分，漏洞公布后的5分鐘內(nèi)，收到了我們的安全通告郵件和短信。我們有下列安全建議和配置：blablabla……

張主任：我讓小王立刻進(jìn)行配置。

小綠：最近王工是不是有什么心事？或者想離職？

張主任：啊，你怎么知道？他剛剛提出離職。

小綠：云端情報顯示，他和以前不太一樣，以前新設(shè)備入網(wǎng)，規(guī)則配置的相當(dāng)及時，基本在一小時內(nèi)完成；最近3天，都需要一天才完成，我們每隔一小時會發(fā)送短信提醒。另外，他從文檔服務(wù)器上下載了大量密級很高的文件，并發(fā)給一個他不常用的郵箱。

張主任：……

不過，這并不是一個真實的故事，但這是一個未來可能發(fā)生的故事。如果是一個真實的故事，小王可能會因為涉嫌盜竊公司機(jī)密被警察蜀黍帶走……

2017年初，綠盟科技副總裁周凱去了趟美國RSA大會，今年這個大會有3萬人參加、600多個參展商搞起來代表安全商業(yè)走勢的盛大會議上，和威脅情報相關(guān)的參展商就有151個。

這說明了什么？安全廠商都覺得威脅情報是門大生意??！于是，周凱在 3月28日 RSA 熱點研討會上講述了小王的故事。

雷鋒網(wǎng)宅客頻道編輯小李以為，坐下來一聊，周凱就要來一波威脅情報的安（guang）利（gao）。結(jié)果，他從頭到尾強(qiáng)調(diào)了五次“威脅情報不能預(yù)測接下來要發(fā)生的攻擊”，并擺出了拒絕的樣子：

“誰要是和你說，威脅情報能百分百預(yù)測接下來哪里要發(fā)起攻擊，他們一定是騙子！”

那……它有什么用？為什么各大廠商一副動手搶江山的架勢？

 2017RSA搶這塊蛋糕是怎么回事

信息安全業(yè)界面對著紛繁復(fù)雜的形勢，越來越意識到：僅僅防御是不夠的，更加需要持續(xù)地檢測與響應(yīng)。而要做到更有效的檢測與更快速的響應(yīng)，要做到這一點，得拿到至關(guān)重要的威脅情報！

比如，兩軍交戰(zhàn)，總要有人刺探軍情對不對？所以，各大廠商當(dāng)然要搶占這個蛋糕！

但是，安全領(lǐng)域的威脅情報比較坑爹：又不是時時能派人臥底攻擊者內(nèi)部?。m然可能有，但絕對不是大多數(shù)，你以為人人都能無間道？）

于是，大家就使出渾身解數(shù)來搜集各類信息，甚至，可能僅僅看到蛛絲馬跡，200塊拼圖只拿到其中的幾十塊，在強(qiáng)大的分析之下，有一定幾率知道敵人可能瞄上了你的哪塊肥肉，從而提醒你做出準(zhǔn)備和響應(yīng)。

說白了，威脅情報就是揭露一個企業(yè)、組織，乃至一個國家網(wǎng)絡(luò)資產(chǎn)的脆弱面，它也有可能在某一段特殊時間內(nèi)發(fā)現(xiàn)你可能會遭到某種類型的攻擊。

比如，小明家失火了，你家也跟小明家一樣有類似的安全隱患，最近天干物燥，它能指點你哪哪不對，要消除火災(zāi)隱患。

據(jù)周凱介紹，現(xiàn)在，威脅情報主要承擔(dān)這些方面的重任：

• 情報查詢：告訴大家世界發(fā)生了什么

• 威脅監(jiān)測：童鞋，你家設(shè)備暴露在公網(wǎng)上了你知道嗎？ 你這些資產(chǎn)（IP/域名/URL）的信譽(yù)怎么樣？來來來，我告訴你。

• 情報機(jī)讀：不光要告訴管理的安全人員，我們對待機(jī)器也要“一視同仁”，這位機(jī)器童鞋，我給你同步一下信息。管理平臺不要急，你也有份，直接通過 API 喂飽你。

• 情報資訊：敲小黑板了，最近大家要注意這些熱點威脅，哎喲，你看又暴露了這些漏洞、木馬，我來給你分析分析。告訴你，最近這一陣子不大太平，有這些安全趨勢blabla…… 對了，還有這些高級情報，算了，我偷偷說給你聽。

• ……

周凱說，威脅情報是一個企業(yè)、組織、國家在飛速發(fā)展的網(wǎng)絡(luò)空間中做好安全防范的加分項，但這個加分項很重要。

還記得美國東部的那場大斷網(wǎng)嗎？

2016年10月，美國全境，從東海岸的波士頓紐約費城華盛頓，到西海岸的洛杉磯舊金山甚至和北京關(guān)系不錯的西雅圖互聯(lián)網(wǎng)服務(wù)全面宕機(jī)。Twitter、Tumblr、Netflix、亞馬遜、Shopify、Reddit、Airbnb、PayPal 和 Yelp 等熱門網(wǎng)站都沒有幸免，無一能登陸。

后來，人們發(fā)現(xiàn)，這次大斷網(wǎng)源于有人利用大量智能硬件，尤其是監(jiān)控設(shè)備的通用漏洞，通過代碼，同時控制大規(guī)模的設(shè)備發(fā)起了 DDoS（分布式拒絕服務(wù)）攻擊。

周凱透露，其實早在大斷網(wǎng)事件發(fā)生的一個星期前，他們就發(fā)現(xiàn)黑客侵入了很多攝像頭，有這些漏洞存在，而且這些入侵都是惡意入侵！

這就是威脅情報，這場風(fēng)雨遲早會來，雖然他們并不能預(yù)計發(fā)動這場攻擊的具體規(guī)模和確切時間。

專注攻防對抗15年的老司機(jī)、綠盟科技的高級副總裁葉曉虎也曾對雷鋒網(wǎng)小李說過，一個關(guān)鍵機(jī)構(gòu)或社會基礎(chǔ)設(shè)施如果遭遇大規(guī)模網(wǎng)絡(luò)襲擊，將產(chǎn)生巨大的社會影響。比如，一個水務(wù)網(wǎng)絡(luò)的關(guān)鍵網(wǎng)站，如果遭到攻擊怎么辦？我都不敢想。

威脅情報也許就能“治療未病”，將災(zāi)難扼殺在萌芽中。

為什么不是“神算子”？

既然威脅情報那么重要，為什么你又告訴我不能百分百預(yù)測？

童鞋們，你們以為情報是那么容易拿到的么？

在威脅情報領(lǐng)域，各大廠商都是“盲人摸象”，只能得到一部分信息，并不能窺全貌。所以，情報的分析和共享就成了關(guān)鍵。

哎呀，不就是你把茄子送給我，我把洋蔥拿給你，大家互相給一給就好了嘛！但是，不是所有廠商都能心甘情愿地分享各類安全情報，祭出自己的優(yōu)勢資源。“共享”牽扯到方方面面，不僅是廠商的“鍋”。

還有，一些關(guān)鍵的流量信息，受到“無形的手”制約，并不能被“共享”。

一個小疑問又蹦出來：又不是要拿全世界、全中國的信息，如果只是為了一個特定目標(biāo)服務(wù)，也搞不到關(guān)于它的所有威脅情報嗎？

真！的！搞！不！到！

周凱說，這個目標(biāo)如果能提供詳盡的內(nèi)部信息，還是非常利于針對它做威脅情報的，比如，它要提供網(wǎng)絡(luò)層面、操作系統(tǒng)、中間面、數(shù)據(jù)庫層面、底層設(shè)計等眾多信息。但是——從成本的角度看，不可能時時刻刻都能監(jiān)測到方方面面！

人工智能是答案嗎？

然而，迫在眉捷的是——周凱擔(dān)憂，每個威脅情報的提供商都有自己的優(yōu)勢、強(qiáng)項，也都有自己專注的領(lǐng)域。如果不分享，整合或統(tǒng)一管理威脅情報，每一個提供商都是缺失信息的，只不過是信息缺失的多少而已。這意味著，在拼出對抗攻擊者最關(guān)鍵的線索前，可能永遠(yuǎn)缺少一張有信息含量的拼圖！

最理想的狀態(tài)是，應(yīng)對一場潛在的網(wǎng)絡(luò)攻擊，能分析全流量，獲取基礎(chǔ)數(shù)據(jù)源，不僅僅是與安全有關(guān)的信息，靈敏地找到攻擊源頭、攻擊路徑，甚至能定位到是哪些設(shè)備參與了攻擊，知道設(shè)備類型、生產(chǎn)廠商、哪些設(shè)備在線等。

除了分享能促進(jìn)威脅情報真的成為 001級別的密探，現(xiàn)在大家又將目光投向了人工智能，希望能夠借此幫助威脅情報從看似紛雜的信息的海洋里成功游到“有效信息”的彼岸。

不僅僅是幫助分析各種惡意樣本。

葉曉虎告訴雷鋒網(wǎng)：

安全從業(yè)者目前正在引入人工智能對數(shù)據(jù)、網(wǎng)絡(luò)流量、設(shè)備、終端服務(wù)器的日志等進(jìn)行分析，建立對應(yīng)模型等，抓出蛛絲馬跡。

但是，人工智能不是萬能藥。

周凱說，對人工智能助力威脅情報現(xiàn)階段的發(fā)展不能抱有太高期望。

“阿法狗對弈圍棋高手，面對的是清晰的規(guī)則，可獲取各種高質(zhì)量的棋譜，還能自我學(xué)習(xí)，大規(guī)?？焖俑纳扑惴?，提高棋藝，戰(zhàn)勝人類。安全領(lǐng)域比較特殊，對手都是極其聰明的人，機(jī)器面對的不是既定規(guī)則，而是一個個想盡辦法不守規(guī)則的攻擊者，一種種防不勝防的攻擊手法。”

周凱感嘆：雖然很難，但人工智能助力威脅情報是大趨勢之一，我們要抱有謹(jǐn)慎的樂觀。

• 采訪后記

威脅情報，錦上添花。

雷鋒網(wǎng)宅客頻道編輯小李問周凱：怎么衡量與感受威脅情報的用處？你們會因效果評估困擾嗎？

周凱答：雖然也會有一些客戶反饋效果，但是，威脅情報和網(wǎng)絡(luò)安全的其他手段一樣，告訴大家脆弱面在哪里？不斷改進(jìn)，抵抗住了攻擊，或者期待的那場攻擊永遠(yuǎn)沒有來臨，這就是最好的消息。

你永遠(yuǎn)也感受不到一場將發(fā)而未發(fā)的攻擊的威力，但這卻是威脅情報最大的用處。

或許，這個故事會給我們一些啟示：

魏文王問名醫(yī)扁鵲：“你家兄弟三人，都精于醫(yī)術(shù)，到底哪一位最好呢？”

扁鵲答：“長兄最佳，中兄次之，我最差。”

文王再問：“那為什么你最出名呢？”

扁鵲答：“長兄治病，于病情發(fā)作之前，一般人不知道他事先能鏟除病因，所以他的名氣無法傳出去；中兄治病，于病情初起時，一般人以為他只能治輕微的小病，所以他的名氣只及本鄉(xiāng)里；而我是治病于病情嚴(yán)重之時，一般人都看到我下針放血、用藥教藥，都以為我醫(yī)術(shù)高明，因此名氣響遍全國。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。