新基建”是近期社會(huì)最為關(guān)注的話題，它包括了以5G、工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、車聯(lián)網(wǎng)、人工智能、云計(jì)算等科技領(lǐng)域的國(guó)家數(shù)字化基礎(chǔ)設(shè)施建設(shè)，對(duì)信息化安全保障的需求進(jìn)一步加大，這不僅是網(wǎng)絡(luò)安全產(chǎn)業(yè)的機(jī)遇，更是對(duì)網(wǎng)絡(luò)安全技術(shù)、產(chǎn)品、方案的創(chuàng)新提出了新的挑戰(zhàn)。

就新技術(shù)而言，威脅情報(bào)無(wú)疑是近年來(lái)網(wǎng)絡(luò)安全一個(gè)炙手可熱的領(lǐng)域，連續(xù)幾年的RSA大會(huì)，威脅情報(bào)都位于熱詞榜之列。隨著移動(dòng)互聯(lián)網(wǎng)發(fā)展起來(lái)的威脅情報(bào)，已經(jīng)在很多行業(yè)得到廣泛應(yīng)用，SOC、流量檢測(cè)、態(tài)勢(shì)感知，甚至DNS防護(hù)都能和威脅情報(bào)緊密結(jié)合。威脅情報(bào)為這些傳統(tǒng)的安全產(chǎn)品賦能，讓它們變得更加精準(zhǔn)和主動(dòng)。

全面轉(zhuǎn)向ToB的騰訊，在威脅情報(bào)方面也開(kāi)始輸出自己的能力。騰訊御見(jiàn)威脅情報(bào)中心，是一個(gè)涵蓋全球多維數(shù)據(jù)的情報(bào)分析、威脅預(yù)警分析平臺(tái)。作為騰訊威脅情報(bào)團(tuán)隊(duì)的安全專家，譚昱向記者介紹了威脅情報(bào)的核心原理、應(yīng)用價(jià)值，以及騰訊在威脅情報(bào)領(lǐng)域的優(yōu)勢(shì)所在。

為什么需要威脅情報(bào)？

互聯(lián)網(wǎng)新技術(shù)新應(yīng)用的發(fā)展，使得新的安全隱患不斷產(chǎn)生。一方面，企業(yè)缺乏專業(yè)的安全技術(shù)人員，另一方面，在網(wǎng)絡(luò)邊界日益模糊的今天，各種傳統(tǒng)的安全防御設(shè)施已經(jīng)顯得越來(lái)越被動(dòng)，尤其是安全風(fēng)險(xiǎn)的快速變化，使得企業(yè)的防御體系基本上滯后于新型攻擊的演變。

面對(duì)以上問(wèn)題，譚昱表示，多變的安全風(fēng)險(xiǎn)無(wú)法只依靠安全人員的人力來(lái)應(yīng)對(duì)，很多企業(yè)被海量的無(wú)效安全告警所淹沒(méi)，運(yùn)營(yíng)人員疲于奔命，難以發(fā)現(xiàn)真正有威脅的問(wèn)題；同時(shí)企業(yè)的安全體系日益龐雜，告警方式也不統(tǒng)一，安全人員難以把握整體的安全態(tài)勢(shì)。對(duì)企業(yè)來(lái)說(shuō)，威脅情報(bào)是專門為安全體系量身打造的一套工具，讓企業(yè)可以及時(shí)發(fā)現(xiàn)高風(fēng)險(xiǎn)，及時(shí)響應(yīng)，查缺補(bǔ)漏。威脅情報(bào)的應(yīng)用，就是通過(guò)對(duì)敵方的最新情報(bào)，及其動(dòng)機(jī)、企圖和方法進(jìn)行收集、分析和傳播，幫助各個(gè)層面的安全和業(yè)務(wù)成員保護(hù)企業(yè)關(guān)鍵資產(chǎn)。

譚昱表示，通過(guò)威脅情報(bào)，專業(yè)的安全人員可以實(shí)現(xiàn)以下積極的防御效果：

——采取積極地措施，而不是只能采取被動(dòng)地措施，可以建立計(jì)劃來(lái)打擊當(dāng)前和未來(lái)的威脅；

——形成并組織一個(gè)安全預(yù)警機(jī)制，在攻擊到達(dá)前就已經(jīng)知曉；

——幫助提供更完善的安全事件響應(yīng)方案；

——使用網(wǎng)絡(luò)情報(bào)源來(lái)得到安全技術(shù)的最新進(jìn)展，以阻止新出現(xiàn)的威脅；

——對(duì)相關(guān)的危險(xiǎn)進(jìn)行調(diào)查，擁有更好的風(fēng)險(xiǎn)投資和收益分析；

——尋找惡意IP地址、域名/網(wǎng)站、惡意軟件hash值、受害領(lǐng)域。

在產(chǎn)業(yè)互聯(lián)網(wǎng)時(shí)代，尤其是“新基建”所帶來(lái)的數(shù)字化基建浪潮，威脅情報(bào)將在企業(yè)數(shù)字化轉(zhuǎn)型的安全保障中發(fā)揮著越來(lái)越重要的作用。

有了威脅情報(bào)，如何用好更為關(guān)鍵。

Gartner的《全球威脅情報(bào)市場(chǎng)指南》提出了威脅情報(bào)的五個(gè)維度：覆蓋度、準(zhǔn)確度、可執(zhí)行性、可擴(kuò)展性和專業(yè)化程度。譚昱認(rèn)為，其中有兩個(gè)關(guān)鍵點(diǎn)很重要：除了準(zhǔn)確性和覆蓋度外，威脅情報(bào)的關(guān)聯(lián)信息要明晰，例如威脅情報(bào)對(duì)應(yīng)的病毒團(tuán)伙的組織名稱，活躍時(shí)間，基礎(chǔ)設(shè)備，主要攻擊方向等。其次，威脅情報(bào)的具體應(yīng)用場(chǎng)景，是與WAF相結(jié)合，還是零信任體系、數(shù)據(jù)安全等場(chǎng)景。

威脅情報(bào)本質(zhì)上是一種數(shù)據(jù)知識(shí)，單獨(dú)使用價(jià)值并不明顯，需要和傳統(tǒng)的安全防護(hù)體系結(jié)合起來(lái)才有價(jià)值，起到“畫龍點(diǎn)睛”的作用。對(duì)此，譚昱做了一個(gè)比喻：如果把企業(yè)看成一個(gè)城堡，傳統(tǒng)的安全防護(hù)體系就是拱衛(wèi)城堡的城墻，是一個(gè)被動(dòng)的防御體系，而威脅情報(bào)就是衛(wèi)兵，他們與城墻相結(jié)合，才能發(fā)揮出防御體系的最大價(jià)值，做到全方位的防護(hù)。

顯然，威脅情報(bào)是企業(yè)可信任的風(fēng)險(xiǎn)依據(jù)，可以讓企業(yè)據(jù)此做出及時(shí)正確的決策。從更高的維度來(lái)看，威脅情報(bào)不僅能解決具體問(wèn)題，還能幫企業(yè)制定整體安全策略是給予指導(dǎo)。

譚昱表示，威脅情報(bào)的作用有三方面。首先是最基礎(chǔ)的部分，威脅情報(bào)將防御體系所需要檢測(cè)的信息，例如域名、IP信息等，提供給防火墻、WAF等安全產(chǎn)品，直接起到攔截和防護(hù)的作用。

其次，針對(duì)企業(yè)內(nèi)部已經(jīng)發(fā)現(xiàn)的威脅，可以借助威脅情報(bào)，利用分析系統(tǒng)進(jìn)行溯源和分析，找到攻擊者所屬的組織，攻擊的入侵路徑和方法，以及最終的影響，將分析結(jié)果提供給企業(yè)安全運(yùn)營(yíng)團(tuán)隊(duì)來(lái)進(jìn)行評(píng)估和決策，及時(shí)調(diào)整防護(hù)策略，讓整體防御體系更加安全。

最后，戰(zhàn)略級(jí)的威脅情報(bào)，可以幫助企業(yè)對(duì)當(dāng)前的安全態(tài)勢(shì)進(jìn)行分析：目前存在哪些安全隱患，未來(lái)可能會(huì)發(fā)生哪些安全風(fēng)險(xiǎn)，通過(guò)這些信息，來(lái)指引企業(yè)的整體安全規(guī)劃和決策。

近年來(lái)，生產(chǎn)和消費(fèi)威脅情報(bào)的組織都在逐年增加，騰訊安全選擇在此時(shí)對(duì)外輸出威脅情報(bào)能力，顯然對(duì)此有著充分的準(zhǔn)備和信心。

譚昱表示，依托于騰訊威脅情報(bào)生產(chǎn)團(tuán)隊(duì)的快速收集和響應(yīng)，企業(yè)用戶可以通過(guò)升級(jí)或者云端的方式同步獲取最新的威脅情報(bào)，大幅提高企業(yè)用戶對(duì)安全威脅的響應(yīng)速度，提高攻擊者的攻擊難度，從而保護(hù)企業(yè)的數(shù)據(jù)安全、核心資產(chǎn)安全、辦公環(huán)境安全等。

一個(gè)有效、及時(shí)的威脅情報(bào)的產(chǎn)生并不簡(jiǎn)單。譚昱介紹，這里存在三大難點(diǎn)：要有充足的、海量的數(shù)據(jù)，要有強(qiáng)大的數(shù)據(jù)處理能力，還必須要有一個(gè)了解整個(gè)安全行業(yè)的專業(yè)團(tuán)隊(duì)。而騰訊通過(guò)長(zhǎng)期運(yùn)營(yíng)，已經(jīng)有了成熟的數(shù)據(jù)收集系統(tǒng)，在嚴(yán)格的隱私保護(hù)協(xié)議下，每天可以收集到2萬(wàn)億以上的系統(tǒng)日志數(shù)據(jù)，所有數(shù)據(jù)進(jìn)行脫敏處理后，通過(guò)騰訊的安全大腦大數(shù)據(jù)處理平臺(tái)將數(shù)據(jù)快速處理，最后通過(guò)有豐富經(jīng)驗(yàn)的運(yùn)營(yíng)團(tuán)隊(duì)，將其轉(zhuǎn)化為有價(jià)值的威脅情報(bào)，輸出給用戶。
譚昱強(qiáng)調(diào)，威脅情報(bào)不僅要保證準(zhǔn)確性和時(shí)效性，還要保證其可用性。在情報(bào)生產(chǎn)過(guò)程中，運(yùn)營(yíng)團(tuán)隊(duì)就會(huì)對(duì)情報(bào)進(jìn)行深入分析，提供如攻擊方向、威脅等級(jí)、所屬團(tuán)隊(duì)等更多信息，幫助用戶確定情報(bào)在自身安全體系中的適用場(chǎng)景。同時(shí)，騰訊御見(jiàn)威脅情報(bào)中心還會(huì)幫助用戶進(jìn)行一個(gè)持續(xù)的跟蹤和產(chǎn)品的交付，保證用戶在使用過(guò)程中符合開(kāi)始設(shè)定的預(yù)期目標(biāo)，根據(jù)反饋的問(wèn)題實(shí)時(shí)幫助用戶做調(diào)整和部署，從而讓威脅情報(bào)的價(jià)值真正地發(fā)揮，達(dá)到應(yīng)有的效果。

作為一種彌補(bǔ)攻防信息不對(duì)稱的安全新技術(shù)，威脅情報(bào)在企業(yè)安全體系中的權(quán)重正在不斷上升。當(dāng)然，我們不能把威脅情報(bào)看成能解決所有安全風(fēng)險(xiǎn)的“銀彈”技術(shù)，但結(jié)合具體應(yīng)用場(chǎng)景，靈活運(yùn)用好威脅情報(bào)的特性，其對(duì)傳統(tǒng)安全產(chǎn)品的賦能，以及對(duì)用戶現(xiàn)有安全防御體系的提升，在當(dāng)下還是其他技術(shù)無(wú)法比擬的。

來(lái)源：中國(guó)信息安全