直擊RSAC 2022：從“轉型”看數字時代如何戰略化應用威脅情報

當你從暴風雨中走出來，你不再是走進來時的那個你。這就是這場風暴的意義所在。

——村上春樹《海邊的卡夫卡》

RSAC 2022開篇透過引用村上春樹《海邊的卡夫卡》的一句話，點明本次大會主題Transform（轉型）的深意：“RSA作為一個社群，已經完成了轉型：我們從幕後轉型到董事會——從專注於加固牆壁的幕後專業人士轉型到受託做出改變遊戲規則的決策業務推動者。隨著世界變得更加數字化，我們首先需要關注和應對這些變化。我們將變得更強大、更智慧，但我們不能止步於此。網路安全的世界瞬息萬變，仍有許多工作要做。因為在一起，我們將穿越風暴、繼續成長、協同創新。”

轉型與威脅情報

隨著數字時代的到來，各行各業在數字化轉型的程式不斷深入的同時，對自身安全能力建設的要求也同步提高。威脅情報在數字化轉型中起到至關重要的驅動作用，情報的服務範圍、服務物件和服務形態都在變化，進而推動著情報產品與服務的不斷變革與創新。

·情報的服務範圍發生變化：企業不僅需要透過情報瞭解對手，也需要透過情報瞭解自己，在關注外部威脅的同時也關注自身數字資產風險。這意味著，企業不僅關注狹義上的威脅情報，還將關注與自身業務息息相關的安全情報，將內部與外部威脅，安全性與業務見解融合在一起。

·情報的服務物件發生變化：安全運營團隊需要情報來加速警報分流，最小化誤報，提供更好的決策環境和更快的反應速度。企業高管更需要情報，透過獲取組織環境、使命、業務運營、收入和聲譽相關的所有威脅和風險資訊，利用可能的威脅及其潛在的業務影響來評估企業安全需求、量化風險、制定緩解戰略，並向執行長、首席財務官和董事會成員證明網路安全投資的合理性

·情報的服務形態發生變化：企業不僅需要情報廠商提供的情報產品和服務，更需要建設自身的戰略情報能力。企業瞭解威脅行為者的動機和TTPs，並跟蹤行業、技術和地區的安全趨勢，結合自身情況，產生更有價值的安全洞察和見解

如何戰略化應用威脅情報

在挑戰日趨嚴峻與複雜的背景下，網路安全絕非一個部門或機構就能實現，必須系統提升網路安全的互動性，使得多部門共同承擔保護與增強國家網路基礎設施的責任。本次RSA大會，從戰略化應用威脅情報角度，探究情報生態建設重要性；並討論了美方如何從戰略角度應用收集到的威脅情報，建設情報生態系統。

·美方情報生態體系現狀：

美國政府和企業在網路威脅情報共享融合上不斷深化發展，主要採取了“政府主導，企業參與”的融合模式。2015年2月，美國政府成立了網路威脅情報整合中心，主要目的是實現多源異構的網路威脅情報的整合與共享，以彌補資訊分析和整合能力弱的不足。該機構是一個能夠彙集美國整個國家的網路威脅資訊的情報中樞，是政府各部門之間、政府與企業之間協作的重要平臺，有助於快速共享網路威脅情報，儘早預警可能出現的網路攻擊，及時採取應對措施。網路威脅情報整合中心的成立是美國加強網路威脅情報領域政府、企業間合作的重大舉措，具有轉折性意義。可見，美國政府在網路威脅情報共享方面起著主導地位。

·美方情報生態系統前提：

政府與安全廠商合作前提是互相信任。美方政府和私營部門、安全企業已經不是簡單的合作，已經形成了一種聯合資訊空間相關合作，並有希望有更進一步擴充套件。

·美方政府和企業開展情報合作的好處：

對於政府來說：一方面有助於安全廠商將平時的安全研究落到實處，幫助政府解決具體問題；另一方面，成功開展此類合作意味著有巨大情報資源為後盾。例如：溯源工作的成功依賴於多源情報的查詢、關聯分析。此外，情報生態體系的合作能夠幫助美方安全部門瞭解更全面的威脅態勢，利用私營部門、安全廠商的多維度情報視野，發現正在發生的威脅/攻擊。

對於私營部門/安全廠商來說：現實生活中勒索犯罪等網路犯罪受害者往往會尋求執法部門幫助，但受害者對政府部門的期望可能不切實際，最常見的是：受害者希望一打電話就能解決問題，但這是不可能的。受害者想快速止損，政府部門破案偵察找出攻擊者身份。政府如果和安全廠商緊密合作，遇到此類問題就可以把受害者轉給有經驗的安全業界人員解決具體問題，受害者可以及時止損，政府部門繼續專注於偵察破案。情報共享讓整個生態系統內的事件響應會更及時，系統內有一家遭到了打擊可以馬上通知生態夥伴，做好防禦工作。

·美方未來如何提升情報生態體系：

首先需要把更多廠商納入生態合作伙伴體系，其次確保每一個參與者都具備基本相關能力，迅速分享自己得到的情報資訊，讓所有參與方瞭解正在發生的事，能在整個生態防禦體系中出自己一份力。政府也要加強自己的日常工作質量，去招攬更多符合標準的小企業，去找更多專家，確保到時候事件受害者可以找到正確的人對接。

對我國威脅情報生態建設的啟示

在數字時代安全威脅不斷演進的今天，“痛而不通”的安全痼疾，嚴重限制了政企使用者整體應對威脅的能力，自身的網路安全建設存在著企業裝置各自為戰、生態產品難以聯動、外部安全能力無法融合等多重協同壁壘。迫切需要一個可以整合各種安全能力的單一平臺，同時實現企業產品之間、各個廠商之間、以及外部安全能力和內部安全能力之間的體系化、實戰化協同。

在此背景下，360政企安全集團不斷提升自身威脅情報能力：

·應對情報服務範圍的變化

360政企安全集團為客戶提供安全情報時，將整個組織內部與外部威脅，安全性與業務見解融合在一起，應用在威脅檢測與防禦、威脅分析與安全運營、威脅狩獵與預測等場景。

· 應對情報服務物件的變化

360政企安全集團不僅為安全運營客戶提供戰術/運營層的威脅情報平臺，還為企業高管/安全運營領導者們提供網際網路暴露面的網路風險態勢評估報告，建立組織戰略分析基礎，將業務基礎資料與攻防態勢資料相融合，並從專業的情報分析角度預警客戶網路資產可能存在的網路安全威脅和隱患。

·應對服務形態發生的變化

360政企安全集團以體系化作戰/對抗/攻防思維的新戰法為指導，打造了一套以雲端安全大腦為核心的數字安全能力體系。作為雲端安全大腦的私有化部署，360核心安全大腦3.0能夠助力網路安全產品透過多種方式（SDK/API等）戰略化應用威脅情報：大資料集中分析研判、高階威脅情報賦能、網路安全產品體系化聯動、安全策略協同等全方面提升，全面提升政企使用者體系化、實戰化的數字安全能力。

未來，以360政企安全集團為代表的數字安全廠商應該把威脅情報能力以更智慧化的方式服務於客戶與生態合作伙伴，助力整體提升我國應對數字時代威脅的安全能力。