至少10年前，隨著高級持續(xù)性威脅（APT）和定向攻擊被大家廣泛重視，威脅情報利用和共享的重要性也隨之被各界普遍認同。因為在網(wǎng)絡(luò)空間的非對稱戰(zhàn)爭中，防守方如果想要獲得制勝先機，就必須依賴情報共享，來最大程度降低防守成本，并指數(shù)級提升攻擊者的成本。 

然而，各國推進情報共享的進程卻并不平坦，網(wǎng)絡(luò)安全領(lǐng)域各處都留存下“信息共享倡議”的殘骸。即便是美國發(fā)展多年的ISAC（信息共享和分析中心）體系，在其國內(nèi)也是飽受質(zhì)疑。

在今年的RSAC大會上，全球最重要的情報共享組織之一網(wǎng)絡(luò)威脅聯(lián)盟（Cyber Threat Alliance）的CEO  Michael Daniel  發(fā)表了《錯誤的假設(shè)：為什么情報共享失敗》的主題演講，從一個情報共享實踐老兵的角度給出了自己的答案。

情報共享成攻防對抗制勝“密鑰”

三大誤解制約發(fā)展進程

在Daniel看來，情報共享之所以會挫折不斷，是因為在這個領(lǐng)域一直存在3個錯誤的假設(shè)：

1.認為網(wǎng)絡(luò)威脅情報是一種純粹的技術(shù)數(shù)據(jù)

而實際中，情報當前的發(fā)展已經(jīng)脫離文件、IP、域名信譽的階段很久了，從情報價值角度看，更重要的是惡意屬性背后的業(yè)務(wù)風險、緩解措施、攻擊意圖、技戰(zhàn)術(shù)手法、組織能力和背景等信息，而單純的黑白判定在安全運營中能發(fā)揮的價值非常低。這點在情報圈內(nèi)也許覺得清楚明白，但在更廣闊的市場看，對不同層次的戰(zhàn)術(shù)、作戰(zhàn)、戰(zhàn)略情報的呈現(xiàn)內(nèi)容和價值有了解的人還并不多。

2.認為所有組織都應(yīng)該共享這些數(shù)據(jù)

現(xiàn)實的困難會造成這個假設(shè)不成立：首先很多企業(yè)沒有情報分析、生產(chǎn)能力，也就難以提供相關(guān)自身行業(yè)、網(wǎng)絡(luò)的情報；其次不同行業(yè)業(yè)務(wù)（或地域、企業(yè)規(guī)模）不同，因此威脅相關(guān)性和需求也不同，彼此共享能得到的價值很不確定；再次從使用角度看，如果情報是為了支撐決策，那么一個企業(yè)真正做的安全決策其實很少，那么是否支撐了這些決策的情報信息才是企業(yè)比較優(yōu)勢的所在。

3.認為組織間建立共享通道后，共享就會很容易

實際上高質(zhì)量的情報共享還需要更多保障：信任、金錢、時間和關(guān)注。首先，需要相信共享的接收方可以妥善的處理情報，這種信任必須隨著時間推移不斷增加；其次，免費的情報也許不錯，但不夠好，難以解決問題。只有保證通過資金的投入來確?；貓?，才能保障有足夠的價值；最后，共享活動是需要有穩(wěn)定的人力投入，并獲得關(guān)注，否則難以為續(xù)。

360助力突圍情報共享困局

護航數(shù)字時代的騰飛中國

隨著全球數(shù)字化轉(zhuǎn)型的加速，以大數(shù)據(jù)、人工智能、5G等為代表的新型數(shù)字技術(shù)，讓傳統(tǒng)業(yè)務(wù)的原有流程、環(huán)境以及架構(gòu)體系完成迭代升級。與此同時，安全威脅無處不在、無孔不入。其中，高級持續(xù)性威脅（APT）由于具備定向性、長期持續(xù)、隱蔽潛伏等攻擊特點，安全人員運用傳統(tǒng)的檢測手段無法辨別和發(fā)現(xiàn)，情報共享更加顯得尤為重要。

作為數(shù)字經(jīng)濟的守護者，360政企安全集團基于15年攻防實戰(zhàn)經(jīng)驗及230億安全研發(fā)投入，打造出以360安全大腦為核心的數(shù)字安全能力體系，有效的解決了情報共享的難題。

首先，360政企安全集團認識到傳統(tǒng)的威脅情報平臺（TIP）僅是做威脅情報的匯聚和消費，并不足以支撐關(guān)鍵基礎(chǔ)設(shè)施的防護。因此，其提出了情報基礎(chǔ)設(shè)施解決方案，希望針對城市、行業(yè)及大型企業(yè)，能夠協(xié)助建立情報分析和生產(chǎn)能力和共享標準，并提供運營支撐，從而可以促進形成國家、城市、行業(yè)的情報共享生態(tài)，提高網(wǎng)絡(luò)彈性，以應(yīng)對數(shù)字時代的新威脅與大挑戰(zhàn)。

其次，針對國內(nèi)大部分場景還局限在為IP、域名、URL、HASH等戰(zhàn)術(shù)情報做檢測的情況，360政企安全集團提出了智能情報的概念，希望讓市場了解情報除了可以讓檢測更及時外，還可以讓運營更高效、決策更智慧，并據(jù)此提供了更豐富的情報種類；同時也在情報中傾注更多精力去提供完善的上下文信息，讓情報消費者對威脅可以有更詳盡的了解，以支撐報警排序和事件處置的運營決策。

結(jié)合以上解決方案所產(chǎn)出的關(guān)聯(lián)威脅情報，不僅可以對攻擊方進行組織畫像和溯源；利用威脅情報構(gòu)建的攻擊知識庫，還能夠?qū)崿F(xiàn)對APT攻擊的智能化攻擊意圖推理及樣本變種自動化跟蹤。在信息共享和事件應(yīng)急場景下，根據(jù)威脅情報反映的互聯(lián)網(wǎng)安全態(tài)勢，更是有助于預(yù)判后續(xù)可能的安全風險，使得響應(yīng)網(wǎng)絡(luò)威脅的速度更快，高效塑立了“預(yù)防、抵御、恢復(fù)、適應(yīng)”的網(wǎng)絡(luò)彈性。

這套流程讓360政企安全集團目前已累計發(fā)現(xiàn)CIA 、海蓮花、摩訶草、美人魚等境外APT組織40余個，以“看見”網(wǎng)絡(luò)攻擊、威脅的能力，嚴守國家第一道網(wǎng)絡(luò)安全防線。 

值得一提的是，從當前國內(nèi)推進情報共享的進展來看，已經(jīng)實施的相關(guān)舉措和時代對于這一輩中國網(wǎng)安人的希冀相比，依舊顯得遠遠不夠；從情報共享生態(tài)對國家網(wǎng)絡(luò)空間戰(zhàn)略的價值來看，為應(yīng)對數(shù)字時代更多有組織的專業(yè)網(wǎng)絡(luò)犯罪團伙，針對情報共享的投入也亟待提升。只有有效建立國家、行業(yè)、城市不同層次，互成體系的情報共享機制，才能進一步形成具備足夠縱深、高度韌性的安全能力，為數(shù)字時代的騰飛中國保駕護航。