威胁情报：新时代网络安全的“血液”

历史回放

1943年4月18日清晨，以逸待劳的美军P-38战斗机群击落了时任日本海军联合舰队司令长官、海军将领山本五十六的座机，这位二战期间的战争“狂人”竟因一次出行而就此一命呜呼。

直到二战结束后，美军才公开了这一事件的细节，之所以打击准确竟然是因为美军得到了一份对山本五十六的出行时间、 出行路线、目的地以及保卫情况都一清二楚的情报。

一、千万不要过度迷信规则防御

在太平洋战争初期，美国海军吃尽了山本五十六的苦头。1941年，山本指挥日本海军沿北太平洋海域长途奔袭六千多公里，在天气等诸多因素的“帮助”下，巧妙躲开了美军的耳目，偷袭珍珠港，以仅损失29架飞机的代价，基本消灭了美军太平洋舰队的主力。

抛开对战争的评判，可以说山本五十六头脑清醒、攻击精准而迅猛，这对对手而言绝对是一个极高的威胁。如果放在当今的网络世界，他可以看作是一个危害极大的APT攻击发起者，既懂得如何伪装自己的入侵意图，又懂得如何绕开对手的检测手段，且一旦开始发动攻击就会置对手于死地，就和现在名噪全球的震网病毒效果类似。

当时的美军厉害吗？厉害了，word哥！当时的美国无论财力还是战力都可以说把全世界抛在了脑后，可事实上单就珍珠港事件而言，美军可谓一败涂地。同理，现在的防火墙、UTM、WAF这些设备厉害吗？厉害呀。动辄就T级吞吐、几亿甚至几十亿的并发量、AI+可视化，检出率高达N个9，但系统还是屡被攻破。

台积电入侵事件、永恒之蓝事件等等安全事件无不宣示着，传统防护系统失灵了、隔离网络失灵了，甚至像NSA（美国国家安全局）这样的顶级安全部门的防御都不再稳固。

历史证明，过分迷信自己的既定防御手段或防御规则，而不去关注对手的动态，很多时候要摊上大麻烦。

二、威胁情报是新时代网络安全的“血液”

众所周知，石油是工业的“血液”，也历来是各国争夺的焦点资源。上世纪的日本发动太平洋战争，也是迫于美国对海上石油运输的封锁。那么在赛博空间大家都处于攻守极不平衡的状态，又有什么可以充当网络安全的“血液”呢？

就太平洋战争为例，日本偷袭珍珠港就是一次攻守极不平衡的战役，但不平衡并不是因为双方兵力、装备的差距，而是因为信息的不对等：美军对日军的动向一无所知，还以为日军的攻击目标是南太平洋地区。当日军舰载机出现在珍珠港上空时，日本飞行员发现竟然没有一架美军战斗机升空拦截，以至于在未发一弹的情况下就已经预言了战役的胜利。

可见，情报对一次战役甚至整个战争的重要性不言而喻，甚至可以直接改变攻守双方的格局。因情报而直接颠覆战争结局的例子，在古今中外的战场上都不胜枚举。

同样，在大量的安全事件里，企业的防火墙、企业的WAF或者杀毒软件根本就不知道攻击者会利用什么样的漏洞、采用什么样的手法来入侵其系统，入侵后也不知道威胁究竟潜伏在哪里。在网络安全这样一个没有硝烟的战场上，情报又何尝不是重中之重呢？所以我们看到，很多网络安全厂商都想要在威胁情报这个细分领域取得突破。

360企业安全集团作为国内网络安全领军企业，全面涵盖了大数据安全分析、网关安全、终端安全、网站安全、移动安全、云安全、无线安全、数据安全、代码安全等全领域安全产品及解决方案，可以说每一个产品都在网络安全这场持久战的最前沿阵地上，这自然少不了威胁情报的支持。

目前，360天眼、360智慧防火墙、EDR、NGSOC、态势感知、云安全、虚拟化安全、安全服务等核心安全产品和服务均集成了威胁情报能力。来自360威胁情报中心的机读情报可以快速下发到各个安全设备中，形成威胁情报驱动的联动防御体系。

在近一个月内，360威胁情报的能力已经先后获得了国内知名安全平台安全牛和国际权威咨询机构IDC的认可。

三、威胁情报是一个开放的生态

威胁情报的种类有很多，但整体上分为两大类：

第一大类是人读情报，即提供给安全人员使用的。这类情报主要包括描述行业综合网络安全态势的战略情报和描述某次攻击或者某一类攻击战术的TTP情报。

第二大类就是更为常用的，即面向机器的可机读情报。可机读情报更多的是为安全产品赋能，让它们可以检测发现更多的关键性威胁，同时为报警提供优先级、上下文等事件响应必要的内容，从而提高安全设备的检测和响应能力。360威胁情报中心输出的机读情报中，最常见的就包含失陷检测IOC情报、文件信誉情报和IP情报。

360威胁情报中心将威胁情报下发到设备中后，与检测到的特定事件或者异常行为进行关联分析和数据挖掘，结合“规则关联引擎+人工智能引擎+虚拟执行检测引擎”的多引擎检测架构，从而快速对事件定性，并且锁定失陷主机、远控木马或者其他潜在的威胁。

听起来很厉害，但还有一个信任的问题。还以太平洋战争为例，事实上在日本偷袭珍珠港之前，美国就已经收到了一个叫池步洲的中方人员截获并分析出的日军将于12月7日偷袭珍珠港的相关情报，并且拥有足够的时间做出应对。但或出于对他国情报机关的不信任，或出于其他的政治、军事等因素的考虑，这份情报并没有得到美方的足够重视。

同理，安全设备如果“不信任”威胁情报又该怎么办？

这里可以分为两种情况。

第一种情况是加强威胁情报本身的可信任性。

威胁情报不是一条信息，而是综合很多信息经过分析加工得出来的结果，往往供应商本身的底层数据能力就决定了威胁情报的质量。

一方面，360在云端拥有样本库160亿+、安全日志18万亿+、DNS解析记录100亿+、补天漏洞平台漏洞10万+，在本地拥有企业全量数据的采集能力，结合机器学习和安全研究双引擎驱动，360可以快速生产高质量的威胁情报，并实时下发到安全设备中去；

另一方面，360可以面向不同行业，提供高度定制化的威胁情报，保证情报可以在垂直行业中发挥出最大作用。这也让360威胁情报的交付成功率能够占据业界领先的位置。

第二种情况是让设备具备运用威胁情报的能力。

这里不单单说的是设备需要集成威胁情报模块，机读情报可以理解成一种机器语言，安全设备必须要具备读懂这种语言的能力。假设威胁情报“语法”没有统一的范式，企业就必须要给设备配备足够多的“翻译官”，但这在实际情况中几乎难以实行。

因此，360企业安全一直不遗余力地推动威胁情报的规范，并且深度参与了由中国电子技术标准化研究院牵头制定的中国首个威胁情报标准。该标准已于2018年10月正式发布，填补了此前国内该领域的空白。

有了这些，威胁情报才能真正走出去，形成一个开放的生态。360企业安全集团作为国内威胁情报领域的领头羊，也将向业界开放更多能力。毕竟，体系化、生态化的威胁情报应该属于全业界。【来源：360企业安全】

更多资讯详见：360社区早报（2018-12-26）

360是我唯一认可的杀毒软件！！！

{:14_355:}{:14_355:}

知己知彼 百战不殆 为360互联网安全中心点赞！