企業如何打造“秒級響應”的威脅情報系統？

伴隨產業數字化轉型持續深入，各類高階和未知威脅迭代演化，企業對於威脅情報的需求也日益升高。據全球最大資訊保安培訓機構SANS調查資料顯示，有80%的組織認為自己從威脅情報中獲益。

與此同時，威脅情報在企業重要決策中的參考權重大幅上升。全球權威資訊化諮詢研究機構Gartner進一步指出，伴隨威脅情報對攻擊者追蹤能力的不斷增強，企業也將對涉及戰略層的、與組織相關度高的威脅情報產生更多需求。

網路威脅形式複雜多變，如何從海量資料中挖掘威脅情報？關鍵時刻如何實現安全威脅秒級響應？怎樣評估安全威脅情報對企業的價值？由騰訊安全聯合雲+社群打造的「產業安全專家談」第十四期，邀請到騰訊安全威脅情報業務安全專家譚昱，為大家揭開數字經濟時代的企業威脅情報藝術。

譚昱：資深威脅情報業務專家，2007年進入安全行業至今。負責病毒分析工作，並參與設計了安全防護體系設計，以及國內首個網址雲自動化運營系統的構架設計。目前主要從事威脅情報運營工作，基於多年一線和病毒木馬，以及背後的團伙對抗的經驗，參與搭建了騰訊的基於大資料的威脅情報自動化生產和運營系統。

Q1：如何保證威脅情報的全面性和合規性，以滿足企業級使用者的需要？

譚昱：保證威脅情報的全面性，一方面要保障資料的多樣性，威脅情報收集的觸角不僅包括C端使用者，還包括外部公開的資訊員，內外部網路環境資料，蜜罐系統收集來的資料等等；另一方面，資料來源的分析和情報生產過程，考慮情報是否符合使用者的需要，例如攻擊團伙本身的攻擊方向是什麼，是否會對我們的企業客戶產生威脅。

在威脅情報收集的合規性方面，首先需要保證資料的脫敏處理；其次是注重隱私保護，制定明確的隱私保護協議，並徵得使用者的同意之後才能蒐集；對於開源的資料，包括網路公開的資訊，所有收集到的資料都必須做脫敏處理，達到符合國內監管的需求和標準。

目前我們的威脅情報，主要應用在企業辦公安全、Web安全，以及整合在騰訊安全的產品中，包括騰訊安全御界高階威脅檢測系統、騰訊安全御知網路威脅風險檢測系統等，都整合了騰訊安全威脅情報能力。

Q2：怎樣保證威脅情報資料的及時性和權威性？

譚昱：收集到的威脅情報，包括開源的情報，在收集過來之後，都需要透過內部的智慧鑑定系統進行篩選，剔除無關、冗餘的威脅情報，確保同步給客戶的情報真實、有效且有用。

尤其對於有些廣度特別高的情報，我們會人工做double check，透過多重稽核，以保證最終提供給客戶的威脅情報是更準確和適用的。

Q3：在威脅情報中，AI發揮了怎樣的作用？

譚昱：AI主要作用於威脅情報的識別和分析，因為威脅情報系統每日收集到的資料量都是非常大的，需要用到像圖挖掘系統、深度學習，以及像域名擴散這類的演算法，去實現對於域名的識別和關聯，提取到關鍵的威脅情報資訊。

Q4：2018年國家釋出了網路安全威脅資訊格式規範，對行業的影響是怎樣的？

譚昱：2018年釋出的威脅情報的國家標準《資訊保安技術網路安全威脅資訊格式規範》（(GB/T 36643-2018)，是從可觀測資料、攻擊指標、安全事件、攻擊活動、威脅主體、攻擊目標、攻擊方法、應對措施等八個元件進行描述，並將這些元件劃分為物件、方法和事件三個域，最終構建出一個完整的網路安全威脅資訊表達模型。

這個格式是有較好的參考和指導意義，能夠方便各個廠商的威脅情報之間的交流，騰訊安全內部擁有一套配合自身產品和使用場景的格式，當然在對外交流中，也可以很方便地轉換成通用格式。

Q5：5G技術會給網路安全威脅情報帶來怎樣的影響？

譚昱：威脅情報作為一種新興起的安全防護方案，本質上是隨著移動網際網路一起發展起來的。隨著5G的發展，入網裝置數量會出現膨脹增長，包括入網的方式，也可能會有翻天覆地的變化。可以預測的是，未來幾年隨著5G的發展，威脅情報在行業的適用性會越來越廣，尤其是在一些大企業或者是國家的應用，也會有一個很大比例的上升。

Q6：威脅情報技術的核心工作原理是什麼？

譚昱：在我看來，威脅情報技術主要有兩個核心要素。

第一個是所有的關於威脅的資訊。包括我們所知道的這些病毒團伙的組織名稱，他們的活躍時間，使用了哪些伺服器，哪些基礎裝置，他們的攻擊方向是什麼，以及他們的活躍的時間或者期限，以及針對的目標國家等這些資訊。

另一個是威脅情報分別應用於怎麼樣的場景中。例如說情報中這批伺服器地址或者說它的這個技術資訊是應該應用到WAF裡面，還是應用到零信任防護系統裡面，還是說要應用到我們的核心資產保護裡面，如何去做這個區分的問題。

Q7：在企業安全防禦體系中，威脅情報扮演了怎樣的角色？給企業帶來了哪些好處？

譚昱：威脅情報本質上是一種資料的知識，它其實是不能單獨存在帶來價值的，需要跟我們傳統的一些安全的防護方式一起，對整個企業的安全做到全方位的保障。

如果說把我們的企業比作一個城堡的話，傳統的安全防護手段，可以認為是拱衛這個城堡的城牆，威脅情報其實相當於衛兵隊伍，互相的配合才能打好安全保護戰。

就威脅情報來說，它承擔的作用主要有三塊：

第一塊是最基礎的，叫運營級的威脅情報。就是說我們需要提供一些伺服器這種知識，其實給我們的安全的防護產品去使用，就是包括WAF、防火牆，以及包括零信任系統這種，直接去起到一個攔截和防護的作用；

第二步是威脅情報的溯源和分析。針對企業內部已經發現的威脅，需要對它進行溯源和分析，就是看它從哪裡來，就是對哪些場景可以穿透，最終會造成一個什麼樣的影響，可以讓我們的安全運營的團隊和企業去做決策；

第三步是戰略級的威脅情報。需要對當前的整個安全體系、整個安全趨勢做一個分析。就是說目前存在哪些安全的隱患，以及未來可能造成哪些安全的威脅，給我們的安全決策的同學們做一些指引，我們需要在哪個方向去加強整個企業的安全能力。

威脅情報對企業的作用來說，是可以更快、更好地去增加我們對於這個新的威脅的防護能力。從本質上來說，最大的作用是因為相對傳統的防護安全來說，它更新和升級非常快，就可以提高現有企業對於整個安全防護的響應的速度，提高攻擊者對於整個安全攻擊的一個難度，從而保護整個企業的核心資產，包括像資料以及辦公環境的安全。

Q8：跟傳統的安全業務能力對比，威脅情報能更好地解決哪些實際問題？

譚昱：因為其實威脅情報它不是一個單獨存在的東西，必須跟我們現有的傳統的安全防護手段結合在一起，才能產生更大的價值。就是如果說不應用威脅情報的話，那麼我們只應用傳統的安全防護體系，會存在哪些問題，現在很多企業都會碰到：

第一個告警過載或者說是誤報的問題。這是兩個問題，但它產生的原因是差不多的。這會導致每天我們的各個裝置會報上來各種各樣不同的報警，這些報警按之前統計，應該至少有50%以上是無效的告警。這個會導致在安全運營人員非常有限的情況下，其精力會淹沒在這些無效的報警之中，導致真正有威脅的問題其實很難發現。

第二個就是威脅情報配合問題。很多企業會採購多家的安全裝置，每個裝置其實會有自己不同裝置的資料的方式，很難有一個人能夠對全盤有所瞭解，一旦這種裝置之間存在一些空檔或者漏洞的話，是很難發現的。

那麼應用威脅情報之後，首先可以對整體的資料進行分析，對所有的威脅進行分析和分類以及分級，就可以讓安全運營的團隊更快地響應高危的威脅，把這類安全問題解決在萌芽中。

其次，透過在企業內已經發生了安全威脅，在溯源和分析的過程中，一步一步地往前查，看一下他是透過什麼渠道，就是透過哪些裝置進來的。那麼我們可以找到我們之前的這種安全體系的漏洞，那麼我們也可以有針對性的去針對這一塊做防護的調整和升級，就讓整個的體系更加安全。

Q9:企業打造威脅情報系統的難點在哪裡？騰訊安全是如何解決的？

譚昱：構建整個威脅情報防護系統，在運營方面有三個較大的難點：第一是必須要有充足的資料；第二，要有強大的資料處理能力；第三就是必須有一個持續的，而且對整個行業瞭解的一個安全團隊，這樣才能對資料做針對性的處理。

騰訊安全威脅情報基於騰訊安全運營經驗，海量的資料收集系統運作，每天收到2萬億甚至更多的系統日誌資料，透過安全大腦這個大資料處理平臺，基本上可以實現秒級響應，就是在當天內全部處理完成。

依託於騰訊安全20多年安全經驗的運營團隊，以及利用大資料的演算法，把團隊運營經驗沉澱在業務系統和流程之中，生產成最終的威脅情報。目前騰訊安全每天生產的威脅情報中，有90%以上都是透過這個系統來產生的。

對於威脅情報來說，還有一個核心點是除了情報本身的準確性，還要考慮情報的可用性。就是除了分析情報的黑白屬性，還應該告訴客戶這個情報是做什麼的，攻擊屬於哪個團伙，它所需要攻擊的物件是什麼。例如它可能是攻擊能源行業的，或者是攻擊金融行業的，把這個情報同步給對應的企業之後，它可以根據我們同步的資訊，決定這個情報是需要用還是不需要用，或者說需要應用到什麼樣的場景。

第二個是說情報生產出來之後，如何去使用它，如何去更好的使用它。目前騰訊安全威脅情報的客戶，我們會跟對方進行一個持續的跟蹤和產品的交付，保證企業在使用過程中，符合我們最開始設定的預期，並對他從前反饋的問題也可以實時的響應，提供具體的調整和部署方案，助力威脅情報應用能達到最優的效果。