威胁情报应该包括三个部分：情报的生产、情报的传输与共享以及情报的消费。

大家都看到了威胁情报对于检测和响应技术的重要性，所以今年威胁情报的概念特别火，大大小小的安全企业都在提这个事情。为此，中国软件网联合海比研究采访了中关村软件园企业启明星辰集团泰合本部产品负责人叶蓬，详细了解了威胁情报在启明星辰的应用与发展情况，并将威胁情报技术列为今年中关村软件园研究报告中的重要技术之一。

威胁情报的生产是通过对原始数据/样本的采集、交换、分析、追踪，产生和输出有价值的威胁情报信息的过程。生产出来的威胁情报主要包括两类：战略威胁情报和战术威胁情报。战略情报往往来自长期威胁趋势分析，并形成一份较为详尽的研究报告，帮助决策者洞悉威胁的变化以及发展趋势，以及应该采取的应对措施。而战术威胁情报更多的是面向机读的结构化数据，便于一线安全人员和安全设备快速响应，调整安全策略以应对随时可能到来的威胁。

具体到启明星辰来说，叶蓬介绍到，启明星辰的威胁情报来源主要包括ADlab（积极防御实验室）和与启明星辰合作的一些威胁情报厂商。ADlab成立于1999年，一直致力于网络安全黑客动态和漏洞机理方面以及网络安全深层攻防技术的研究。 ADlab不仅仅帮助启明星辰发现潜在的威胁并形成情报，还会向外输出并帮助厂商解决这些潜在的威胁。当然，仅靠内部提供威胁情报还远远不够，因此今年4月29日，启明星辰发布了“泰合计划”，与烽火台威胁情报联盟、诺恒信息、天际友盟和微步在线等国内主流威胁情报提供商与组织开展威胁情报方面的合作，并持续与更多的合作伙伴实现连接。

不过有一点应该注意的是，业界经常会把漏洞情报和威胁情报混淆，事实上这两类属于并列关系，同属安全情报。从过程上来看，两者相似，不同的是威胁情报侧重的主体是外部威胁，重在知彼；而漏洞情报侧重的主体是内部系统漏洞，重在知己。所谓知己知彼，百战不殆。因此，两者在技术体系方面有所不同。

在生产出威胁情报后，情报的共享与传输也是一个非常重要的环节。在战争中的情报战线上，情报的传递往往是最复杂也是最危险的环节，同样的在威胁情报的战线上，情报的共享和传输也面临着很多的困难。

按照情报共享主体的不同来划分，情报的共享和传输可以分成三类：安全厂商之间情报的共享、安全厂商与用户之间情报的共享以及用户之间情报的共享。就目前国内的形势来看，尽管开源的威胁情报工具和威胁情报联盟正在兴起，安全生态建设也如火如荼的展开，然而由于某些原因，威胁情报的共享还是进展的不那么迅速。

第一，就安全厂商之间的情报共享来看，企业之间的竞合关系成为了拦路虎。安全企业会出于商业竞争的考虑，在情报的共享方面会有一些顾虑。目前的基本形势是，不同安全企业往往会各自抱成一个“小圈”，圈内的情报共享还算流畅，但是圈与圈之间的情报共享却很少。

第二，由于很多大型企业都拥有自己的安全团队，为他们提供产品、服务的安全厂商与这些安全团队之间往往也会存在着情报共享。事实上。厂商和客户之间不是简单的生产者和消费者的关系，而是相互协作的关系。往往在客户实际网络中能够发现更有价值的威胁情报的线索，而这些线索给到厂商可以作为进一步挖掘的基础。反过来，厂商的威胁情报分享给客户，有助于验证情报的实用价值。但是在笔者看来，这个场景下的威胁情报共享是有明显缺陷的。毕竟，单个企业或者单个用户的威胁情报毕竟有着一定的局限性。

第三，企业用户之间情报共享就没有上面两种方式乐观了。这主要由于用户的威胁情报经常来自于自己的“亲身经历”。所谓家丑不外扬，正是由于这个原因才导致了很多用户愿意将情报分享出去，甚至于安全厂商拿着监测到的证据去找企业时都会遭遇闭门羹。不过，现在已经有相关部门着手推动企业用户之间威胁情报的交换。

尽管说了三种威胁情报交换的场景，但是不论是那种场景下，想要大规模推动威胁情报共享体系都需要一套标准体系。正如STIX框架（Structured Threat Information eXpression）用于结构化表达威胁信息，其主要包括网络观测、安全事件、对手技战术水平以及使用的程序、漏洞目标、行动方案等8类信息。不过，由于威胁情报的实时性，往往在关键指标出来以后便会被分享出去，后续会持续对该情报进行更新。目前，US-CERT（美国计算机安全应急响应组织）已经广泛采用STIX框架。可惜的是，国内目前尚没有这样一套标准。不过，启明星辰已经联合百度、阿里等企业以及相关国家单位起草一个威胁情报的框架，目前已经取得了不小的进展。

不过话说回来，威胁情报的消费才是核心，前两个环节都是为应用来服务的。不一定每一家安全厂商都会生产或者共享威胁情报，但是没有一家安全企业敢拍着胸脯说，我不用威胁情报。叶蓬认为，对于政企客户，情报只有使用起来才有价值。而情报的使用过程就是将情报与企业自身的安全要素信息和安全机制相结合的过程。在今年7月份阿里安全峰会上，叶蓬就曾向外界介绍了启明星辰产品消费威胁情报的模型，如下图：

从图中我们可以看到，威胁情报的消费至少可以分为安全预警、实时对比、历史追溯、威胁猎捕、情报生成和协同响应6种场景，作用分别是漏洞预警和威胁预警、内部数据与外部情报进行实时比对、内部历史数据与外部情报进行批量比对、威胁跟踪与猎捕和攻击链分析、内部情报的产生与分享、系统设备的协同与自动化响应。这6个场景基本涵盖了威胁情报驱动的防御体系下的事前、事中、事后。目前，启明星辰已经实现了前三个场景，还将在今年实现第四以及第五两个场景。

值得注意的是，在威胁情报驱动下，笔者认为设备的协同与联动是非常重要的。对于一个企业来说，安全设备提供方往往不是同一家企业，安全设备之间的指令协同并不是那么容易，因为设备的底层架构、指令设计对于一个安全厂商来说是核心竞争力所在，并不会开放给业界。但是威胁情报的协同刚好可以解决这个问题，但是不同设备之间的情报协同就需要一个前提了，也就是上文中所提到的一套威胁情报共享框架。那么笔者相信，随着这个框架的逐渐清晰，协同与联动会变得更加容易。另外叶蓬表示，启明星辰的SOC和防火墙产品已经采用了威胁情报技术。

攻击自动化，防御情报化是网络空间攻防两端发展的一个趋势，在情报化的路上，别把目光停留在威胁情报的某一个阶段上，因为威胁情报是一个产业链。

• A轮，加速最后一次量变，实质上也是易快报的再次量变
  

• 软件网一周头条盘点（10.24~10.28）
  

• 【先睹为快】2016中国管理会计信息化论坛蓄势待发