在安全圈提起“威脅情報(bào)”，可謂無(wú)人不知無(wú)人不曉。什么是威脅情報(bào)?威脅情報(bào)是一種基于證據(jù)的知識(shí)，包括了情境、機(jī)制、指標(biāo)、隱含和實(shí)際可行的建議。威脅情報(bào)描述了現(xiàn)存的、或者是即將出現(xiàn)針對(duì)資產(chǎn)的威脅或危險(xiǎn)，并可以用于通知主體針對(duì)相關(guān)威脅或危險(xiǎn)采取某種響應(yīng)。

那么，什么是具有中國(guó)特色的安全威脅情報(bào)呢?在2015年11月29日由51CTO主辦的WOT2015"互聯(lián)網(wǎng)+"時(shí)代大數(shù)據(jù)技術(shù)峰會(huì)上，國(guó)內(nèi)首個(gè)專(zhuān)以安全威脅情報(bào)(Threat Intelligence)為中心的創(chuàng)業(yè)公司，北京微步在線(xiàn)科技有限公司合伙人的李秋石給51CTO記者做了以下解答。

在WOT2015大會(huì)現(xiàn)場(chǎng)，李秋石帶來(lái)了題為《中國(guó)特色的安全威脅情報(bào)》的精彩演講。他表示，所謂“中國(guó)特色”主要體現(xiàn)在：第一，其實(shí)古時(shí)候在《孫子兵法》里面就已經(jīng)提出了“知己知彼”，我們今天把它叫做“知彼知己”，這是情報(bào)最有用而且流傳最廣的一個(gè)概念，其實(shí)在我們中國(guó)的歷史文化當(dāng)中就已經(jīng)突出了它的重要性。第二，我們需要有自己的威脅情報(bào)處理能力，因?yàn)楫吘刮覀冃枰凶约鹤灾骺煽氐那閳?bào)平臺(tái)，來(lái)幫助我們中國(guó)的企業(yè)去及時(shí)的獲取和及時(shí)的響應(yīng)。

如何從海量的數(shù)據(jù)中去挖掘威脅情報(bào)?

在海量的數(shù)據(jù)面前，我們?cè)撊绾瓮诰蛘嬲袃r(jià)值的威脅情報(bào)呢?李秋石表示，其實(shí)這也是具有“中國(guó)特色”的一部分，現(xiàn)在很多中國(guó)的互聯(lián)網(wǎng)公司都在談大數(shù)據(jù)，數(shù)據(jù)對(duì)于很多企業(yè)來(lái)說(shuō)真的不愁，他們有很多大量的原始數(shù)據(jù)。包括：IP，以及用戶(hù)的設(shè)備信息等各種各樣的信息。那么，該如何從這些信息中及時(shí)發(fā)現(xiàn)線(xiàn)索?這其實(shí)是威脅情報(bào)所具備的一個(gè)特性，基于情報(bào)的分析和分析師關(guān)聯(lián)的判斷。它是基于證據(jù)可執(zhí)行的一個(gè)線(xiàn)索，那么這些信息其實(shí)是基于海量數(shù)據(jù)，從中發(fā)現(xiàn)的。企業(yè)及時(shí)發(fā)現(xiàn)威脅是非常重要的一個(gè)行動(dòng)點(diǎn)。

其實(shí)，威脅情報(bào)的作用不是代替現(xiàn)有的安全措施，企業(yè)應(yīng)該有必須具備應(yīng)該具備的安全防御措施，比如：日常檢測(cè)等。而情報(bào)就是讓企業(yè)知道該怎么利用這些信息，在摸清楚攻擊來(lái)源，攻擊者身份時(shí)，通過(guò)安全工具進(jìn)行防御，甚至反擊。大家普遍關(guān)注的是漏洞，但是漏洞很難被百分之百杜絕和避免。對(duì)于漏洞最好的辦法就是，在事中及時(shí)地發(fā)現(xiàn)這種攻擊行為在事中。安全分為三個(gè)部分事前、事中、事后，而威脅情報(bào)發(fā)揮的最大作用就是在事中。企業(yè)第一時(shí)間發(fā)現(xiàn)威脅，并知道這個(gè)威脅源自于哪里、做了什么，或者是在產(chǎn)業(yè)鏈的某一個(gè)環(huán)節(jié)當(dāng)中出現(xiàn)了安全問(wèn)題。那么，此時(shí)作為產(chǎn)業(yè)鏈整個(gè)流程當(dāng)中的企業(yè)，其如何在第一時(shí)間防范信息的威脅和泄漏的情況，這是很重要的工作。

怎么樣才能使威脅情報(bào)價(jià)值最大化?

李秋石認(rèn)為，首先要看威脅情報(bào)的客戶(hù)，其實(shí)情報(bào)有兩種應(yīng)用方式：

一種應(yīng)用方式是給機(jī)器。比如：企業(yè)中現(xiàn)有的設(shè)備、算法，或者企業(yè)的SRC團(tuán)隊(duì)，或者有IDS這種設(shè)備，那么情報(bào)可以作為可機(jī)讀的信息，讓機(jī)器立刻具備防御能力。

另一種應(yīng)用方式是給人讀。比如：企業(yè)安全管理者，企業(yè)決策層，讓他們能及時(shí)看到相關(guān)的報(bào)告。

此外，它還有一個(gè)非常重要的作用，就是讓企業(yè)能夠提早準(zhǔn)備和采取應(yīng)對(duì)措施。因?yàn)?，往往信息泄漏?duì)于企業(yè)造成的威脅是不可估量的，特別是在美國(guó)，很多企業(yè)可能會(huì)因?yàn)樾畔⑿孤?，或者是企業(yè)信息被攻破而導(dǎo)致企業(yè)的破產(chǎn)。雖然在“中國(guó)特色”的互聯(lián)網(wǎng)環(huán)境當(dāng)中，因?yàn)榇蠹叶际窃谄鸩诫A段，很多時(shí)候都是先有了業(yè)務(wù)來(lái)發(fā)展，安全才會(huì)跟上的。在這種情況下，其實(shí)企業(yè)需要具備一定的感知能力和發(fā)現(xiàn)能力，以便即時(shí)修補(bǔ)漏洞。哪怕企業(yè)安全人員手頭發(fā)現(xiàn)了一打漏洞，那肯定要排優(yōu)先級(jí)去修復(fù)它，當(dāng)然最好的方式是全部修復(fù)。如果發(fā)現(xiàn)外面的攻擊者盯上我某一個(gè)漏洞，或者嘗試用某一種工具攻破系統(tǒng)的話(huà)，那首先要把這一塊威脅給解決。

目前攻擊者對(duì)于威脅情報(bào)的應(yīng)對(duì)策略有哪些?

安全圈一直流傳著一句話(huà)：“未知攻，焉知防。”

李秋石表示，安全永遠(yuǎn)是一個(gè)攻防對(duì)抗的過(guò)程，攻擊者對(duì)情報(bào)的掌握比在明處的企業(yè)可能會(huì)更多。在工作中，我們可以看到很多有組織、有規(guī)模、成產(chǎn)業(yè)鏈的攻擊機(jī)制的攻擊者群體，其實(shí)他們內(nèi)部就已有非常豐富的情報(bào)發(fā)掘和共享的機(jī)制，包括：攻擊對(duì)象、主要防御措施、工作人員上班時(shí)間，還有企業(yè)處理威脅的方式。比如：企業(yè)的安全系統(tǒng)，或者風(fēng)險(xiǎn)防控系統(tǒng)的技術(shù)細(xì)節(jié)，他們都有共享的機(jī)制。攻擊者們對(duì)于這個(gè)體系已經(jīng)運(yùn)用得比較完善。所以作為防守方其實(shí)也應(yīng)該去進(jìn)行相應(yīng)的反制措施，能夠及時(shí)的發(fā)現(xiàn)這些行為，并采取相應(yīng)的應(yīng)對(duì)措施。威脅情報(bào)的作用就是一種平衡和對(duì)抗，就像現(xiàn)實(shí)中情報(bào)也是類(lèi)似的，就是信息的感知能力。

寫(xiě)在最后

李秋石表示，在國(guó)際上，威脅情報(bào)已經(jīng)是非?；馃岬脑?huà)題了，圍繞威脅情報(bào)的企業(yè)也非常受關(guān)注。在國(guó)內(nèi)，由于剛剛興起不久，威脅情報(bào)利用方面仍存在不足和亟待改善的地方。企業(yè)主要都是出于摸索和嘗試的階段，但是聲勢(shì)越來(lái)越浩大?，F(xiàn)在，討論最多的是企業(yè)安全和信息安全領(lǐng)域，而情報(bào)能夠驗(yàn)證它的價(jià)值和方法，并且能夠有非常好的一套機(jī)制，與企業(yè)的業(yè)務(wù)進(jìn)行更深入的結(jié)合。未來(lái)，威脅情報(bào)還需要進(jìn)行更快速的共享，這有助于各個(gè)企業(yè)，以及做情報(bào)的公司能夠一起去有效的防范威脅，其實(shí)最主要目的是為了能保證企業(yè)與用戶(hù)免受威脅。

 戳下方圖片，更有料！

（WOT2015大數(shù)據(jù)技術(shù)峰會(huì)總結(jié)專(zhuān)題）