“珍珠港事件是美國情報(bào)史上最失敗的一戰(zhàn)，這樣的失敗不會再發(fā)生?！彪娪啊稕Q戰(zhàn)中途島》中有這樣一句臺詞，指出了情報(bào)對戰(zhàn)爭走勢的重大意義。

圖（影視資料）：情報(bào)在中途島海戰(zhàn)中發(fā)揮關(guān)鍵作用

從偷襲珍珠港到中途島海戰(zhàn)，恰恰對應(yīng)了情報(bào)工作的正反兩個(gè)案例。在珍珠港海戰(zhàn)中，美國忽視了提前獲得的情報(bào)，導(dǎo)致海軍損失慘重；相反，到中途島海戰(zhàn)，美軍提前破獲重要情報(bào)，分析出日軍意圖并提前籌備部署，最終大獲全勝，一舉扭轉(zhuǎn)了二戰(zhàn)的局勢。

從兩場結(jié)局迥異的戰(zhàn)爭不難發(fā)現(xiàn)，情報(bào)獲取固然必要，而情報(bào)的分析、判別和處理能力，才是重中之中。在如今網(wǎng)絡(luò)空間的攻防戰(zhàn)場上，威脅情報(bào)，早已成為網(wǎng)絡(luò)安全防御體系中不可或缺的組成部分，而如何用好威脅情報(bào)、充分發(fā)揮好威脅情報(bào)的作用，也成為業(yè)內(nèi)探討的焦點(diǎn)。

從狂熱到冷靜 威脅情報(bào)的5年“起起伏伏”

當(dāng)今，隨著數(shù)字經(jīng)濟(jì)的發(fā)展和數(shù)字化轉(zhuǎn)型的深入、數(shù)據(jù)資產(chǎn)的不斷增大和數(shù)字業(yè)務(wù)的增加，以數(shù)據(jù)為目標(biāo)的網(wǎng)絡(luò)攻擊愈演愈烈，商業(yè)利益訴求和恐怖破壞目的交織，組織化攻擊和網(wǎng)絡(luò)犯罪交織威脅呈現(xiàn)多樣化、未知性態(tài)勢，建立實(shí)戰(zhàn)化的攻防能力體系已是大勢所趨。

圖：威脅情報(bào)是高級網(wǎng)絡(luò)安全能力的標(biāo)配

“在實(shí)戰(zhàn)化攻防中，威脅情報(bào)正在成為一種必要技術(shù)和手段?！痹诓痪们捌姘残诺腡I INSIDE計(jì)劃發(fā)布會上，奇安信集團(tuán)總裁吳云坤表示?！皽?zhǔn)確有效的威脅情報(bào)能夠幫助企業(yè)實(shí)現(xiàn)對各類威脅的實(shí)時(shí)檢測、主動防御、提前預(yù)警、快速響應(yīng)，實(shí)現(xiàn)從被動防御體系向積極防御體系的轉(zhuǎn)變?！?/p>

但在現(xiàn)實(shí)中，威脅情報(bào)在國內(nèi)的發(fā)展并非一帆風(fēng)順。

“雖然威脅情報(bào)進(jìn)入中國市場的時(shí)間不長，僅有5年時(shí)間，卻已經(jīng)歷了從懵懂期待到狂熱追捧，再到回歸冷靜理性的三個(gè)階段。” 奇安信威脅情報(bào)中心負(fù)責(zé)人汪列軍認(rèn)為。

圖：威脅情報(bào)的三個(gè)發(fā)展時(shí)期

據(jù)汪列軍回憶，威脅情報(bào)最早概念的提出，來自于2014年Gartner在《安全威脅情報(bào)服務(wù)市場指南》的論述。2015年前后，它這個(gè)全新概念被引入國內(nèi)市場，到2017年、2018年，國內(nèi)對于威脅情報(bào)的關(guān)注達(dá)到了一個(gè)空前高峰，甚至出現(xiàn)了“威脅情報(bào)萬能論”的狂熱論點(diǎn)。

圖：Gartner發(fā)布的2019年威脅情報(bào)發(fā)展趨勢

汪列軍認(rèn)為，威脅情報(bào)之所以受熱捧，得益于它能夠“料敵預(yù)先”，在理論上可以改變攻守不對等的局面，所以業(yè)界對威脅情報(bào)的期望很高。另一方面，專業(yè)機(jī)構(gòu)也在為其推波助瀾。從Gartner發(fā)布的《全球威脅情報(bào)市場指南》、到SANS的每年發(fā)布的《網(wǎng)絡(luò)威脅情報(bào)調(diào)查》，再到多家專業(yè)廠商接連發(fā)布報(bào)告，威脅情報(bào)急劇升溫。而在去年RSA大會上，威脅情報(bào)上升至熱詞榜第七位。

“當(dāng)時(shí)我去參加國內(nèi)外大的安全展會，威脅情報(bào)幾乎無處不在，各種防火墻、IDS、終端安全、SOC等等產(chǎn)品，都集成了威脅情報(bào)模塊，已經(jīng)到了‘言必稱威脅情報(bào)’的地步?！蓖袅熊姳硎尽?/p>

“過度的贊譽(yù)是一種捧殺”，這種威脅情報(bào)的“大躍進(jìn)”式普及，也給發(fā)展帶來隱憂。據(jù)介紹，很多客戶匆忙上了威脅情報(bào)功能，卻抱怨不好用、不會用，尤其是部分安全產(chǎn)品集成了威脅情報(bào)后，產(chǎn)生了大量的告警和誤報(bào)，搞得安全人員不堪重負(fù)，甚至得出威脅情報(bào)‘沒用’的結(jié)論。

“威脅情報(bào)具有相當(dāng)?shù)拈T檻，對使用者要求比較高?！蓖袅熊姳硎荆叭绻麤]有專業(yè)的情報(bào)分析和安全運(yùn)營團(tuán)隊(duì)，就很難發(fā)揮其本身的作用?！?/p>

威脅情報(bào)市場仍在增長 客戶需求更加多元

經(jīng)過了2017年至2018年的狂熱之后，到2019和2020年，威脅情報(bào)市場潮水退卻，進(jìn)入了理性冷靜期。不過，奇安信威脅情報(bào)中心認(rèn)為該領(lǐng)域的市場需求依然很大。根據(jù)美國安全研究機(jī)構(gòu)SANS發(fā)布的《威脅情報(bào)的演進(jìn)：2019應(yīng)用調(diào)研報(bào)告》顯示：81%的受訪者認(rèn)為威脅情報(bào)改善了企業(yè)的安全檢測與響應(yīng)能力。這與前一年的60%相比有大幅的增長，這證明威脅情報(bào)的有效性得到高度認(rèn)同。

圖：SANS對威脅情報(bào)的應(yīng)用調(diào)研

威脅情報(bào)被認(rèn)同的同時(shí)，用戶的需求也在不斷分化。SANS今年發(fā)布的《2020年網(wǎng)絡(luò)威脅情報(bào)現(xiàn)狀調(diào)研報(bào)告》顯示，40%的受訪者既消費(fèi)情報(bào)也生產(chǎn)情報(bào)，——這是威脅情報(bào)領(lǐng)域日益成熟和專業(yè)化的重要標(biāo)志。但對于大量的中小組織機(jī)構(gòu)而言，普通的情報(bào)訂閱服務(wù)即可滿足他們的需求。而根據(jù)Gartner對用戶群的預(yù)測，中型組織和小型IT團(tuán)隊(duì)對情報(bào)的需求會成為未來高速增長的一部分市場。

“我們不能讓每一個(gè)用戶讓他們都成為情報(bào)專家，所以需要更多元化的滿足不同類型組織機(jī)構(gòu)的需求?！蓖袅熊姳硎?。

TI INSIDE計(jì)劃發(fā)布 致力于降低威脅情報(bào)門檻  

為了讓更多客戶用好威脅情報(bào)，2020年初，奇安信提出了“情報(bào)內(nèi)生”的觀點(diǎn)，并指出：基于內(nèi)部信息化和業(yè)務(wù)系統(tǒng)實(shí)現(xiàn)“情報(bào)內(nèi)生”，構(gòu)建內(nèi)生安全能力，將成為實(shí)現(xiàn)和提升高級威脅檢測的必要條件。同時(shí)，情報(bào)內(nèi)生也是應(yīng)對高級威脅的必然需求。

“在實(shí)戰(zhàn)化攻防環(huán)境下，威脅情報(bào)如果沒有與內(nèi)部信息化、業(yè)務(wù)和安全數(shù)據(jù)有效結(jié)合，情報(bào)將是一個(gè)空殼，無法落地?！眳窃评け硎?，“威脅情報(bào)不僅需要互聯(lián)網(wǎng)數(shù)據(jù)，還要考慮把信息化數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)和安全數(shù)據(jù)結(jié)合在一起，將信息化技術(shù)、人員和流程緊密結(jié)合，這對于很多組織機(jī)構(gòu)而言，門檻較高?！?/p>

SANS《2020年網(wǎng)絡(luò)威脅情報(bào)現(xiàn)狀調(diào)研報(bào)告》也發(fā)現(xiàn)，制約威脅情報(bào)應(yīng)用的原因有很多，其中占到57%的首要因素，是缺乏專業(yè)的員工和能充分利用威脅情報(bào)的經(jīng)驗(yàn)。操作難度問題/自動化水平差、在管理方面缺少足夠支持、缺少自動化報(bào)告高管層的能力等等，也占了很大比例。受訪者普遍認(rèn)為，“人、工具、流程相互配合及內(nèi)外部團(tuán)隊(duì)合作，是有效使用威脅情報(bào)的關(guān)鍵”。

那么，如何降低用戶威脅情報(bào)消費(fèi)的門檻？如何讓更多用戶更加便捷的使用威脅情報(bào)？中小廠商沒有安全分析師又該怎么玩情報(bào)？中小廠商沒有大數(shù)據(jù)怎么玩情報(bào)？ 2020年6月29日，奇安信面向威脅信息共享交換聯(lián)盟（TIXA聯(lián)盟）內(nèi)的生態(tài)合作伙伴，發(fā)起了威脅情報(bào)技術(shù)應(yīng)用2.0 ----TI INSIDE計(jì)劃，旨在降低威脅情報(bào)的消費(fèi)門檻，助力行業(yè)生態(tài)健康發(fā)展。

圖：由奇安信發(fā)布的TI INSIDE計(jì)劃

據(jù)介紹，TI INSIDE計(jì)劃分為三個(gè)層面，在技術(shù)實(shí)現(xiàn)層面，通過SDK和API接口開發(fā)集成來實(shí)現(xiàn)開放；在合作方面，它將面向TIXA聯(lián)盟內(nèi)合作伙伴或者其他有意愿加入聯(lián)盟的合作伙伴；而在能力輸出方面，該計(jì)劃將開放奇安信的核心威脅情報(bào)檢測能力，以吸引更多的伙伴加入。

TI INSIDE計(jì)劃體現(xiàn)了奇安信開放協(xié)同、共建共贏的理念，迅速得到主管部門、行業(yè)協(xié)會、合作伙伴以及核心客戶的積極反饋。中國網(wǎng)絡(luò)空間安全協(xié)會副秘書長張健指出，目前威脅情報(bào)的共享和產(chǎn)業(yè)協(xié)同方面，存在明顯的短板，其中重要原因是“競爭大于合作，封閉分散大于開放聯(lián)動”，“TI INSIDE”計(jì)劃是產(chǎn)業(yè)內(nèi)技術(shù)合作、聯(lián)動防御的一次有益的嘗試，對加強(qiáng)最終用戶的安全建設(shè)與檢測能力，大有裨益，也利于進(jìn)一步提升行業(yè)的整體防御能力基線。

盛邦安全CEO權(quán)小文也持同樣觀點(diǎn)。他認(rèn)為，國內(nèi)有數(shù)十家威脅情報(bào)廠商，不可避免出現(xiàn)重復(fù)造輪子的情況，而高質(zhì)量的情報(bào)不能靠單打獨(dú)斗，而需要生態(tài)合作，強(qiáng)強(qiáng)合作，實(shí)現(xiàn)團(tuán)隊(duì)協(xié)同作戰(zhàn)，開放的心態(tài)和行動至關(guān)重要。

TI INSIDE計(jì)劃將驅(qū)動威脅情報(bào)下一輪增長

達(dá)爾文《進(jìn)化論》曾說過一句話----世界上最后能生存的生物，不是最強(qiáng)的，也不是智慧最高的，而是適應(yīng)能力最強(qiáng)的。汪列軍認(rèn)為，在威脅情報(bào)的新賽道之上，誰能夠解決并降低用戶側(cè)的情報(bào)消費(fèi)門檻，誰能最滿足、最適合普通用戶的切實(shí)需求，誰將在未來的威脅情報(bào)市場上占據(jù)主導(dǎo)地位。

“通過TI INSIDE計(jì)劃，我們希望將威脅情報(bào)中心6年來的數(shù)據(jù)積累、技術(shù)、能力、專家，尤其是威脅情報(bào)實(shí)戰(zhàn)經(jīng)驗(yàn)固化形成平臺，以平臺化和標(biāo)準(zhǔn)化的方式，服務(wù)于客戶和生態(tài)合作伙伴，能夠有效降低威脅情報(bào)應(yīng)用的門檻，加速威脅情報(bào)的普及，進(jìn)而提高國內(nèi)整體的網(wǎng)絡(luò)安全防護(hù)水平，并推動威脅情報(bào)市場進(jìn)入新一輪的高速增長時(shí)期?！蓖袅熊姳硎?。    

雷鋒網(wǎng)雷鋒網(wǎng)

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。