今年是網(wǎng)絡(luò)安全大年，也是威脅情報(bào)的大年。RSA大會(huì)上，威脅情報(bào)也上升至熱詞榜第七位。國(guó)內(nèi)外多家組織機(jī)構(gòu)已經(jīng)發(fā)布各式威脅情報(bào)報(bào)告，例如全球權(quán)威信息化咨詢研究機(jī)構(gòu)Gartner的《全球威脅情報(bào)市場(chǎng)指南》、全球信息安全培訓(xùn)機(jī)構(gòu)SANS的《網(wǎng)絡(luò)威脅情報(bào)的演變：2019 SANS網(wǎng)絡(luò)威脅情報(bào)調(diào)查》，微步在線發(fā)布《2018威脅情報(bào)年報(bào)》。通過(guò)對(duì)這些報(bào)告的研讀不難發(fā)現(xiàn)，今年將是威脅情報(bào)落地應(yīng)用更加深入的一年。前因后果，下文細(xì)表。

[[263064]]

一、人人知好，處處賦能

SANS的調(diào)查數(shù)據(jù)顯示，已經(jīng)有80%的組織認(rèn)為自己從威脅情報(bào)中獲益。威脅情報(bào)起到了畫龍點(diǎn)睛一般的作用，無(wú)論是Gartner還是SANS的報(bào)告中都提到了威脅情報(bào)對(duì)于傳統(tǒng)安全產(chǎn)品的賦能。Gartner指出， 威脅情報(bào)通常是安全產(chǎn)品的差異化因素和能力核心，例如防火墻和統(tǒng)一威脅管理(UTM)系統(tǒng)、入侵檢測(cè)和防御(IDP)、SWG和安全電子郵件網(wǎng)關(guān)(SEG)、端點(diǎn)保護(hù)(EPP)、Web應(yīng)用防火墻(WAF)、還有分布式拒絕服務(wù)攻擊防御產(chǎn)品(DDoS)、安全信息和事件管理(SIEM)、漏洞管理、安全協(xié)調(diào)、MSS、托管檢測(cè)和響應(yīng)等。SANS的數(shù)據(jù)也顯示有82%的企業(yè)會(huì)把SIEM系統(tǒng)和威脅情報(bào)一起用，77%的企業(yè)會(huì)用情報(bào)賦能網(wǎng)絡(luò)流量檢測(cè)系統(tǒng)。

國(guó)內(nèi)比較常見的用法是威脅情報(bào)+網(wǎng)絡(luò)流量檢測(cè)、威脅情報(bào)+態(tài)勢(shì)感知、威脅情報(bào)+SOC等。有些非安全廠商也能夠和威脅情報(bào)擦出火花，本次入選Gartner市場(chǎng)指南的中國(guó)廠商微步在線，近日聯(lián)合ZDNS推出了DNS硬件防火墻產(chǎn)品，是一個(gè)新的威脅情報(bào)賦能DNS設(shè)備的案例。

情報(bào)處處賦能，意味著無(wú)論是做短期安全決策，還是制定長(zhǎng)期安全策略，情報(bào)的參考權(quán)重都在大幅度上升。同時(shí)，隨著威脅情報(bào)對(duì)攻擊者追蹤能力的不斷增強(qiáng)，企業(yè)也將對(duì)戰(zhàn)略層的、與企業(yè)組織相關(guān)度高的威脅情報(bào)報(bào)告產(chǎn)生更多需求。

二、適用行業(yè)與客群更加廣泛

我們觀察發(fā)現(xiàn)，威脅情報(bào)的適用行業(yè)變得比之前更加廣泛，除去政府和金融行業(yè)仍然是熱門以外，在國(guó)內(nèi)，能源、制造業(yè)、航空、媒體和新興科技行業(yè)中，大量頭部企業(yè)已經(jīng)展現(xiàn)出對(duì)威脅情報(bào)的濃厚興趣和強(qiáng)烈需求。Gartner發(fā)現(xiàn)威脅情報(bào)服務(wù)被廣泛用于制造、通信和媒體、IT服務(wù)和軟件、零售、金融、醫(yī)療保健和公用事業(yè)的戰(zhàn)略決策等，同時(shí)金融和政府垂直市場(chǎng)是主要消費(fèi)者。SANS的報(bào)告調(diào)研了585個(gè)組織和企業(yè)，其中政府、金融、科技和網(wǎng)絡(luò)安全企業(yè)是參與調(diào)研的主流行業(yè)，而醫(yī)療保健、制造業(yè)和電力行業(yè)的參與度有所上升。還有少部分來(lái)自媒體，制藥和供水業(yè)的企業(yè)參與了調(diào)研。

同時(shí)，使用威脅情報(bào)的客群體量也在發(fā)生變化。從國(guó)外的趨勢(shì)看，中型企業(yè)組織和小型IT團(tuán)隊(duì)開始展露出對(duì)威脅情報(bào)的需求，典型例子是威脅情報(bào)網(wǎng)關(guān)(TIG)和DNS防火墻的技術(shù)。因此，Gartner預(yù)測(cè)，面向中小型客戶的中端情報(bào)市場(chǎng)有著客單價(jià)低、整體交易量大的特點(diǎn)，因此會(huì)呈現(xiàn)最迅猛的增長(zhǎng)。

SANS則觀察到，威脅情報(bào)的應(yīng)用案例正在多樣化，抽樣調(diào)查中的大小型組織都在廣泛使用威脅情報(bào)，自2017年至2019年，生產(chǎn)或消費(fèi)情報(bào)的組織占比逐年增加，目前完全沒有意愿去生產(chǎn)或消費(fèi)情報(bào)的組織只有8%，換言之，92%參與調(diào)查的組織已經(jīng)正在或即將使用、生產(chǎn)威脅情報(bào)領(lǐng)域。

行業(yè)、客群和組織的變化，意味著網(wǎng)絡(luò)安全形勢(shì)的全面嚴(yán)峻。由于黑客和黑產(chǎn)更加專業(yè)化、網(wǎng)絡(luò)攻擊軟件SaaS化，上下游鏈條形成，發(fā)起一次攻擊的技術(shù)成本逐漸降低，投入產(chǎn)出比增加，許多看似不可能受害的行業(yè)和組織也無(wú)法幸免。因此，威脅情報(bào)產(chǎn)品的輕量化、SaaS化也將滿足這一部分快速增長(zhǎng)的市場(chǎng)需求。

三、客戶需要什么樣的威脅情報(bào)服務(wù)?

在日常安全運(yùn)維中，客戶對(duì)威脅情報(bào)的需求往往體現(xiàn)得十分直觀：

• 某個(gè)IP、網(wǎng)址、域名是否危險(xiǎn)?危險(xiǎn)域名的所有者是否為黑客團(tuán)伙?這些團(tuán)伙還注冊(cè)了哪些域名?還有其他惡意活動(dòng)和這些域名相關(guān)嗎?這個(gè)威脅應(yīng)該怎么處置?
• 現(xiàn)在爆發(fā)出了哪些新的威脅?這些威脅會(huì)通過(guò)哪些端口進(jìn)行傳播?企業(yè)應(yīng)該如何應(yīng)急處理?
• 企業(yè)是否正在被撞庫(kù)?經(jīng)常攻擊企業(yè)的黑客團(tuán)伙都有誰(shuí)?接下來(lái)幾個(gè)月內(nèi)他們可能會(huì)怎樣行動(dòng)?
• 黑客組織對(duì)企業(yè)及其員工有什么了解?企業(yè)的敏感信息是否被泄露?
• 企業(yè)能預(yù)測(cè)攻擊者的行動(dòng)嗎?他們可能會(huì)在什么時(shí)候以什么手段攻擊?

直觀的問(wèn)題背后，是客戶對(duì)攻擊者的興趣，在安全運(yùn)維過(guò)程中，客戶不僅希望了解具體的威脅，還希望在戰(zhàn)略和戰(zhàn)術(shù)層面了解攻擊者，正所謂“知己知彼，百戰(zhàn)不殆”。那么，在威脅檢測(cè)和響應(yīng)的具體案例中，分析師對(duì)具體威脅情報(bào)信息的重要性排名是怎樣的?

SANS的調(diào)查數(shù)據(jù)顯示，失陷指標(biāo)(IOC，一種可機(jī)讀威脅情報(bào))的排名高，有40.6%的人選擇;其次是威脅行為和對(duì)手TTP，占到27.3%;第三位是Digital footprint與攻擊面識(shí)別，占到18.0%;對(duì)手的戰(zhàn)略分析，13.3%。

具體的威脅情報(bào)信息，將會(huì)直接影響到企業(yè)的安全策略，比如安全支出的側(cè)重點(diǎn)、安全架構(gòu)的改進(jìn)、供應(yīng)鏈安全、安全監(jiān)控功能、事件響應(yīng)流程等。威脅情報(bào)將成為企業(yè)可靠的風(fēng)險(xiǎn)依據(jù)，讓企業(yè)做出更明智的決策。

因此，威脅情報(bào)不僅需要回答具體的問(wèn)題，還需要在企業(yè)制定安全策略時(shí)，從更高的維度給企業(yè)清晰的指導(dǎo)。

Gartner在《市場(chǎng)指南》中總結(jié)了威脅情報(bào)的10余種使用場(chǎng)景，如情報(bào)賦能、釣魚檢測(cè)、暗網(wǎng)監(jiān)控、威脅檢測(cè)與響應(yīng)、黑客畫像與黑客追蹤、威脅情報(bào)共享、高級(jí)應(yīng)急響應(yīng)(MDR)服務(wù)等12個(gè)場(chǎng)景，我們篩選了幾個(gè)在國(guó)內(nèi)較常見的場(chǎng)景：

• 賦能已有安全設(shè)備。通過(guò)訂閱情報(bào)和情報(bào)API，對(duì)已有安全設(shè)備進(jìn)行賦能。由于機(jī)讀情報(bào)的標(biāo)準(zhǔn)化，已有安全設(shè)備如SIEM、防火墻、EDR一般不需要額外部署和開發(fā)工作就能夠較為方便地應(yīng)用威脅情報(bào)。
• 主動(dòng)檢測(cè)響應(yīng)。威脅檢測(cè)其實(shí)是一種主動(dòng)事件響應(yīng)。通過(guò)應(yīng)用威脅情報(bào)，企業(yè)可以讓主動(dòng)響應(yīng)的工作更加自動(dòng)化。通常將威脅情報(bào)與流量監(jiān)控和分析技術(shù)相結(jié)合(如微步在線的TDP威脅監(jiān)控平臺(tái)、TDPS Web攻擊感知平臺(tái)等)，即可幫助企業(yè)發(fā)現(xiàn)可疑文件或連接的同時(shí)，提供更多信息，比如有相關(guān)性的C2、域名，惡意軟件團(tuán)伙或者家族等其他信息、以及解決方法。這樣企業(yè)組織可以全面、快速地捕獲和處置相關(guān)的威脅。
• 黑客畫像與黑客追蹤。通過(guò)SIEM等安全系統(tǒng)，企業(yè)與組織可以列舉出大量黑IP、域名等，但如果企業(yè)組織想知道，正在危害自己網(wǎng)絡(luò)安全的前20個(gè)攻擊者團(tuán)伙都有誰(shuí)，就要倚仗更深層面的威脅情報(bào)。威脅情報(bào)廠商會(huì)追蹤攻擊者在行動(dòng)時(shí)留下的痕跡，從而探查到攻擊者的TTP(戰(zhàn)術(shù)、技術(shù)和過(guò)程)。當(dāng)TTP檔案建立后，攻擊者的行為就會(huì)被追蹤到，而且攻擊者的行為往往是重復(fù)的。 威脅情報(bào)可用于獲取有關(guān)正在賣出去的漏洞的利用情況，針對(duì)終端的惡意軟件，或者用于釣魚攻擊的惡意域名。
• 高級(jí)應(yīng)急響應(yīng)(MDR)服務(wù)。對(duì)于大多數(shù)企業(yè)組織來(lái)說(shuō)，威脅情報(bào)分析師是一個(gè)過(guò)于專業(yè)、較為短缺的職位。因此，一些情報(bào)廠商在提供威脅情報(bào)數(shù)據(jù)和產(chǎn)品的同時(shí)，還會(huì)提供高級(jí)應(yīng)急響應(yīng)服務(wù)，由專業(yè)分析師提供應(yīng)急、處置、溯源等服務(wù)。

四、市場(chǎng)對(duì)供應(yīng)商提出新要求

Gartner在本次威脅情報(bào)市場(chǎng)指南中仍然強(qiáng)調(diào)以往的五個(gè)維度：覆蓋度、準(zhǔn)確度、可執(zhí)行性、可擴(kuò)展性和專業(yè)化程度。但是隨著市場(chǎng)對(duì)于威脅情報(bào)的認(rèn)識(shí)和應(yīng)用逐漸加深，這幾個(gè)維度上的要求也在產(chǎn)生變化，因此，供應(yīng)商的威脅情報(bào)能力無(wú)法停滯不前。Gartner提出的要求有：情報(bào)的多源化(開源、商業(yè)、多國(guó)情報(bào))、根據(jù)組織的情況定制情報(bào)的能力、對(duì)威脅參與者的滲透和分析、分析不同數(shù)據(jù)點(diǎn)并作出結(jié)論等。

而SANS的調(diào)查中體現(xiàn)了用戶對(duì)威脅情報(bào)功能的滿意度，根據(jù)圖表顯示，用戶對(duì)于威脅情報(bào)的上下文、覆蓋度、情報(bào)與檢測(cè)響應(yīng)系統(tǒng)的集成、基于位置的可見性、威脅情報(bào)衰變、機(jī)器學(xué)習(xí)等方面的滿意度仍能夠進(jìn)一步提升。有60%的用戶對(duì)于現(xiàn)有的威脅情報(bào)上下文感到比較滿意，而對(duì)于機(jī)器學(xué)習(xí)感到比較滿意的用戶只有36.8%。此外，SANS的調(diào)查還顯示，用戶在進(jìn)行惡意軟件樣本的溯源分析時(shí)，最依賴人工，半自動(dòng)和全自動(dòng)所占比例非常少，只有37.4%。

用戶不滿意之處，就是供應(yīng)商需要提升的地方。因此，我們根據(jù)目前國(guó)內(nèi)的需求現(xiàn)狀與Gartner和SANS的報(bào)告，總結(jié)出以下幾點(diǎn)供應(yīng)商要達(dá)到的新要求：

• 首先是對(duì)情報(bào)數(shù)據(jù)的要求。開源的數(shù)據(jù)和商業(yè)化的數(shù)據(jù)都是必要的，同時(shí)，在一些重要行業(yè)中，也應(yīng)當(dāng)采用可以覆蓋全球的數(shù)據(jù)或商業(yè)情報(bào)數(shù)據(jù)，用以對(duì)抗具有政治背景的黑客組織。情報(bào)數(shù)據(jù)應(yīng)當(dāng)符合國(guó)際標(biāo)準(zhǔn)。此外情報(bào)以API或平臺(tái)的形式被用戶調(diào)用或者部署。
• 其次是對(duì)情報(bào)產(chǎn)品迭代的倒逼。根據(jù)Gartner對(duì)用戶群的預(yù)測(cè)，中型組織和小型IT團(tuán)隊(duì)對(duì)情報(bào)的需求會(huì)成為未來(lái)高速增長(zhǎng)的一部分市場(chǎng)，而這樣的組織中又會(huì)有幾個(gè)人專注于應(yīng)用和處理威脅情報(bào)呢?這就引發(fā)了一個(gè)需求：情報(bào)的自動(dòng)化應(yīng)用。當(dāng)安全人員數(shù)量少、能力參差不齊時(shí)，安全產(chǎn)品需要補(bǔ)齊安全人員的能力，因此情報(bào)必然走向自動(dòng)化應(yīng)用，檢測(cè)和情報(bào)一體化的產(chǎn)品將具備快速打開這部分市場(chǎng)的能力。
• 然后是對(duì)情報(bào)生產(chǎn)技術(shù)的要求。合格的情報(bào)不僅應(yīng)當(dāng)具備上下文，還應(yīng)當(dāng)被納入到生命周期管理中。從數(shù)據(jù)篩選到情報(bào)的產(chǎn)出，到應(yīng)用、衰變和最終過(guò)期，每一個(gè)環(huán)節(jié)都需要分析師和機(jī)器學(xué)習(xí)研發(fā)者的共同努力。SANS的調(diào)研顯示，目前威脅情報(bào)的及時(shí)和準(zhǔn)確度已經(jīng)能夠滿足70%以上的用戶，市場(chǎng)對(duì)威脅情報(bào)的要求只會(huì)越來(lái)越高，因此，在目前情報(bào)產(chǎn)出已經(jīng)能滿足大部分用戶的前提下，情報(bào)處理的內(nèi)功將成為下個(gè)階段的核心競(jìng)爭(zhēng)點(diǎn)。

此外，威脅情報(bào)的共享仍然需要繼續(xù)推進(jìn)。Gartner認(rèn)為，威脅情報(bào)的共享機(jī)制對(duì)于企業(yè)組織的安全計(jì)劃具有實(shí)際價(jià)值，一些國(guó)家(美國(guó)、澳大利亞)也在倡導(dǎo)政府和企業(yè)之間共享威脅數(shù)據(jù)。國(guó)內(nèi)的威脅情報(bào)共享已有一些階段性成果，但企業(yè)聯(lián)盟之間的情報(bào)共享如何進(jìn)行，仍然是需要探索的課題。對(duì)抗黑客和黑產(chǎn)團(tuán)伙需要更深度的聯(lián)合。