安全事件如同雪花一般，每起事件都各具特色，堆積起來便形成了一個問題。如何去解決？近兩年“超火”的“威脅情報”或許能給你答案。那什么是威脅情報？根據Gartner的定義：威脅情報是基于證據的知識，包括上下文、機制、指標、隱含和可操作的建議，針對一個現存或新興的威脅，可用于做出相應決定的知識。雖然在國內，威脅情報的落地和應用還沒有很成熟，但關注的人仍想一探究竟。

3月30日，以專門發現優秀安全企業和優秀安全產品的信息咨詢機構安全牛在京舉辦“CS 3威脅情報解決方案峰會”。360、IBM、谷安天下、微步在線、白帽匯五家安全公司分享了對威脅情報的理解和技術應用解決方案。
專業“搬磚”
360網絡安全研究院院長宮一鳴表示：“在某種意義上，威脅情報像金字塔的塔尖，大家都在談論塔尖的東西，但是如果沒有解決基礎，這個塔尖是不存在的。怎么達到塔尖？就要用基礎數據?！笔裁词腔A數據？意思就是說，數據是有價值的，關鍵是誰能夠看到它的價值，怎么能夠把它利用起來？
宮一鳴介紹，360網絡安全研究院的工作重點就是通過這兩年特別流行的新三大件――Passivedns、Whois、Md5來發現基礎數據，挖掘數據價值。宮一鳴將此戲稱為“搬磚”，威脅情報正是建立在這樣一塊塊磚頭似的基礎數據之上。
完成威脅感知的拼圖
360天眼實驗室負責人韓永剛在宮一鳴的“搬磚”的基礎數據上，分享了他們的“碼磚”工作，即基礎數據落地的過程。韓永剛認為，這就是在玩“拼圖”，通過用戰術、方法、過程找到攻擊的特征，最終把威脅情報組合起來，應用到客戶那里。韓永剛表示：“在玩威脅情報的拼圖中，人們通常將大多精力集中在發現這個環節上，現在能夠做到取證、拓展、溯源等，實現即時的響應?！彼€預估五六年以后，在這方面的預算會占到60%。
這樣看來，威脅情報的關鍵點不是真正擁有數據，而是對數據分析處理，以及在云端分析數據，產生情報，在本地幫助客戶建立輕量級的大數據平臺，這是一個完整的過程。做到這些，依靠的還是對基礎情報的處理能力，情報是從數據中來，最后還要回到數據中去，威脅情報最終回到客戶側才能發揮它的作用。
打造安全領域的應用商店
來自于IBM安全系統部的IBM中國區安全技術高級工程師劉璐瑩著重介紹了被稱為“大腦”的IBM X-Force團隊。X-Force是IBM內部的安全研究團隊。2006年，IBM通過一系列收購正式組建了X-Force安全團隊。如今，IBM已經形成了一整套的安全體系架構。劉璐瑩表示，對于安全類的解決方案來說，功能和性能永遠是考量的第一目標。大腦，安全產品的大腦才是安全產品成功防護的一個關鍵。所以X-Force就是IBM的大腦。作為一個專業的安全研究機構，X-Force有四個主要工作目標：監控和評估瞬息萬變的威脅形勢，研究新的攻擊技術并提供保護方案，培訓客戶和公眾，產品化集成。
IBM如何使用威脅情報？IBM提出了分享的概念。X-Force建立了全球范圍內最早的情報共享平臺――X-Force Exchange。這是一個開放的、可操作的、社交化的情報平臺，它把X-Force多年的積累開放給公眾。同時這也是一個可操作的平臺，支持業界通用的模式，可以進行信息交換和產品集成。
劉璐瑩介紹，通過IBM全球12家SOC中心托管的4000多個客戶，IBM每天可以收到多達150億個事件。對這些事件所收集的真實數據進行整理、提煉、發現最新的安全動態。
IBM還打造了APP Exchange，可以理解為安全領域的App Store。目前在App Exchange上已經有超過數十個應用，還有大量的應用正在審核過程中，它的審核過程和App Store流程很相似。
爭做數據的挖掘機
谷安天下安全值產品總監趙毅在現場發布了一款針對威脅情報的新產品――安全值，可以五分鐘量化企業的信息安全風險。趙毅表示：“威脅情報的本質就是數據。但數據的維度是不同的，因此如何把數據用好，是谷安天下想要解決的問題。數據分析和處理或者是機器學習，不是谷安天下的長項，但可以基于威脅情報生成一些信息，并形成產品。威脅情報有了，但它的價值何在，如何使用這才是我們在做的事情?！?
信息安全領域，好多技術聚焦在攻防對抗、應急響應、事件處理和漏洞挖掘等方面。但谷安天下想解決的是上層的應用問題，就是用數據威脅情報做風險管理。
谷安天下是咨詢公司，數據從哪里來呢？趙毅幽默地說：“我們不生產數據，也不是數據的搬運工，想做的是數據的挖掘機?！卑踩禋v經了兩年的時間，整合了全球100多個威脅情報數據資源，對這些實時的數據進行查詢和分析。這些數據有收費的也有免費的，有威脅情報數據，還有一些互聯網通信類的基礎數據。
通過安全值可以看自己、看行業，也可以看差距。發現未知風險，對風險進行量化，在行業間還可以做差距的分析。
“威脅情報+”將是一種狀態
去年6月成立的微步在線是國內第一家專門做威脅情報的公司，定位是一個專注于做數據的公司。微步在線創始人兼CEO薛鋒介紹，微步天下做威脅情報最核心的兩個內容，一是數據，二是對數據的分析，分析之后提煉出來有價值的東西。
薛鋒表示，做威脅情報分析是一件很艱苦的事情，但對于做的人來說是很有樂趣的。在網絡安全人員眼里，把發現的漏洞、病毒等相關數據進行合理地關聯，并且有條理地展示出來，這項工作很有意思。因為只有把這些東西串到一塊才是一個故事，如果只看病毒，只看代碼，是沒有價值的，或者說價值非常有限，尤其是對做應急響應來說。
微步在線用威脅情報的思路，通過查IP的出現時間，和一些域名等信息，最終找到有價值的信息。薛峰認為，威脅情報離不開數據，數據的多樣性和時效性，以及分析能力才是更重要的。薛峰還展示了微步在線的IOC、威脅分析平臺和高級入侵事件檢測服務。
微步在線還提出一個概念叫“威脅情報+”。薛峰認為“威脅情報+” 將來可能是無處不在的一種狀態，安全廠商、安全產品之間應該是互相促進、互相結合的關系，例如當掃描器、防火墻對接了某種類型的威脅情報，可以變得更好、更智能。
把戰火燒到敵人的陣營
知名“白帽子”趙武分享了他對威脅情報的思考。他認為，眾人皆知的不能叫威脅情報，因為信息安全本質就是信息不對稱。真正的威脅情報一定是你不知道的，或者你之前沒聽說過的。
趙武介紹，白帽匯去年8月份成立，團隊人員主要來自于360和華為。團隊專注于做安全大數據和企業威脅情報，發布了《Redis crackit 報告》和《fortinet 后門報告》。之所以成立白帽匯，是因為盡管安全公司越來越努力，但是網絡攻擊卻越來越多，受害者每天都在增加。這是一個很尷尬的境地。實驗室里設想的攻擊并不能應用于現實，因為，攻擊者會通過各種手段繞開你的安全邊界進行攻擊。
趙武認為目前的主要安全威脅有三類：
一是，企業不知道的隱形資產，已經棄用或者新上線的資產會導致70%的攻擊源。我們認為一個可被攻擊的對象不止是技術上、物理上的資產，還有人員的資產。這是我們要思考的一個問題。
二是，Nday的問題，結合黑客買白帽賬號，拿到情報，去做全網的掃描，這是很大的威脅來源。
三是，目前在安全攻防角度很明顯的思考，叫外部數據的威脅，比如撞庫攻擊、Github泄露、釣魚、后門。這一系列都是從外部來的，它不是從內部，內部再做數據監控都監控不了這一塊。企業不知道的隱形資產、Nday是威脅來源、外部數據的威脅。
面對這些威脅，安全公司在和黑客的對抗中經常落后，因為安全公司至今很難進行友好的聯動，但是黑色產業之間的互動非常緊密，分工合作得非常好。
所以，趙武強調，要放棄防護的思維，主動出擊，通過對黑色產業的情報監控、對黑色產業的打擊、對黑客畫像、對黑色產業的反制，把戰火燒到敵人的陣營。