威脅情報數(shù)據(jù)是越多越好嗎？威脅情報檢測產(chǎn)生大量誤報怎么辦？到底什么樣的情報才最合適？安全運營團隊不足該怎么辦？作為威脅檢測的“良藥”，自威脅情報被提出以來，這些問題一直困擾著大量用戶。由此可見，威脅情報的應用仍然具有較高的門檻。

為解決上述問題，奇安信威脅情報中心基于多年威脅情報技術積累，面向終端、網(wǎng)關、大數(shù)據(jù)平臺等環(huán)境推出了威脅情報SDK檢測引擎（QTDE），提升相關產(chǎn)品基于威脅情報的檢測和發(fā)現(xiàn)能力，并且大幅降低了威脅情報的消費門檻。

市場需求只增不減

能夠看到的是，在歷經(jīng)了前期動蕩的階段后，經(jīng)過多方扎實有重點的試驗，對威脅情報的適用范圍及限制擁有客觀并實際的了解，市場規(guī)模逐漸成長。根據(jù) Gartner 的最新預測，威脅情報支出預計將以 15.8% 的復合年增長率增長，到 2025 年將達到 26 億美元。

奇安信威脅情報中心認為，威脅情報本質上是威脅檢測能力在知識層面的打包輸出，基于威脅情報檢測能力已經(jīng)成為新安全、新基建防御的基礎和核心，在安全事件分析和應急響應中不可或缺。并且，未來威脅情報會進入垂直細分領域市場，情報內(nèi)生（TI INSIDE）的模式將會成為主流。

但需要注意的是，威脅情報的應用并非一勞永逸，而是需要持續(xù)的運營。然而，由于缺乏專業(yè)的安全運營團隊，大多數(shù)組織的情報消費能力略有不足，根據(jù)Gartner的調研顯示，目前仍有大量用戶未能很好的將威脅情報應用于威脅狩獵的過程，導致部分安全投資“打了水漂”。

降低情報消費門檻

奇安信威脅情報中心認為，大幅簡化威脅情報應用的過程，同時保持高質量的威脅情報輸出，對于降低用戶側威脅情報消費門檻至關重要。

為此，奇安信威脅情報中心推出的QTDE，實現(xiàn)了便捷生產(chǎn)、共享與消費威脅情報的閉環(huán)，能夠通過為不同形態(tài)的產(chǎn)品提供情報檢索、基于分析師的研判和關聯(lián)分析能力，定時分發(fā)熱點IOC數(shù)據(jù)，使各集成產(chǎn)品整合、應用接口傳遞結果，檢測威脅類型包括APT攻擊、遠控木馬、蠕蟲木馬、僵尸網(wǎng)絡、勒索軟件、挖礦、黑客利用EXP等。

該引擎整合了高價值情報數(shù)據(jù)和專業(yè)的檢測處理邏輯，一次集成完成，通過簡單的接口調用，就可以使設備或產(chǎn)品具有高精準、高性能、可定性、可攔截的威脅情報檢測能力。用戶不需要任何威脅情報、安全對抗知識，也無需了解威脅情報研判和檢測邏輯，即可輕松具備產(chǎn)品的情報能力加持。

生態(tài)共贏

另外，Gartner調查發(fā)現(xiàn)，盡管威脅檢測能力取得了長足的進步，但攻擊者仍然能夠完成滲透目標，這在很大程度上是由于不同競爭對手和行業(yè)的不合作或不共享威脅信息。由此可見，生態(tài)合作是威脅情報市場發(fā)展的必由之路。

奇安信威脅情報中心面向網(wǎng)絡安全威脅情報生態(tài)聯(lián)盟（CEATI）成員，提供不同等級的QTDE集成應用服務。該服務可通過集成威脅情報的SDK動態(tài)庫方式，讓聯(lián)盟合作伙伴的產(chǎn)品在短時間內(nèi)具備基于威脅情報的檢測能力，共同推動產(chǎn)品、解決方案層面的情報深度融合的同時，也推動了威脅情報行業(yè)生態(tài)發(fā)展。

                                            聯(lián)盟生態(tài)合作伙伴

面對計算資源受限導致無法很好消費威脅情報數(shù)據(jù)的情況，奇安信威脅情報中心能夠提供定制化的 QTDE 分發(fā)規(guī)則，僅提供分析師運營過濾、確認的熱點情報數(shù)據(jù)和高價值情報數(shù)據(jù)（例如APT類數(shù)據(jù)）；而對于硬件性能、使用場景均適宜的產(chǎn)品，則提供全量的 IOC 數(shù)據(jù)和更豐富的上下文信息，充分滿足NGFW、UTM、終端防病毒、虛擬化終端、云安全、SOC、態(tài)勢感知等多種網(wǎng)絡安全設備、主機應用和大數(shù)據(jù)平臺的集成需求。

不僅如此，奇安信威脅情報中心推送的情報數(shù)據(jù)升級包頻率為小時級更新，極大程度上保證了威脅情報的時效性和準確性。

附：網(wǎng)絡安全威脅情報生態(tài)聯(lián)盟簡介

CEATI（Cybersecurity Ecology Alliance of Threat Intelligence）網(wǎng)絡安全威脅情報生態(tài)聯(lián)盟，是由奇安信威脅情報中心聯(lián)手國內(nèi)多個著名安全公司共同發(fā)起的共建威脅情報行業(yè)生態(tài)的的聯(lián)盟機構，旨在以威脅情報能力應用為核心，打造新生態(tài)圈模式，情報使能、共謀共策、開放合作、共贏未來。