雷鋒網(wǎng)編者按：據(jù)信息化咨詢研究機(jī)構(gòu) Gartner 推測(cè)，未來(lái)三年，企業(yè)的安全預(yù)算將有60%投入“檢測(cè)和響應(yīng)”，而非單純用于防御。未來(lái)三年內(nèi)，全球大型企業(yè)在搭建安全架構(gòu)時(shí)，使用威脅情報(bào)的企業(yè)比例將從現(xiàn)在的1%增長(zhǎng)到15%，這意味著能夠幫助企業(yè)識(shí)別安全威脅，并迅速判定最優(yōu)應(yīng)對(duì)方案的威脅情報(bào)將變得越來(lái)越重要。

那威脅情報(bào)領(lǐng)域目前有哪些新的技術(shù)和發(fā)展趨勢(shì)？目前的威脅情報(bào)面臨哪些問(wèn)題？行業(yè)內(nèi)如何通過(guò)協(xié)作來(lái)抵抗黑產(chǎn)？11月29日，在由微步在線主辦的首屆安全分析與情報(bào)大會(huì)中，來(lái)自威脅情報(bào)領(lǐng)域的專家、企業(yè)帶來(lái)了他們對(duì)行業(yè)技術(shù)與發(fā)展趨勢(shì)的多個(gè)議題，雷鋒網(wǎng)在現(xiàn)場(chǎng)整理了部分議題，與讀者共饗。

國(guó)家網(wǎng)絡(luò)安全與威脅情報(bào)共享

演講者：嚴(yán)寒冰 ，CNCERT 運(yùn)行部主任

從建設(shè)國(guó)際互聯(lián)網(wǎng)治理體系，到保障企業(yè)信息化建設(shè)和數(shù)字化轉(zhuǎn)型，都離不開(kāi)安全智能化，而有效應(yīng)用威脅情報(bào)正是實(shí)現(xiàn)安全智能化的關(guān)鍵。

威脅情報(bào)能力是十三五國(guó)家信息化規(guī)劃中，網(wǎng)絡(luò)威脅監(jiān)測(cè)預(yù)警的核心能力之一。嚴(yán)寒冰通過(guò)對(duì)比中美兩國(guó)的威脅情報(bào)體系來(lái)呈現(xiàn)目前我們所面臨的問(wèn)題，并介紹了目前我國(guó)網(wǎng)絡(luò)安全相關(guān)政策，以及面向國(guó)內(nèi)和國(guó)際的網(wǎng)絡(luò)安全威脅信息共享的現(xiàn)狀。

為什么有些威脅情報(bào)用戶體驗(yàn)不好？

演講者：金湘宇，烽火臺(tái)安全威脅情報(bào)聯(lián)盟創(chuàng)始人

隨著威脅情報(bào)在業(yè)內(nèi)越來(lái)越廣泛地被應(yīng)用，從業(yè)者成立威脅情報(bào)聯(lián)盟、打造威脅情報(bào)生態(tài)圈、制定威脅情報(bào)標(biāo)準(zhǔn)已經(jīng)成為國(guó)內(nèi)外的必然趨勢(shì)。那么，國(guó)內(nèi)的威脅情報(bào)聯(lián)盟發(fā)展現(xiàn)狀如何，未來(lái)又將會(huì)帶給我們?cè)鯓拥那熬澳兀?/p>

金湘宇（NUKE）對(duì)威脅情報(bào)國(guó)內(nèi)外當(dāng)前的最新應(yīng)用情況的研究進(jìn)行了分享，并介紹了國(guó)際上的威脅情報(bào)相關(guān)體系、產(chǎn)品、標(biāo)準(zhǔn)等的最新發(fā)展情況和領(lǐng)先實(shí)踐。但是NUKE認(rèn)為，威脅情報(bào)雖然是安全體系、產(chǎn)品的必由之路，卻只是未來(lái)整個(gè)安全防護(hù)體系進(jìn)化演進(jìn)中的第一步。

云端戰(zhàn)爭(zhēng)：在云計(jì)算的環(huán)境中如何進(jìn)行威脅情報(bào)的挖掘

演講者：邵江寧，微軟中國(guó)首席安全顧問(wèn)

當(dāng)云計(jì)算、大數(shù)據(jù)、人工智能正在向各個(gè)行業(yè)進(jìn)行滲透時(shí)，如何來(lái)保證云上的安全？邵江寧介紹了微軟在云上做安全響應(yīng)的方法，以及在安全響應(yīng)中如何獲得了有價(jià)值的安全威脅情報(bào)。

他認(rèn)為，要做完整的攻防對(duì)抗需要很多細(xì)致的安全工作，特別是利用大數(shù)據(jù)分析的方法，在分析的過(guò)程中會(huì)產(chǎn)生大量有用的安全威脅情報(bào)，從而提高整個(gè)平臺(tái)對(duì)未知威脅的防御效率。

情報(bào)驅(qū)動(dòng)的安全智能

演講者：微步在線CEO 薛鋒

薛峰認(rèn)為，未來(lái)自動(dòng)化、共享才是威脅情報(bào)的發(fā)展方向。

企業(yè)買了10家廠商的100臺(tái)設(shè)備，買了這家的殺毒、那家的防火墻，難道還能一臺(tái)一臺(tái)地登陸操作，將黑客信息一條條復(fù)制到這100臺(tái)設(shè)備上么？未來(lái)肯定會(huì)出現(xiàn)安全的智能化，進(jìn)行自動(dòng)操作。

薛鋒以亞馬遜的智能音箱Echo為例，作為家居智能化里有一個(gè)人機(jī)交互的入口，智能音箱把原來(lái)冰箱、空調(diào)、電視聯(lián)網(wǎng)，只需要下達(dá)指令就可以開(kāi)始運(yùn)作。

他希望未來(lái)TIM（威脅情報(bào)管理平臺(tái)）就是所有安全系統(tǒng)的管家，成為安全智能化里人機(jī)交互的入口。

打造由情報(bào)分析驅(qū)動(dòng)的 iSOC

演講者：鄭聿銘，Splunk 高級(jí)售前工程師

2017年，勒索軟件成為了全民熱議話題，甚至也可說(shuō)是全球熱議話題。全球共有150多個(gè)國(guó)家遭到病毒“永恒之藍(lán)”的攻擊，校園網(wǎng)、公安網(wǎng)、醫(yī)療網(wǎng)等專線專網(wǎng)成為被攻擊的主要對(duì)象。在這一波一波勒索病毒爆發(fā)的浪潮之中，安全威脅仍然是每個(gè)人頭頂上揮之不去的陰云。

鄭聿銘認(rèn)為，對(duì)勒索軟件這種典型 APT 攻擊的防范，要變被動(dòng)為主動(dòng)，應(yīng)該利用安全情報(bào)與大數(shù)據(jù)分析來(lái)構(gòu)建新一代的智能iSOC中心，主動(dòng)追蹤安全威脅。

基于外聯(lián)行為分析的失陷檢測(cè)

演講者：張嵩，華泰證券安全總監(jiān)

在態(tài)勢(shì)感知的宏觀要求下，打造以人為中心的自主安全分析能力，是企業(yè)適應(yīng)內(nèi)、外部威脅環(huán)境，實(shí)現(xiàn)主動(dòng)獵捕、響應(yīng)和對(duì)抗的基礎(chǔ)。

建立安全分析能力不等于簡(jiǎn)單部署一套產(chǎn)品，就如學(xué)習(xí)一門課程只是掌握一項(xiàng)能力的入門。能力需要積累和演變，“情報(bào)驅(qū)動(dòng)”大大地催化了安全分析能力，提升感知和理解威脅的效率，從數(shù)據(jù)湖中快速找出應(yīng)對(duì)優(yōu)先級(jí)最高的威脅。

張嵩在現(xiàn)場(chǎng)主要分享了以下幾點(diǎn)：

· IOC只是情報(bào)應(yīng)用的開(kāi)始，想超越就必須要先了解IOC的局限性；

· 在API經(jīng)濟(jì)學(xué)大背景下，使用多源情報(bào)API和企業(yè)自身情報(bào)庫(kù)實(shí)現(xiàn)自動(dòng)化出站流量分析，獵捕可疑外聯(lián)（包括攻陷）的跡象；

· 為實(shí)現(xiàn)自主安全分析能力，企業(yè)應(yīng)打造基于開(kāi)放架構(gòu)、API化機(jī)讀情報(bào)、共享企業(yè)內(nèi)平臺(tái)組件資源的“產(chǎn)品”，安全分析能力產(chǎn)品與企業(yè)計(jì)算、存儲(chǔ)、安全基礎(chǔ)設(shè)施、數(shù)據(jù)和AI能力充分解耦合；

多維度實(shí)現(xiàn)實(shí)時(shí)防御和超前防御

演講者：杜建峰，Palo Alto Networks 資深安全顧問(wèn)

威脅情報(bào)與其他企業(yè)安全系統(tǒng)、平臺(tái)的結(jié)合一向是被行業(yè)關(guān)注的重點(diǎn)，而相對(duì)地，企業(yè)安全系統(tǒng)、平臺(tái)能夠使用威脅情報(bào)來(lái)讓自身具有主動(dòng)防御的能力，利用數(shù)據(jù)驅(qū)動(dòng)做到安全智能化。

當(dāng)前威脅發(fā)展有何特點(diǎn)？隨著威脅發(fā)展的變化，威脅情報(bào)采集分析的需求出現(xiàn)了哪些新趨勢(shì)？如何基于智能威脅云平臺(tái)構(gòu)建概念體系、進(jìn)行技術(shù)分析？基于平臺(tái)的威脅情報(bào)態(tài)勢(shì)感知分析又需要進(jìn)行怎樣的具體實(shí)踐？

杜建峰以上述問(wèn)題為起點(diǎn)，探討了威脅情報(bào)在態(tài)勢(shì)感知的基礎(chǔ)上怎樣進(jìn)一步提升安全技術(shù)防御手段，多維度實(shí)現(xiàn)安全實(shí)時(shí)防御和超前防御理念。

從防御到檢測(cè)的企業(yè)安全之路

演講者：紀(jì)舒瀚，汽車之家安全負(fù)責(zé)人

隨著互聯(lián)網(wǎng)用戶越來(lái)越多，安全形勢(shì)也愈演愈烈。 越來(lái)越多的企業(yè)也逐漸的重視安全，現(xiàn)階段很多中型互聯(lián)網(wǎng)公司，甚至A輪以上的創(chuàng)業(yè)公司也開(kāi)始組建自己的安全團(tuán)隊(duì)。

各家業(yè)務(wù)不同導(dǎo)致體系建設(shè)的出發(fā)點(diǎn)不同，針對(duì)APT攻擊，單純傳統(tǒng)防御已經(jīng)無(wú)法滿足需要。針對(duì)博彩、勒索軟件等黑產(chǎn)行為，如何通過(guò)多角度的監(jiān)控、策略聯(lián)動(dòng)、自動(dòng)化阻斷更有效的能夠抵御新型攻擊，為企業(yè)更好地保駕？

紀(jì)舒瀚以自己組建團(tuán)隊(duì)的經(jīng)歷出發(fā)，分享了初創(chuàng)團(tuán)隊(duì)需要什么樣的人？如何粗線條的控制救火局面？如何通過(guò)主動(dòng)監(jiān)測(cè)，發(fā)現(xiàn)APT行為實(shí)例。

威脅情報(bào)在金融領(lǐng)域的探索實(shí)踐

演講者：楊陽(yáng)，中國(guó)銀聯(lián)電子支付研究院、電子商務(wù)與電子支付國(guó)家工程實(shí)驗(yàn)室安全架構(gòu)師

金融是威脅情報(bào)發(fā)揮作用的主要領(lǐng)域之一，有效應(yīng)用威脅情報(bào)能夠變被動(dòng)防護(hù)為主動(dòng)防御，更有效地對(duì)網(wǎng)絡(luò)威脅進(jìn)行檢測(cè)與響應(yīng)。

銀聯(lián)作為中國(guó)銀行卡產(chǎn)業(yè)的執(zhí)牛耳者，在金融行業(yè)的地位舉足輕重，不僅自建基于威脅情報(bào)的檢測(cè)與響應(yīng)體系，在對(duì)資產(chǎn)的梳理劃分、統(tǒng)計(jì)管理上也有長(zhǎng)足的實(shí)踐經(jīng)驗(yàn)。楊陽(yáng)帶來(lái)了關(guān)于銀聯(lián)威脅情報(bào)體系的建設(shè)、以及內(nèi)網(wǎng)安全、邊界安全、業(yè)務(wù)安全的分享。

從信息到情報(bào)，從溯源到協(xié)同

演講者：謝濤，天際友盟副總裁    

威脅情報(bào)在國(guó)內(nèi)火了三年，無(wú)論是廠商還是客戶，對(duì)威脅情報(bào)都有自己的認(rèn)識(shí)和了解，并開(kāi)始實(shí)踐如何運(yùn)用威脅情報(bào)。在國(guó)內(nèi)很多會(huì)議、論壇、講座上，威脅情報(bào)都被講了很多次。

然而，雖然大家在威脅情報(bào)的大概念已經(jīng)有了很多共識(shí)，但是在許多細(xì)節(jié)上，卻仍然有著不同的理解。這使得不同廠商之間、廠商與客戶之間、不同客戶之間對(duì)什么才是威脅情報(bào)、需要什么樣的威脅情報(bào)、威脅情報(bào)能干什么、威脅情報(bào)怎么用等等問(wèn)題，依舊有著很多模糊不清的地方。

基于天際友盟這些年在威脅情報(bào)實(shí)踐中踩過(guò)的坑，謝濤通過(guò)梳理這些問(wèn)題，希望能夠形成新的共識(shí)，并明確未來(lái)威脅情報(bào)的應(yīng)用發(fā)展方向。

以上演講來(lái)自首屆網(wǎng)絡(luò)安全分析與情報(bào)大會(huì)，雷鋒網(wǎng)編輯整理

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。