自2013年威脅情報(bào)（Threat intelligence）提出以來，迄今已經(jīng)在網(wǎng)絡(luò)安全領(lǐng)域得到廣泛應(yīng)用，諸多安全產(chǎn)品如防火墻、入侵檢測、態(tài)勢感知、端點(diǎn)保護(hù)、SIEM、漏洞管理、DDoS防護(hù)等，都能看到威脅情報(bào)的身影，能力得到大幅提升。根據(jù) IDC 的調(diào)研數(shù)據(jù)顯示，威脅情報(bào)可以推動(dòng)安全和運(yùn)營效率的提高，將企業(yè)發(fā)現(xiàn)威脅的速度提高 10 倍，響應(yīng)和解決威脅的速度提高 63％，并在受到攻擊之前主動(dòng)識(shí)別出 22％ 的安全威脅。

　　威脅情報(bào)的落地方式有很多，天際友盟選擇了做好威脅情報(bào)的優(yōu)質(zhì)“供貨商”，為此提出“TI Inside”生態(tài)戰(zhàn)略詮釋。TI ，即威脅情報(bào)Threat intelligence的縮寫，Inside類似電腦行業(yè)英特爾專注于做好CPU，賦能于各個(gè)PC廠商，天際友盟也是用TI Inside賦能整個(gè)安全產(chǎn)業(yè)，通過TI Inside協(xié)同，通過生態(tài)聚合力量，實(shí)現(xiàn)威脅情報(bào)能力與安全廠商的集成聯(lián)動(dòng)。

　　6月18日，以“新IN力 御萬象”為主題的 TI Inside 威脅情報(bào)應(yīng)用生態(tài)協(xié)同峰會(huì)在北京召開。在“TI Inside”生態(tài)的集聚效應(yīng)下，峰會(huì)吸引了大量網(wǎng)絡(luò)安全企業(yè)代表、威脅情報(bào)生態(tài)合作機(jī)構(gòu)、分析機(jī)構(gòu)，共同交流威脅情報(bào)的最佳應(yīng)用實(shí)踐，探討 “TI Inside”生態(tài)共建戰(zhàn)略，推進(jìn)安全行業(yè)威脅情報(bào)生態(tài)協(xié)同。

　　“TI Inside”生態(tài)伙伴現(xiàn)身說法

　　威脅情報(bào)最直接受眾當(dāng)屬網(wǎng)絡(luò)安全廠商。據(jù)介紹，依托TI Inside模式，天際友盟目前的情報(bào)源達(dá)到200+，合作安全廠商60+，已成為安全行業(yè)威脅情報(bào)應(yīng)用的牢固底座。對(duì)TI Inside模式的有效性和優(yōu)勢，以及威脅情報(bào)的實(shí)踐，奇安信、H3C、IBM、六方云等企業(yè)在會(huì)上進(jìn)行了分享。

　　H3C安全攻防實(shí)驗(yàn)室主任梁力文對(duì)TI Inside模式表示認(rèn)同。她認(rèn)為，威脅情報(bào)的協(xié)同和共享特性決定了TI Inside生態(tài)建設(shè)需要企業(yè)客戶、安全廠商和情報(bào)廠商一起努力?；谕{情報(bào)的主動(dòng)安全和縱深防御體系共生，縱深防御是主動(dòng)安全的落地抓手，二者相輔相成。TI Inside模式能夠?qū)崿F(xiàn)威脅情報(bào)的生產(chǎn)和消費(fèi)閉環(huán)，讓威脅情報(bào)有效流動(dòng)起來，進(jìn)而拉高企業(yè)整體防御水位，縮短檢測響應(yīng)周期，提升風(fēng)險(xiǎn)預(yù)測能力和分析水平。

　　奇安信威脅情報(bào)中心負(fù)責(zé)人汪列軍認(rèn)為，要做好外部和內(nèi)部情報(bào)的結(jié)合。首先要使用好開源和商業(yè)的威脅情報(bào)數(shù)據(jù)，其次還要從自身的安全設(shè)備、應(yīng)急響應(yīng)及安全分析過程中收集威脅情報(bào)。目前，這種既“消費(fèi)”也“生產(chǎn)”威脅情報(bào)的用戶占比甚至近半?！皟?nèi)生情報(bào)”是威脅情報(bào)SaaS化賦能的必備補(bǔ)充，適配無法外聯(lián)的封閉組織防護(hù)場景，同時(shí)應(yīng)對(duì)APT高級(jí)威脅也需要內(nèi)生情報(bào)數(shù)據(jù)和相應(yīng)的判定能力。

　　IBM 大中華區(qū)信息安全售前經(jīng)理高爽強(qiáng)調(diào)，行業(yè)要共建高端威脅情報(bào)服務(wù)。IBM X-Force作為領(lǐng)先的威脅情報(bào)研究機(jī)構(gòu)之一，將與天際友盟攜手打造開放共享生態(tài)、共筑威脅情報(bào)聯(lián)盟，共建高端威脅情報(bào)服務(wù)，通過向市場傳遞高端威脅情報(bào)、共建樣板工程、展示更豐富的威脅情報(bào)使用場景，提升用戶對(duì)威脅情報(bào)使用的高度和認(rèn)知。

　　六方云產(chǎn)品部總經(jīng)理劉建興介紹了TI Inside模式在工業(yè)互聯(lián)網(wǎng)安全體系的構(gòu)建。采用AI威脅檢測+TI Inside模式，通過威脅檢測、交叉驗(yàn)證和溯源查詢等方式，將威脅情報(bào)能力融入工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品，全面感知工業(yè)生產(chǎn)全生命周期的安全態(tài)勢，構(gòu)建起高度智能化的工業(yè)互聯(lián)網(wǎng)安全防護(hù)體系。

　　共建安全新生態(tài) “TI Inside”的初心與未來

　　為什么要專注于做好威脅情報(bào)的“供貨商”？根本目的是要幫助安全廠商降本增效，集中精力做自己擅長的事情。

　　天際友盟 CEO 楊大路表示，網(wǎng)絡(luò)威脅日趨專業(yè)化，安全廠商自身獲取威脅情報(bào)具有局限性，同時(shí)自建威脅情報(bào)體系投入巨大，這里就是第三方情報(bào)供應(yīng)商的價(jià)值所在。作為專業(yè)、中立的威脅情報(bào)供應(yīng)商，天際友盟能夠?qū)崿F(xiàn)全產(chǎn)業(yè)鏈、多源威脅情報(bào)的匯聚，在TI Inside生態(tài)中起到根基的作用，通過威脅情報(bào)場景化應(yīng)用賦能，與生態(tài)合作伙伴一起，共同最大化發(fā)揮威脅情報(bào)的價(jià)值。

　　天際友盟CEO 楊大路

　　楊大路介紹，天際友盟的威脅情報(bào)能力實(shí)現(xiàn)了與奇安信、H3C、IBM等龍頭企業(yè)的打通，還實(shí)現(xiàn)與60+家安全廠商的集成聯(lián)動(dòng)。同時(shí)，天際友盟與全球多家知名安全機(jī)構(gòu)達(dá)成情報(bào)數(shù)據(jù)合作，實(shí)現(xiàn)200+家情報(bào)源的實(shí)時(shí)聚合，熱情報(bào)日更新2000萬+，并提供feed情報(bào)訂閱，支持明文批量交付數(shù)據(jù)，方便與安全產(chǎn)品集成或再加工。

　　另外，根據(jù)不同類型安全產(chǎn)品的定位、性能和應(yīng)用場景，天際友盟TI Inside設(shè)計(jì)出三種典型的情報(bào)融合策略，包括處置類集合、分析類集合、EDR集合，針對(duì)不同的集合篩選出適用的威脅情報(bào)數(shù)據(jù)，滿足不同類型的安全產(chǎn)品與威脅情報(bào)進(jìn)行高效的融合。

　　按照不同的情報(bào)來源和威脅類型，天際友盟的威脅情報(bào)市場建立情報(bào)卡片體系，在訂閱威脅情報(bào)數(shù)據(jù)時(shí)，只需要將感興趣的一張或多張卡片加入至數(shù)據(jù)下載集合，便可以自由下載使用。目前天際友盟維護(hù)包括自有情報(bào)、IBM、火絨、網(wǎng)宿等多家優(yōu)質(zhì)情報(bào)源，包括惡意軟件、C&C節(jié)點(diǎn)、數(shù)字貨幣、APT情報(bào)、惡意網(wǎng)站、病毒木馬等在內(nèi)的40余種情報(bào)卡片。

　　在生態(tài)共享的理念下，天際友盟作為威脅情報(bào)國標(biāo)（GB/T 36643-2018）的協(xié)助起草單位，不但產(chǎn)出符合國標(biāo)的威脅情報(bào)，還提供離線明文威脅情報(bào)，并支持在線查詢功能，幫助網(wǎng)絡(luò)安全廠商高效、便捷、低成本使用TI Inside服務(wù)。此外，天際友盟還設(shè)計(jì)了一套完整、高效的數(shù)據(jù)信譽(yù)度評(píng)價(jià)機(jī)制，實(shí)現(xiàn)對(duì)情報(bào)進(jìn)行信譽(yù)度評(píng)價(jià)和動(dòng)態(tài)跟蹤，并據(jù)此進(jìn)行數(shù)據(jù)老化處理和數(shù)據(jù)清洗，以保證相關(guān)數(shù)據(jù)的可靠性和有效性。

　　對(duì)未來TI Inside的發(fā)展，天際友盟TI Inside戰(zhàn)略負(fù)責(zé)人趙嘉偉表示，天際友盟TI Inside將堅(jiān)持開放、生態(tài)、共生的理念，致力于攜手安全廠商為最終用戶打造更加安全的網(wǎng)絡(luò)空間。TI Inside模式，不僅要實(shí)現(xiàn)與安全廠商的集成聯(lián)動(dòng)，形成新的聚變效應(yīng)；還要通過威脅情報(bào)賦能生態(tài)伙伴，應(yīng)對(duì)客戶實(shí)際業(yè)務(wù)的各類場景，確?？蛻粼跀?shù)字化和智能化的時(shí)代里行穩(wěn)致遠(yuǎn)。