"威胁情报"可谓是安全圈儿里最近当之无愧的热词。在刚刚落下帷幕的安全界盛会RSA大会上，大会主席阿米特·约伦(Amit Yoran)发表主题演讲，认为“未来安全防御应该增加在安全检测技术上的投资。“作为提升安全检测能力重要手段的威胁情报，其重要性不言而喻。

由安全牛举办的“CS 3：威胁情报解决方案峰会”吸引了360、IBM、谷安天下、微步在线、白帽汇，这国内五家在威胁情报应用技术上领先的安全厂商和安全咨询公司到场。据安全牛主编 李少鹏 介绍，CS系列论坛是“专注安全解决方案的大会，面向的主要是用户，讲的是自己的产品，解决的是甲方面临的安全问题。”今天，我们就来听听在CS 3威胁情报解决方案峰会上，具有代表性的、战斗在网络安全防护一线的安全厂商是如何理解、解读以及发展和应用威胁情报的。

360——威胁情报需以数据为基

360网络安全研究院院长 宫一鸣 首先开场，直接点明“传统情报领域已经改变，基础数据才是走向威胁情报塔尖的’台阶’，抓住数据比什么都重要。”目前，威胁情报技术正走在“从基础到落地实践”的过程中，直接夸口空谈威胁情报是毫无意义的，数据才是威胁情报产生作用的基础。

具体来说，“360认为，威胁情报有六个要素，分别是采集、关联、归类、整合、行动，以及分享。”360 天眼实验室负责人 韩永刚 补充介绍到，“在威胁情报的生产这个关键点上，数据的采集是威胁情报能否奏效的重中之重。”360的威胁情报数据主要来源于其独有的样本库、主防库、互联网域名信息库，以及最大的存货网址库和最大中文漏洞库，加之其他第三方数据源等，经由360威胁情报中心进行情报数据处理，通过数据挖掘、关联分析机器学习，和专家分析、可视化分析，与360产品联动，应用情报于安全响应和防护。

360威胁情报中心(https://ti.360.com/)

在威胁情报的落地使用上，韩永刚表示，“威胁情报从数据中来，也要到数据中去。”威胁情报要结合本地各层面数据的采集、还原、分析能力，才能有效发现威胁。企业如果构建了360安全大数据平台，便能采集和使用详细的“一手”安全数据，同时，通过此平台，企业就能扩展出溯源、取证、研判以及拓展分析方面的能力，使企业形成基于威胁情报感知的防护手段。

IBM——安全防护应成为完整的体系架构

IBM从主机安全开始，经过不断的整合和收购，到了今年，IBM已经形成了一整套安全体系架构。2006年，IBM通过收购了网络安全防护公司ISS(Internet Security System)成就了X-Force，今天IBM主要的威胁情报来源就是X-Force团队。

IBM中国区安全技术高级工程师 刘璐莹 表示：“APT攻击变成一种常态，IBM认为单纯做某一个领域的安全已经不足以帮助客户去维护其安全环境，整个防护机制需从检查清单式，转变到安全框架的思路上来。”2012年起，IBM就将所有的安全类产品整合到统一的框架中去，到今天，IBM已经涵盖从数据、应用、网络、终端、移动一系列的安全框架，同时它们之间不再是分立的，而是可以互相联动，可以分享信息的，并由安全智能平台作为各个安全框架的“管理中心”。刘璐莹补充到：“这一系列所有的安全解决方案也好，产品也好，服务也好，实际上最终的核心或者基础都是我们今天的主角——X-Force。”

IBM X-Force“大脑”

IBM的X-Force认为威胁情报最重要的有三点：第一，要有，要查得到，数据相对来说比较完整。第二，要能够触发实际的安全防护机制。第三个是要能够自动化地利用起来这些库，而不只是查询。X-Force努力的第一个方式就是将威胁情报与产品进行结合，目前X-Force的威胁情报库包括：漏洞、域名、APP应用、IP信誉和URL信誉、恶意软件，还有垃圾邮件等信息，这些信息都可以和我们现有安全类的产品做结合。

X-Force有一系列的输出，包括漏洞研究、漏洞保护、恶意软件分析、IP信誉、URL过滤、Web应用控制和反垃圾邮件等等，其威胁情报分享平台——X-Force Exchange就是一个开放的、可操作的、社交的情报平台，它实际上是向公众开放的门户和街口。据悉，X-Force每季度都会发布《IBM X-Force报告》来总结新出现的企业信息安全方面的信息和趋势，同时提供安全建议，以期帮助企业免受信息安全威胁侵害。X-Force的目标就是监控和评估瞬息万变的威胁形势；研究新的攻击技术，以及针对这些新攻击技术的保护方案；利用定期出报告的形式来培训公众；同时，把X-Force的研究成果、防护技术和获得的情报进行产品化集成，使得IBM的产品能够更加智能，帮助客户保护网络安全。

安全值——用威胁情报数字化评估安全

信息安全领域，好多技术聚焦在攻防对抗、应急响应、事件处理和漏洞挖掘等方面。但谷安想解决的是上层应用，即用数据威胁情报做风险管理。安全值是信息安全咨询公司谷安天下借助“威胁情报”这一前沿技术，打造的一款产品，通过“安全值”这款产品可以实现五分钟量化企业的信息安全风险。

谷安天下安全值产品总监 赵毅在会上介绍基于威胁情报的新应用“安全值”可用五分钟即可量化企业安全风险。赵毅补充表示，谷安天下是做风险管理出身的，所以用威胁情报来做风险管理是强项。威胁情报体现在安全值上，就是一种整合资源的能力，通过专业的视角，发现未知风险，对风险进行量化。

如何把数据用好，产生价值，是安全值想要解决的问题。据悉，谷安关注威胁情报领域已经有两年的时间，行业内有很多优秀的数据资源，而威胁情报的本质就是数据，这也是安全值这个第三方咨询公司的基础。安全值一共整合了100多个威胁情报数据资源，利用大数据挖掘分析方法，对实时情报数据进行风险分析，量化计算风险，提升用户的风险管理能力。

微步在线——百家争鸣下，微步专一而精。

微步在线应该是国内第一家专门做威胁情报的公司，在其于2015年6月份成立的时候，国内对威胁情报的实践寥寥，业界对威胁情报的概念还是处在学习和观望的阶段，微步在线创始人兼CEO 薛锋表示：“大家至今对威胁情报的理解还有很多不同，但这种百家争鸣、百花齐放的环境是非常好的。”微步在线的定位是做一个专注于数据的公司，致力于整合数据、机器与人的力量，提供具有可操作性的威胁情报，用来阻截攻击、发现威胁、溯源追踪和消除风险。薛锋补充道：“我们做威胁情报最核心的就是两个东西，一是数据，第二个就是对数据的分析，分析之后提炼出来有价值的东西。”

微步高度同意的观点是：“威胁情报还是离不开数据的”。薛锋解释到：“现在的数据着重在几个方面，一个是数量和数据的多样性，二是数据的时效性，最后最重要的是对数据的分析。”微步目前除了同微软、360等安全厂商合作，也与电信运营商和云计算等厂商合作，拥有两百多个数据源，不同的数据来源也保证了数据的多样性，同时间微步也有自己部署的数据点，工作主要集中在加工和整合的部分。

微步在线的数据来源

有人质疑威胁情报是看不到摸不着的东西，不做硬件也不做软件的微步专注于对数据的分析，认为“威胁情报公司应该是严谨的”，一百次的威胁分析成功了九十九次不叫成功，只要误判一次就是失败。目前微步在线提供的服务第一个是IOC，第二个是威胁分析平台，第三个是高级入侵事件检测，这也是一项免费的服务。微步在线的主要产品VB(VirusBook.cn)，是中国首个综合性的威胁分析平台, 免费为全球安全人员提供了一个便利的一站式分析平台。另一款产品TIC(威胁情报中心)的威胁应用解决方案，使客户在面对关键威胁时可以快速发现并采取有效的行动。

白帽汇——换个角度看威胁情报

白帽汇致力于提供尖端的安全技术，高性价比的产品和服务，帮助客户应对业务运行中可能出现的网络信息安全问题, “不被入侵，不被脱库”。其创始人兼CEO 赵武 对威胁情报的理解是：“我认为众人皆知的不能叫威胁情报，因为信息安全最核心的本质就是信息不对称。我们跟踪的一定是你不知道的，或者你之前没听说过的，我才把它叫威胁情报。”

白帽汇于2015年8月成立，团队主要来自于360和华为，有着深刻的，专注于做安全大数据和企业威胁情报的基因。目前网络安全形势不断严峻，安全公司对抗网络黑产的时候，总是落后，似乎道高一尺的时候总是魔高一丈。于是，赵武开始思考，我们为什么老去防护，而不能去攻击？我们能不能做一个攻防的转换，把战火烧到敌人的阵营？赵武的解释是因为我们跟踪黑客的情报的时候会发现，安全公司至今很难进行友好的联动，但是黑产至今互相的联动非常之紧密，而且分工合作得非常好。

白帽汇认为安全的环境一定不是等来的，而是通过打击黑色产业得到的，把攻击者进行抓获也好，进行惩罚也好，反正安全的环境等是等不到的。所以，赵武强调，要放弃防护的思维，主动出击，通过对黑产的情报监控、对黑产的打击、对黑客画像、对黑产的反制，把战火烧到敌人的阵营。

原文发布时间为：2016-04-05

本文作者：杨昀煦

本文来自云栖社区合作伙伴至顶网，了解相关信息可以关注至顶网。