众人皆知的不叫情报

　　——安全牛CS 3威胁情报解决方案峰会

　　安全事件如同雪花一般，每起事件都各具特色，堆积起来便形成了一个问题。如何去解决？近两年“超火”的“威胁情报”或许能给你答案。那什么是威胁情报？根据Gartner的定义：威胁情报是基于证据的知识，包括上下文、机制、指标、隐含和可操作的建议，针对一个现存或新兴的威胁，可用于做出相应决定的知识。虽然在国内，威胁情报的落地和应用还没有很成熟，但关注的人仍想一探究竟。

　　3月30日，以专门发现优秀安全企业和优秀安全产品的信息咨询机构安全牛在京举办“CS 3威胁情报解决方案峰会”。360、IBM、谷安天下、微步在线、白帽汇五家安全公司分享了对威胁情报的理解和技术应用解决方案。

　　专业“搬砖”

　　360网络安全研究院院长宫一鸣表示：“在某种意义上，威胁情报像金字塔的塔尖，大家都在谈论塔尖的东西，但是如果没有解决基础，这个塔尖是不存在的。怎么达到塔尖？就要用基础数据。”什么是基础数据？意思就是说，数据是有价值的，关键是谁能够看到它的价值，怎么能够把它利用起来？

　　宫一鸣介绍，360网络安全研究院的工作重点就是通过这两年特别流行的新三大件——Passivedns、Whois、Md5来发现基础数据，挖掘数据价值。宫一鸣将此戏称为“搬砖”，威胁情报正是建立在这样一块块砖头似的基础数据之上。

　　完成威胁感知的拼图

　　360天眼实验室负责人韩永刚在宫一鸣的“搬砖”的基础数据上，分享了他们的“码砖”工作，即基础数据落地的过程。韩永刚认为，这就是在玩“拼图”，通过用战术、方法、过程找到攻击的特征，最终把威胁情报组合起来，应用到客户那里。韩永刚表示：“在玩威胁情报的拼图中，人们通常将大多精力集中在发现这个环节上，现在能够做到取证、拓展、溯源等，实现即时的响应。”他还预估五六年以后，在这方面的预算会占到60%。

　　这样看来，威胁情报的关键点不是真正拥有数据，而是对数据分析处理，以及在云端分析数据，产生情报，在本地帮助客户建立轻量级的大数据平台，这是一个完整的过程。做到这些，依靠的还是对基础情报的处理能力，情报是从数据中来，最后还要回到数据中去，威胁情报最终回到客户侧才能发挥它的作用。

　　打造安全领域的应用商店

　　来自于IBM安全系统部的IBM中国区安全技术高级工程师刘璐莹着重介绍了被称为“大脑”的IBM X-Force团队。X-Force是IBM内部的安全研究团队。2006年，IBM通过一系列收购正式组建了X-Force安全团队。如今，IBM已经形成了一整套的安全体系架构。刘璐莹表示，对于安全类的解决方案来说，功能和性能永远是考量的第一目标。大脑，安全产品的大脑才是安全产品成功防护的一个关键。所以X-Force就是IBM的大脑。作为一个专业的安全研究机构，X-Force有四个主要工作目标：监控和评估瞬息万变的威胁形势，研究新的攻击技术并提供保护方案，培训客户和公众，产品化集成。

　　IBM如何使用威胁情报？IBM提出了分享的概念。X-Force建立了全球范围内最早的情报共享平台——X-Force Exchange。这是一个开放的、可操作的、社交化的情报平台，它把X-Force多年的积累开放给公众。同时这也是一个可操作的平台，支持业界通用的模式，可以进行信息交换和产品集成。

　　刘璐莹介绍，通过IBM全球12家SOC中心托管的4000多个客户，IBM每天可以收到多达150亿个事件。对这些事件所收集的真实数据进行整理、提炼、发现最新的安全动态。

　　IBM还打造了APP Exchange，可以理解为安全领域的App Store。目前在App Exchange上已经有超过数十个应用，还有大量的应用正在审核过程中，它的审核过程和App Store流程很相似。

　　争做数据的挖掘机

　　谷安天下安全值产品总监赵毅在现场发布了一款针对威胁情报的新产品——安全值，可以五分钟量化企业的信息安全风险。赵毅表示：“威胁情报的本质就是数据。但数据的维度是不同的，因此如何把数据用好，是谷安天下想要解决的问题。数据分析和处理或者是机器学习，不是谷安天下的长项，但可以基于威胁情报生成一些信息，并形成产品。威胁情报有了，但它的价值何在，如何使用这才是我们在做的事情。”

　　信息安全领域，好多技术聚焦在攻防对抗、应急响应、事件处理和漏洞挖掘等方面。但谷安天下想解决的是上层的应用问题，就是用数据威胁情报做风险管理。

　　谷安天下是咨询公司，数据从哪里来呢？赵毅幽默地说：“我们不生产数据，也不是数据的搬运工，想做的是数据的挖掘机。”安全值历经了两年的时间，整合了全球100多个威胁情报数据资源，对这些实时的数据进行查询和分析。这些数据有收费的也有免费的，有威胁情报数据，还有一些互联网通信类的基础数据。

　　通过安全值可以看自己、看行业，也可以看差距。发现未知风险，对风险进行量化，在行业间还可以做差距的分析。

　　“威胁情报+”将是一种状态

　　去年6月成立的微步在线是国内第一家专门做威胁情报的公司，定位是一个专注于做数据的公司。微步在线创始人兼CEO薛锋介绍，微步天下做威胁情报最核心的两个内容，一是数据，二是对数据的分析，分析之后提炼出来有价值的东西。

　　薛锋表示，做威胁情报分析是一件很艰苦的事情，但对于做的人来说是很有乐趣的。在网络安全人员眼里，把发现的漏洞、病毒等相关数据进行合理地关联，并且有条理地展示出来，这项工作很有意思。因为只有把这些东西串到一块才是一个故事，如果只看病毒，只看代码，是没有价值的，或者说价值非常有限，尤其是对做应急响应来说。

　　微步在线用威胁情报的思路，通过查IP的出现时间，和一些域名等信息，最终找到有价值的信息。薛峰认为，威胁情报离不开数据，数据的多样性和时效性，以及分析能力才是更重要的。薛峰还展示了微步在线的IOC、威胁分析平台和高级入侵事件检测服务。

　　微步在线还提出一个概念叫“威胁情报+”。薛峰认为“威胁情报+”将来可能是无处不在的一种状态，安全厂商、安全产品之间应该是互相促进、互相结合的关系，例如当扫描器、防火墙对接了某种类型的威胁情报，可以变得更好、更智能。

　　把战火烧到敌人的阵营

　　知名“白帽子”赵武分享了他对威胁情报的思考。他认为，众人皆知的不能叫威胁情报，因为信息安全本质就是信息不对称。真正的威胁情报一定是你不知道的，或者你之前没听说过的。

　　赵武介绍，白帽汇去年8月份成立，团队人员主要来自于360和华为。团队专注于做安全大数据和企业威胁情报，发布了《Redis crackit报告》和《fortinet后门报告》。之所以成立白帽汇，是因为尽管安全公司越来越努力，但是网络攻击却越来越多，受害者每天都在增加。这是一个很尴尬的境地。实验室里设想的攻击并不能应用于现实，因为，攻击者会通过各种手段绕开你的安全边界进行攻击。

　　赵武认为目前的主要安全威胁有三类：

　　一是，企业不知道的隐形资产，已经弃用或者新上线的资产会导致70%的攻击源。我们认为一个可被攻击的对象不止是技术上、物理上的资产，还有人员的资产。这是我们要思考的一个问题。

　　二是，Nday的问题，结合黑客买白帽账号，拿到情报，去做全网的扫描，这是很大的威胁来源。

　　三是，目前在安全攻防角度很明显的思考，叫外部数据的威胁，比如撞库攻击、Github泄露、钓鱼、后门。这一系列都是从外部来的，它不是从内部，内部再做数据监控都监控不了这一块。企业不知道的隐形资产、Nday是威胁来源、外部数据的威胁。

　　面对这些威胁，安全公司在和黑客的对抗中经常落后，因为安全公司至今很难进行友好的联动，但是黑色产业之间的互动非常紧密，分工合作得非常好。

　　所以，赵武强调，要放弃防护的思维，主动出击，通过对黑色产业的情报监控、对黑色产业的打击、对黑客画像、对黑色产业的反制，把战火烧到敌人的阵营。

　　■本报记者 邓晓蕾