威胁情报——应对安全威胁之良策

本文转自：人民邮电报当下，数字经济已经成为推动国民经济发展的重要引擎之一。网络安全作为建设网络强国、数字中国的底座，将在未来发展中承担托底的重任，是我国现代化产业体系中不可或缺的部分。毫无疑问，网络安全是国家的头等大事。不仅如此，在千行百业不断提升自身数字化水平的同时，不法分子进行网络攻击的入口也越来越多。网络安全也是企业的头等大事，没有安全的网络环境，企业自身的数据和资产就容易遭到不法分子窃取与攻击，从而遭受损失。

但是，随着千行百业数字化水平不断提高，传统的防火墙已经无法满足企业的需求，网络安全防护面临着全新挑战。2021年5月，美国最大的成品油管道运营商科洛尼尔因受到勒索软件攻击，被迫关闭多个关键燃油网络，致使国家进入紧急状态。同年11月，加拿大多伦多遭勒索软件攻击，导致公共交通IT系统几乎全部瘫痪。针对能源、交通、电信等关键行业的网络攻击事件频发。

此外，针对新技术、新场景的网络威胁日益增多，影响企业和组织业务的正常运行。各类网络安全威胁与日俱增，新型攻击手段层出不穷。

可以说，网络安全防护就是与时间赛跑，快速地发现威胁、响应和恢复已成为信息安全团队的普遍诉求。

什么是威胁情报？

敌人的攻击无孔不入，变化多端，难以得知黑客会何时采取何种手段进行攻击，以传统防火墙的防御方式，我们只能拿起盾牌被动防守。但是，如果我们能够掌握对方的情报，提前知道敌人的进攻时间、方式、意图，那么防守方也有机会成为进攻方，转守为攻，主动出击。此时“威胁情报”的出现发挥了重要作用。

传统网络安全防护主要采取攻击行为感知、收集与分析、通报等防御手段，通过部署防火墙、入侵检测系统等安全产品，配置相应访问控制策略和审计策略，对网络安全状况进行监测。当发生网络安全事件时，采取应急响应和地域措施，事后进行备份与恢复操作。虽然这种防护模式能抵御一定的网络安全攻击，但仍具有滞后性，事件处理效果受限于安全事件的识别能力、响应速度及事后数据备份与恢复的效率。

目前，安全界普遍认同的一个理念是：仅仅防御是不够的，被动“挨打”永远不会是解决之道，要想保证自身的安全，需要拿起武器，主动反击。在这样的反击战中，所谓“知己知彼，百战不殆”，实时掌握对方形势动态，才能更好地响应与应对。安全情报就像是八百里加急快报送来的敌情。

安全情报（Security Intelligence）是一个宽泛的概念，主要包括威胁情报、漏洞情报、事件情报以及基础数据情报。其中，威胁情报已然成为近几年国内外安全领域的热点。这里的“情报”既是知识，也是载体；既是输入，也是输出。威胁情报是对未知安全威胁进行提前防御，核心在于主动“出击”，从不计其数的报警信息中筛查，提前获取黑客的攻击工具、途径、意图等，帮助企业识别和预防威胁信息。具体来看，威胁情报是收集、评估和应用关于安全威胁、威胁分子、攻击利用、恶意软件、漏洞和漏洞指标的数据集合，可实现事前风险可视化，事中防御主动化，事后溯源智能化。

处处赋能市场向成熟期演进

目前，威胁情报正协同各类安全工具赋能企业安全运营建设，常见的协同模式有四种，分别为云工作负载保护平台﹢威胁情报、防火墙﹢威胁情报、WAF﹢威胁情报和SOC﹢威胁情报。威胁情报能降低企业整体风险，处处赋能，人人知好，但利用率却不高。

腾讯安全威胁情报产品高级经理高睿在接受记者采访时表示，威胁情报的有效应用给安全运营带来的价值可观，但中小型客户受制于成本和使用难度，整体渗透率不高。中国信通院云安全专家孔松指出：“国内威胁情报产业发展仍处于初级阶段，服务质量参差不齐，企业威胁情报实践率不高，需从多个维度建立威胁情报效能评价标准，规范威胁情报服务能力。”

根据IDC的市场调研，对于国内大多数威胁情报技术提供商而言，对自有网络安全产品和服务赋能仍然是威胁情报价值体现的重要途径。当前EPP/EDR、UTM、IDS/IPS、NDR、SOC等各类产品均已广泛融入威胁情报能力，显著提升了产品和服务对威胁检测与判定的准确性和及时性。同时，为了更直观地体现威胁情报的价值，有越来越多的威胁情报技术提供商打造了独立的威胁情报产品或服务，例如，威胁情报平台、威胁情报网关、SaaS化威胁情报查询服务、特定威胁事件/威胁情报的深入解读等。

IDC认为，企业安全管理人员对威胁情报的态度也已经由最初的“在用与不用之间难以抉择，一旦使用则给予极高期望”向“充分肯定威胁情报价值，并对使用效果给予理性判断”转变，整体市场已经度过泡沫期，并向成熟期演进。