雷鋒網(wǎng)編者按：據(jù)信息化咨詢研究機構(gòu) Gartner 推測，未來三年，企業(yè)的安全預(yù)算將有60%投入“檢測和響應(yīng)”，而非單純用于防御。未來三年內(nèi)，全球大型企業(yè)在搭建安全架構(gòu)時，使用威脅情報的企業(yè)比例將從現(xiàn)在的1%增長到15%，這意味著能夠幫助企業(yè)識別安全威脅，并迅速判定最優(yōu)應(yīng)對方案的威脅情報將變得越來越重要。

那威脅情報領(lǐng)域目前有哪些新的技術(shù)和發(fā)展趨勢？目前的威脅情報面臨哪些問題？行業(yè)內(nèi)如何通過協(xié)作來抵抗黑產(chǎn)？11月29日，在由微步在線主辦的首屆安全分析與情報大會中，來自威脅情報領(lǐng)域的專家、企業(yè)帶來了他們對行業(yè)技術(shù)與發(fā)展趨勢的多個議題，雷鋒網(wǎng)在現(xiàn)場整理了部分議題，與讀者共饗。

國家網(wǎng)絡(luò)安全與威脅情報共享

演講者：嚴寒冰 ，CNCERT 運行部主任

從建設(shè)國際互聯(lián)網(wǎng)治理體系，到保障企業(yè)信息化建設(shè)和數(shù)字化轉(zhuǎn)型，都離不開安全智能化，而有效應(yīng)用威脅情報正是實現(xiàn)安全智能化的關(guān)鍵。

威脅情報能力是十三五國家信息化規(guī)劃中，網(wǎng)絡(luò)威脅監(jiān)測預(yù)警的核心能力之一。嚴寒冰通過對比中美兩國的威脅情報體系來呈現(xiàn)目前我們所面臨的問題，并介紹了目前我國網(wǎng)絡(luò)安全相關(guān)政策，以及面向國內(nèi)和國際的網(wǎng)絡(luò)安全威脅信息共享的現(xiàn)狀。

為什么有些威脅情報用戶體驗不好？

演講者：金湘宇，烽火臺安全威脅情報聯(lián)盟創(chuàng)始人

隨著威脅情報在業(yè)內(nèi)越來越廣泛地被應(yīng)用，從業(yè)者成立威脅情報聯(lián)盟、打造威脅情報生態(tài)圈、制定威脅情報標準已經(jīng)成為國內(nèi)外的必然趨勢。那么，國內(nèi)的威脅情報聯(lián)盟發(fā)展現(xiàn)狀如何，未來又將會帶給我們怎樣的前景呢？

金湘宇（NUKE）對威脅情報國內(nèi)外當(dāng)前的最新應(yīng)用情況的研究進行了分享，并介紹了國際上的威脅情報相關(guān)體系、產(chǎn)品、標準等的最新發(fā)展情況和領(lǐng)先實踐。但是NUKE認為，威脅情報雖然是安全體系、產(chǎn)品的必由之路，卻只是未來整個安全防護體系進化演進中的第一步。

云端戰(zhàn)爭：在云計算的環(huán)境中如何進行威脅情報的挖掘

演講者：邵江寧，微軟中國首席安全顧問

當(dāng)云計算、大數(shù)據(jù)、人工智能正在向各個行業(yè)進行滲透時，如何來保證云上的安全？邵江寧介紹了微軟在云上做安全響應(yīng)的方法，以及在安全響應(yīng)中如何獲得了有價值的安全威脅情報。

他認為，要做完整的攻防對抗需要很多細致的安全工作，特別是利用大數(shù)據(jù)分析的方法，在分析的過程中會產(chǎn)生大量有用的安全威脅情報，從而提高整個平臺對未知威脅的防御效率。

情報驅(qū)動的安全智能

演講者：微步在線CEO 薛鋒

薛峰認為，未來自動化、共享才是威脅情報的發(fā)展方向。

企業(yè)買了10家廠商的100臺設(shè)備，買了這家的殺毒、那家的防火墻，難道還能一臺一臺地登陸操作，將黑客信息一條條復(fù)制到這100臺設(shè)備上么？未來肯定會出現(xiàn)安全的智能化，進行自動操作。

薛鋒以亞馬遜的智能音箱Echo為例，作為家居智能化里有一個人機交互的入口，智能音箱把原來冰箱、空調(diào)、電視聯(lián)網(wǎng)，只需要下達指令就可以開始運作。

他希望未來TIM（威脅情報管理平臺）就是所有安全系統(tǒng)的管家，成為安全智能化里人機交互的入口。

打造由情報分析驅(qū)動的 iSOC

演講者：鄭聿銘，Splunk 高級售前工程師

2017年，勒索軟件成為了全民熱議話題，甚至也可說是全球熱議話題。全球共有150多個國家遭到病毒“永恒之藍”的攻擊，校園網(wǎng)、公安網(wǎng)、醫(yī)療網(wǎng)等專線專網(wǎng)成為被攻擊的主要對象。在這一波一波勒索病毒爆發(fā)的浪潮之中，安全威脅仍然是每個人頭頂上揮之不去的陰云。

鄭聿銘認為，對勒索軟件這種典型 APT 攻擊的防范，要變被動為主動，應(yīng)該利用安全情報與大數(shù)據(jù)分析來構(gòu)建新一代的智能iSOC中心，主動追蹤安全威脅。

基于外聯(lián)行為分析的失陷檢測

演講者：張嵩，華泰證券安全總監(jiān)

在態(tài)勢感知的宏觀要求下，打造以人為中心的自主安全分析能力，是企業(yè)適應(yīng)內(nèi)、外部威脅環(huán)境，實現(xiàn)主動獵捕、響應(yīng)和對抗的基礎(chǔ)。

建立安全分析能力不等于簡單部署一套產(chǎn)品，就如學(xué)習(xí)一門課程只是掌握一項能力的入門。能力需要積累和演變，“情報驅(qū)動”大大地催化了安全分析能力，提升感知和理解威脅的效率，從數(shù)據(jù)湖中快速找出應(yīng)對優(yōu)先級最高的威脅。

張嵩在現(xiàn)場主要分享了以下幾點：

· IOC只是情報應(yīng)用的開始，想超越就必須要先了解IOC的局限性；

· 在API經(jīng)濟學(xué)大背景下，使用多源情報API和企業(yè)自身情報庫實現(xiàn)自動化出站流量分析，獵捕可疑外聯(lián)（包括攻陷）的跡象；

· 為實現(xiàn)自主安全分析能力，企業(yè)應(yīng)打造基于開放架構(gòu)、API化機讀情報、共享企業(yè)內(nèi)平臺組件資源的“產(chǎn)品”，安全分析能力產(chǎn)品與企業(yè)計算、存儲、安全基礎(chǔ)設(shè)施、數(shù)據(jù)和AI能力充分解耦合；

多維度實現(xiàn)實時防御和超前防御

演講者：杜建峰，Palo Alto Networks 資深安全顧問

威脅情報與其他企業(yè)安全系統(tǒng)、平臺的結(jié)合一向是被行業(yè)關(guān)注的重點，而相對地，企業(yè)安全系統(tǒng)、平臺能夠使用威脅情報來讓自身具有主動防御的能力，利用數(shù)據(jù)驅(qū)動做到安全智能化。

當(dāng)前威脅發(fā)展有何特點？隨著威脅發(fā)展的變化，威脅情報采集分析的需求出現(xiàn)了哪些新趨勢？如何基于智能威脅云平臺構(gòu)建概念體系、進行技術(shù)分析？基于平臺的威脅情報態(tài)勢感知分析又需要進行怎樣的具體實踐？

杜建峰以上述問題為起點，探討了威脅情報在態(tài)勢感知的基礎(chǔ)上怎樣進一步提升安全技術(shù)防御手段，多維度實現(xiàn)安全實時防御和超前防御理念。

從防御到檢測的企業(yè)安全之路

演講者：紀舒瀚，汽車之家安全負責(zé)人

隨著互聯(lián)網(wǎng)用戶越來越多，安全形勢也愈演愈烈。 越來越多的企業(yè)也逐漸的重視安全，現(xiàn)階段很多中型互聯(lián)網(wǎng)公司，甚至A輪以上的創(chuàng)業(yè)公司也開始組建自己的安全團隊。

各家業(yè)務(wù)不同導(dǎo)致體系建設(shè)的出發(fā)點不同，針對APT攻擊，單純傳統(tǒng)防御已經(jīng)無法滿足需要。針對博彩、勒索軟件等黑產(chǎn)行為，如何通過多角度的監(jiān)控、策略聯(lián)動、自動化阻斷更有效的能夠抵御新型攻擊，為企業(yè)更好地保駕？

紀舒瀚以自己組建團隊的經(jīng)歷出發(fā)，分享了初創(chuàng)團隊需要什么樣的人？如何粗線條的控制救火局面？如何通過主動監(jiān)測，發(fā)現(xiàn)APT行為實例。

威脅情報在金融領(lǐng)域的探索實踐

演講者：楊陽，中國銀聯(lián)電子支付研究院、電子商務(wù)與電子支付國家工程實驗室安全架構(gòu)師

金融是威脅情報發(fā)揮作用的主要領(lǐng)域之一，有效應(yīng)用威脅情報能夠變被動防護為主動防御，更有效地對網(wǎng)絡(luò)威脅進行檢測與響應(yīng)。

銀聯(lián)作為中國銀行卡產(chǎn)業(yè)的執(zhí)牛耳者，在金融行業(yè)的地位舉足輕重，不僅自建基于威脅情報的檢測與響應(yīng)體系，在對資產(chǎn)的梳理劃分、統(tǒng)計管理上也有長足的實踐經(jīng)驗。楊陽帶來了關(guān)于銀聯(lián)威脅情報體系的建設(shè)、以及內(nèi)網(wǎng)安全、邊界安全、業(yè)務(wù)安全的分享。

從信息到情報，從溯源到協(xié)同

演講者：謝濤，天際友盟副總裁    

威脅情報在國內(nèi)火了三年，無論是廠商還是客戶，對威脅情報都有自己的認識和了解，并開始實踐如何運用威脅情報。在國內(nèi)很多會議、論壇、講座上，威脅情報都被講了很多次。

然而，雖然大家在威脅情報的大概念已經(jīng)有了很多共識，但是在許多細節(jié)上，卻仍然有著不同的理解。這使得不同廠商之間、廠商與客戶之間、不同客戶之間對什么才是威脅情報、需要什么樣的威脅情報、威脅情報能干什么、威脅情報怎么用等等問題，依舊有著很多模糊不清的地方。

基于天際友盟這些年在威脅情報實踐中踩過的坑，謝濤通過梳理這些問題，希望能夠形成新的共識，并明確未來威脅情報的應(yīng)用發(fā)展方向。

以上演講來自首屆網(wǎng)絡(luò)安全分析與情報大會，雷鋒網(wǎng)編輯整理

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。