今年是網絡安全大年，也是威脅情報的大年。RSA大會上，威脅情報也上升至熱詞榜第七位。國內外多家組織機構已經發布各式威脅情報報告，例如全球權威信息化咨詢研究機構Gartner的《全球威脅情報市場指南》、全球信息安全培訓機構SANS的《網絡威脅情報的演變：2019 SANS網絡威脅情報調查》，微步在線發布《2018威脅情報年報》。通過對這些報告的研讀不難發現，今年將是威脅情報落地應用更加深入的一年。前因后果，下文細表。

[[263064]]

一、人人知好，處處賦能

SANS的調查數據顯示，已經有80%的組織認為自己從威脅情報中獲益。威脅情報起到了畫龍點睛一般的作用，無論是Gartner還是SANS的報告中都提到了威脅情報對于傳統安全產品的賦能。Gartner指出， 威脅情報通常是安全產品的差異化因素和能力核心，例如防火墻和統一威脅管理(UTM)系統、入侵檢測和防御(IDP)、SWG和安全電子郵件網關(SEG)、端點保護(EPP)、Web應用防火墻(WAF)、還有分布式拒絕服務攻擊防御產品(DDoS)、安全信息和事件管理(SIEM)、漏洞管理、安全協調、MSS、托管檢測和響應等。SANS的數據也顯示有82%的企業會把SIEM系統和威脅情報一起用，77%的企業會用情報賦能網絡流量檢測系統。

國內比較常見的用法是威脅情報+網絡流量檢測、威脅情報+態勢感知、威脅情報+SOC等。有些非安全廠商也能夠和威脅情報擦出火花，本次入選Gartner市場指南的中國廠商微步在線，近日聯合ZDNS推出了DNS硬件防火墻產品，是一個新的威脅情報賦能DNS設備的案例。

情報處處賦能，意味著無論是做短期安全決策，還是制定長期安全策略，情報的參考權重都在大幅度上升。同時，隨著威脅情報對攻擊者追蹤能力的不斷增強，企業也將對戰略層的、與企業組織相關度高的威脅情報報告產生更多需求。

二、適用行業與客群更加廣泛

我們觀察發現，威脅情報的適用行業變得比之前更加廣泛，除去政府和金融行業仍然是熱門以外，在國內，能源、制造業、航空、媒體和新興科技行業中，大量頭部企業已經展現出對威脅情報的濃厚興趣和強烈需求。Gartner發現威脅情報服務被廣泛用于制造、通信和媒體、IT服務和軟件、零售、金融、醫療保健和公用事業的戰略決策等，同時金融和政府垂直市場是主要消費者。SANS的報告調研了585個組織和企業，其中政府、金融、科技和網絡安全企業是參與調研的主流行業，而醫療保健、制造業和電力行業的參與度有所上升。還有少部分來自媒體，制藥和供水業的企業參與了調研。

同時，使用威脅情報的客群體量也在發生變化。從國外的趨勢看，中型企業組織和小型IT團隊開始展露出對威脅情報的需求，典型例子是威脅情報網關(TIG)和DNS防火墻的技術。因此，Gartner預測，面向中小型客戶的中端情報市場有著客單價低、整體交易量大的特點，因此會呈現最迅猛的增長。

SANS則觀察到，威脅情報的應用案例正在多樣化，抽樣調查中的大小型組織都在廣泛使用威脅情報，自2017年至2019年，生產或消費情報的組織占比逐年增加，目前完全沒有意愿去生產或消費情報的組織只有8%，換言之，92%參與調查的組織已經正在或即將使用、生產威脅情報領域。

行業、客群和組織的變化，意味著網絡安全形勢的全面嚴峻。由于黑客和黑產更加專業化、網絡攻擊軟件SaaS化，上下游鏈條形成，發起一次攻擊的技術成本逐漸降低，投入產出比增加，許多看似不可能受害的行業和組織也無法幸免。因此，威脅情報產品的輕量化、SaaS化也將滿足這一部分快速增長的市場需求。

三、客戶需要什么樣的威脅情報服務?

在日常安全運維中，客戶對威脅情報的需求往往體現得十分直觀：

• 某個IP、網址、域名是否危險?危險域名的所有者是否為黑客團伙?這些團伙還注冊了哪些域名?還有其他惡意活動和這些域名相關嗎?這個威脅應該怎么處置?
• 現在爆發出了哪些新的威脅?這些威脅會通過哪些端口進行傳播?企業應該如何應急處理?
• 企業是否正在被撞庫?經常攻擊企業的黑客團伙都有誰?接下來幾個月內他們可能會怎樣行動?
• 黑客組織對企業及其員工有什么了解?企業的敏感信息是否被泄露?
• 企業能預測攻擊者的行動嗎?他們可能會在什么時候以什么手段攻擊?

直觀的問題背后，是客戶對攻擊者的興趣，在安全運維過程中，客戶不僅希望了解具體的威脅，還希望在戰略和戰術層面了解攻擊者，正所謂“知己知彼，百戰不殆”。那么，在威脅檢測和響應的具體案例中，分析師對具體威脅情報信息的重要性排名是怎樣的?

SANS的調查數據顯示，失陷指標(IOC，一種可機讀威脅情報)的排名高，有40.6%的人選擇;其次是威脅行為和對手TTP，占到27.3%;第三位是Digital footprint與攻擊面識別，占到18.0%;對手的戰略分析，13.3%。

具體的威脅情報信息，將會直接影響到企業的安全策略，比如安全支出的側重點、安全架構的改進、供應鏈安全、安全監控功能、事件響應流程等。威脅情報將成為企業可靠的風險依據，讓企業做出更明智的決策。

因此，威脅情報不僅需要回答具體的問題，還需要在企業制定安全策略時，從更高的維度給企業清晰的指導。

Gartner在《市場指南》中總結了威脅情報的10余種使用場景，如情報賦能、釣魚檢測、暗網監控、威脅檢測與響應、黑客畫像與黑客追蹤、威脅情報共享、高級應急響應(MDR)服務等12個場景，我們篩選了幾個在國內較常見的場景：

• 賦能已有安全設備。通過訂閱情報和情報API，對已有安全設備進行賦能。由于機讀情報的標準化，已有安全設備如SIEM、防火墻、EDR一般不需要額外部署和開發工作就能夠較為方便地應用威脅情報。
• 主動檢測響應。威脅檢測其實是一種主動事件響應。通過應用威脅情報，企業可以讓主動響應的工作更加自動化。通常將威脅情報與流量監控和分析技術相結合(如微步在線的TDP威脅監控平臺、TDPS Web攻擊感知平臺等)，即可幫助企業發現可疑文件或連接的同時，提供更多信息，比如有相關性的C2、域名，惡意軟件團伙或者家族等其他信息、以及解決方法。這樣企業組織可以全面、快速地捕獲和處置相關的威脅。
• 黑客畫像與黑客追蹤。通過SIEM等安全系統，企業與組織可以列舉出大量黑IP、域名等，但如果企業組織想知道，正在危害自己網絡安全的前20個攻擊者團伙都有誰，就要倚仗更深層面的威脅情報。威脅情報廠商會追蹤攻擊者在行動時留下的痕跡，從而探查到攻擊者的TTP(戰術、技術和過程)。當TTP檔案建立后，攻擊者的行為就會被追蹤到，而且攻擊者的行為往往是重復的。 威脅情報可用于獲取有關正在賣出去的漏洞的利用情況，針對終端的惡意軟件，或者用于釣魚攻擊的惡意域名。
• 高級應急響應(MDR)服務。對于大多數企業組織來說，威脅情報分析師是一個過于專業、較為短缺的職位。因此，一些情報廠商在提供威脅情報數據和產品的同時，還會提供高級應急響應服務，由專業分析師提供應急、處置、溯源等服務。

四、市場對供應商提出新要求

Gartner在本次威脅情報市場指南中仍然強調以往的五個維度：覆蓋度、準確度、可執行性、可擴展性和專業化程度。但是隨著市場對于威脅情報的認識和應用逐漸加深，這幾個維度上的要求也在產生變化，因此，供應商的威脅情報能力無法停滯不前。Gartner提出的要求有：情報的多源化(開源、商業、多國情報)、根據組織的情況定制情報的能力、對威脅參與者的滲透和分析、分析不同數據點并作出結論等。

而SANS的調查中體現了用戶對威脅情報功能的滿意度，根據圖表顯示，用戶對于威脅情報的上下文、覆蓋度、情報與檢測響應系統的集成、基于位置的可見性、威脅情報衰變、機器學習等方面的滿意度仍能夠進一步提升。有60%的用戶對于現有的威脅情報上下文感到比較滿意，而對于機器學習感到比較滿意的用戶只有36.8%。此外，SANS的調查還顯示，用戶在進行惡意軟件樣本的溯源分析時，最依賴人工，半自動和全自動所占比例非常少，只有37.4%。

用戶不滿意之處，就是供應商需要提升的地方。因此，我們根據目前國內的需求現狀與Gartner和SANS的報告，總結出以下幾點供應商要達到的新要求：

• 首先是對情報數據的要求。開源的數據和商業化的數據都是必要的，同時，在一些重要行業中，也應當采用可以覆蓋全球的數據或商業情報數據，用以對抗具有政治背景的黑客組織。情報數據應當符合國際標準。此外情報以API或平臺的形式被用戶調用或者部署。
• 其次是對情報產品迭代的倒逼。根據Gartner對用戶群的預測，中型組織和小型IT團隊對情報的需求會成為未來高速增長的一部分市場，而這樣的組織中又會有幾個人專注于應用和處理威脅情報呢?這就引發了一個需求：情報的自動化應用。當安全人員數量少、能力參差不齊時，安全產品需要補齊安全人員的能力，因此情報必然走向自動化應用，檢測和情報一體化的產品將具備快速打開這部分市場的能力。
• 然后是對情報生產技術的要求。合格的情報不僅應當具備上下文，還應當被納入到生命周期管理中。從數據篩選到情報的產出，到應用、衰變和最終過期，每一個環節都需要分析師和機器學習研發者的共同努力。SANS的調研顯示，目前威脅情報的及時和準確度已經能夠滿足70%以上的用戶，市場對威脅情報的要求只會越來越高，因此，在目前情報產出已經能滿足大部分用戶的前提下，情報處理的內功將成為下個階段的核心競爭點。

此外，威脅情報的共享仍然需要繼續推進。Gartner認為，威脅情報的共享機制對于企業組織的安全計劃具有實際價值，一些國家(美國、澳大利亞)也在倡導政府和企業之間共享威脅數據。國內的威脅情報共享已有一些階段性成果，但企業聯盟之間的情報共享如何進行，仍然是需要探索的課題。對抗黑客和黑產團伙需要更深度的聯合。