新冠疫情的爆發(fā)給社會帶來了巨大的影響，吹哨人的作用也因為這場意外，愈加收到重視。威脅情報作為網(wǎng)絡(luò)安全體系的重要組成部分，其準確性、相關(guān)性和時效性的特點，使得防御者能比攻擊者更快地找到反擊措施，為安全團隊的正確決策和安全事件的快速響應作出了重大貢獻。6月18日下午，由北京天際友盟信息技術(shù)有限公司主辦，以“新IN力 御萬象”為主題的 TI Inside 威脅情報應用生態(tài)協(xié)同峰會在北京舉行。會議分享交流威脅情報在各個行業(yè)的具體應用方案以及取得的良好效果，探討“TI Inside”生態(tài)共建戰(zhàn)略，推動安全行業(yè)威脅情報生態(tài)協(xié)同的進一步發(fā)展。

天際友盟倡導通過TI Inside協(xié)同，實現(xiàn)威脅情報能力與百大安全廠商的集成聯(lián)動，形成新的協(xié)同生態(tài)效應。天際友盟 CEO 楊大路認為，安全生態(tài)是一種態(tài)度和信仰，已經(jīng)深深融入天際友盟的產(chǎn)品和技術(shù)理念之中。

　　天際友盟 CEO 楊大路

　　正是基于這種態(tài)度和信仰，天際友盟率先將高成本投入換來的情報明文輸出，以實際行動加大生態(tài)開放力度，進一步降低廠商合作和企業(yè)使用的門檻兒。同時作為專業(yè)、中立的威脅情報供應商，天際友盟堅持不與傳統(tǒng)安全廠商競爭，堅持開放的合作態(tài)度。這看似愚蠢的行為，恰恰贏得了市場和合作伙伴的高度認可，形成了“廠商踴躍加入，威脅情報不斷完善，企業(yè)積極采購”的正反饋機制。

　　什么是威脅情報？

　　根據(jù)Gartner對威脅情報的定義，威脅情報是某種基于證據(jù)的知識，包括上下文、機制、標示、含義和能夠執(zhí)行的建議，這些知識與資產(chǎn)所面臨已有的或醞釀中的威脅或危害相關(guān)，可用于資產(chǎn)相關(guān)主體對威脅或危害的響應或處理決策提供信息支持。業(yè)內(nèi)大多數(shù)所說的威脅情報可以認為是狹義的威脅情報，其主要內(nèi)容為用于識別和檢測威脅的失陷標識，如文件HASH，IP，域名，程序運行路徑，注冊表項等，以及相關(guān)的歸屬標簽。

　　威脅情報的生產(chǎn)就是通過對原始數(shù)據(jù)/樣本的采集、交換、分析、追蹤，之后產(chǎn)生和共享有價值的威脅情報信息的過程。生產(chǎn)者可以通過使用蜜罐、沙箱、終端等手段收集大量的信息，經(jīng)過初級或者專業(yè)技術(shù)分析后提供給消費者，滿足消費者的服務安全運行的需求。

　　威脅情報之于企業(yè)的重要意義

　　威脅情報在自然界中廣泛存在，在非洲的樹林中經(jīng)常會有狒狒的身影，由于狒狒在樹上，視野較遠。當獅子等捕獵者接近后，任何一只狒狒有所覺察就會向周圍的動物發(fā)出危險信號，周圍動物的安全性得到很大的提高。人類世界要比動物社會更加復雜，尤其是在攻守進化過程中的網(wǎng)絡(luò)安全。

　　當前網(wǎng)絡(luò)威脅的專業(yè)化趨勢不斷凸顯，迫使網(wǎng)絡(luò)安全廠商的產(chǎn)品愈加細分、垂直。傳統(tǒng)安全廠商多只能獲取自己產(chǎn)品、用戶相關(guān)的相對局部的威脅情報，自建完整的威脅情報體系又需要極大的設(shè)備、軟件等資源投入，同時還需要持續(xù)維護情報專家團隊。目前面向情報溯源和分析能力的分析師至少需要具備日志分析能力、數(shù)據(jù)洞察力、安全消息源、樣本淺層次分析能力和安全運維能力，但目前市面上合格的人才少之又少。因此，企業(yè)需要專業(yè)的第三方情報供應商，獲取到全產(chǎn)業(yè)鏈、多源威脅情報的整合。

　　根據(jù)權(quán)威研究機構(gòu) IDC 的調(diào)研數(shù)據(jù)顯示，威脅情報可以顯著降低風險，同時推動安全和運營效率的提高，將企業(yè)發(fā)現(xiàn)威脅的速度提高 10 倍，響應和解決威脅的速度提高 63％，并在受到攻擊之前主動識別出 22％ 的安全威脅。

　　現(xiàn)階段TI Inside的發(fā)展狀況

　　采用明文方式輸出，不設(shè)置信息壁壘是TI Inside模式顯著的特點，這需要充分的信心和過人的勇氣。天際友盟實時匯聚全球200+情報源，每日更新2000萬+熱情報，通過場景化應用賦能，協(xié)同聯(lián)動60+專業(yè)安全廠商，與生態(tài)合作伙伴一起，共同最大化發(fā)揮威脅情報的價值。

企業(yè)的發(fā)展階段不同、側(cè)重點不同，其所需的功能、數(shù)據(jù)量也不相同。根據(jù)不同類型安全產(chǎn)品的定位、性能和應用場景，天際友盟TI Inside設(shè)計出三種典型的情報融合策略，包括處置類集合、分析類集合、EDR集合，針對不同的集合篩選出適用的威脅情報數(shù)據(jù)，滿足不同類型的安全產(chǎn)品與威脅情報進行高效的融合，幫助網(wǎng)絡(luò)安全廠商高效、便捷、低成本使用TI Inside服務。

按照不同的情報來源和威脅類型，天際友盟的威脅共享與協(xié)同機制包含網(wǎng)絡(luò)安全、應用安全、終端安全、數(shù)據(jù)安全、數(shù)據(jù)分析、事件處置、風險管理和犯罪中止共計八個領(lǐng)域、二十多項細分技術(shù)。

　　除了輸出實時的通用情報數(shù)據(jù)之外，TI Inside還支持對情報的IOC字段和歷史數(shù)據(jù)字段等進行定制，進一步方便企業(yè)的訂閱和查詢。

　　TI Inside可靠性如何？

　　高可靠性和完善的售后服務是企業(yè)加入的首要考慮因素，也是生態(tài)得以健康發(fā)展的根本。

在情報可靠性方面，目前可達到IOCs的更新頻率不低于24h/次，IOCs準確率不低于99.9%，漏洞情報覆蓋率不低于70%；API接口可靠性方面，服務可用性不低于99.95%。

售后支持方面，標準正式簽約服務包含技術(shù)培訓、技術(shù)支持和人工IOCs校驗服務，同時還具有調(diào)查分析的增值服務，可以使大多數(shù)企業(yè)較低成本地滿足情報需求。