本篇内容来源：2017年11月29日，微步在线举办的《2017安全分析与情报大会》，人称“情报薛”的微步在线创始人薛锋带来的议题分享《基于威胁情报的安全智能化》。内容有删减，浅黑科技授权演绎发布。

3457字 | 8分钟阅读 

“正不压邪”的情况在安全行业存在多年，我和所有安全同行一样，一直在思考原因。思来想去，发现网络攻防这事实在太不公平了！

首先是时间上的不对等。一个恐怖分子潜入汽车站安放定时炸弹，他有充足的时间购买炸弹，规划潜伏和逃跑路线，准备方案，可一旦炸弹安置开启，留给拆弹部队的时间可能只有一两分钟。现实生活当中坏人可能在各个时间攻击，平时大家工作忙碌，一旦出现应急响应事件，往往一开始响应，炸弹上的时间表已经哒哒作响，好人从一开始就在时间上处于不利位置。

其次是工具、资源上的不对等。坏人的装备其实比我们好人要厉害的多。大约20年前我开始从事这个行业，那时我们有什么防御装备？防火墙、IPS/IDS，后来有了 WAF，到现在我们手里有什么装备？差不多还是那些。在座的可能有从业十年、二十年的同行，回想一下20年前我们用什么防御？，今天我们用什么？，似乎并没有太大改变。但是坏人手上的东西这些年变化非常大，增长也非常快。

我想原因可能是这样，好人（安全部门）去买个防护工具，老板问他投入产出比 ——”你到底能给我防止多少损失？抵御多少攻击？“ 这时他就很难回答，安全永远是止损，说不准的。坏人就不一样了！买个工具能去抢劫，抢到了就是真金白银，投入产出比非常好计算。所以坏人在工具、资源上舍得花钱，看重回报，好人却往往哭穷。

工具到底有多重要呢？关于今年5月份的 WannaCry 事件，网上流传过一个说法，说是这个攻击代码由美国NSA泄露，被俄罗斯人偷了出来，最后利用漏洞发起攻击的据说是朝鲜人。一个朝鲜人用俄罗斯人偷来的美国人的工具把中国人横扫了一圈。这就像是一个人拿着AK47走进普通人群狂扫，大杀器在手谁也不怕，这就是工具不对等的结果。

再者，人数上也不对等。企业的安全团队通常是各扫自家门前雪，不管他人瓦上霜，坏人却会串场子的，一个黑客搞完你就去搞下一家，所以对于每个企业来说，想攻击你的人数甚至是几百甚至是更多。

现在一个企业里如果安全团队的人数超过十个，在国内应该算是比较多了，很多公司即便很重视安全，安全团队也就四五个人，安全人员在个位数上是比较常见的。可是，作为一个企业，想搞你的坏人却远远不止十个，可能有几十个，可能是几百个。除了以一敌多，敌人还可能用上自动化攻击手段。前阵子看到一个视频，一个乒乓球大师左右开弓对抗五个机械臂，即便打得过也累个半死，安全人员面临的就是这种情况，想想都觉得可怕。

但这些都不是最大的挑战。

最大的挑战是攻防了半天，好人都不知道是在跟谁博弈，不知道对手是谁。

很多时候，企业跟对手的博弈像是跟空气在博弈，发现一台机器中招，把它当一个普通的病毒格式化就完了，他们并不知道对手干了什么，要干什么，也掌握不了对手的信息。攻防对他们来说就是一种蒙眼的状态，敌暗我明，对防御者非常不利。

敌众我寡，敌暗我明，难。

所幸的是，人们对安全逐渐有了新的认识，逐渐都认可了自动化、共享将成为未来安全的大方向，也明白了城墙式的防御必定失效，把企业比作一个城市，无论边界城墙做得多好，敌人也总能进来，一旦进来，如果这个城市里没有摄像头，接下来发生的偷盗、抢劫就很难再侦探。

云计算出现以后，攻防不对等的情况出现了变化，防守方出现了一个优势。

有了云计算相关技术后，我们可以在攻防中大量采集流量，采集日志，做分析，就好象在街上装了许多摄像头，把每条街道都拍下来，小偷偷了东西被拍，他没办法擦除摄像头里的信息，他经过的每一条路，都可以被记录下来。

有了这些数据，敌暗我明的状况忽然有了反转。这便是为什么我一定要做威胁情报。

2015年，我们按照自己的理解做出了一个威胁情报产品叫 Virusbook，当时我们想对安全事件进行分析，对黑客数据进行分析，把所有信息做关联分析，这是最早的出发点。因为当时我发现人们在面对安全攻击的时候没地方去找线索，去百度上查一个木马的关联信息？不太可能，大家需要一个专业的威胁情报平台，于是我们从这里开始。

然而，这两年国内外的威胁情报虽然出现了很多不同的落地方法和形式，其实问题也挺大。最典型的“大坑”就是威胁情报跟SOC的结合（注：SOC，Security Operations Center，安全运营中心），有的人建了SOC之后就疯狂收集成百上千种数据，收来之后发现根本没用，正确的方法其实应该是SOC收集数据时，先要去考虑为什么要收这些日志，收完对自己有什么帮助。后来我们出的两个产品就是为了这个解决问题。

基于威胁情报的安全智能化是什么？

先打个比方，最近互联网企业热衷于发布智能音箱，为什么？音箱本是个非必需品，重要程度甚至低于电视机，为什么这么多企业争先恐后推出？

因为过去它只是个播放器，但现在智能音箱变成一个人机交互的界面，未来你跟音箱说开灯它就帮你开灯，讲开空调就开空调，这个在以往都要一个个在遥控器上控制的，如果家里设备比较多，不仅麻烦，交互体验也不好。

安全其实比这个情况更糟糕。

每个企业里面都有十几个厂家，几十个厂家的几百台设备，比如有20台A厂商的防火墙，20台B厂商的防火墙，如果要做操作得上每一个操作界面做修改配置，非常烦琐冗余。我相信这一点肯定会改变，就像一个音箱能语音控制所有电器那样。即便现在的安全产品不支持联动，未来也一定会支持，用户需求就摆在那。

在家庭这个场景下，这种控制电器的“情报：来源于我们人类的需求和大脑，想到要开灯，这就是一条情报，然后通过语音的形式告诉智能音箱帮我开灯，未来在安全场景下，威胁情报就是安全智能化中的智能音箱，联动着各种安全防护产品。

给大家讲一个过去发生的应急响应案例。

• 客户的安全人员看到威胁报警，过来找我帮忙看看，我们就拉个群说，你给我们的张三工程师发描述邮件吧。

• 客户发一封邮件过来，这边没收到，因为邮件里包含木马病毒样本，被QQ邮箱给拦截了。

• 客户把邮件加密之后再重发过来，我们的人收到，分析了一个小时或者几个小时，再发给客户，客户看到报告之后说果然很严重，安排他们公司的李四去做防护措施。然后李四又花了几十分钟时间来操作大量设备的防护设备。

看出来了吗？整个过程非常慢、复杂且易出错。这个流程在一个理想环境下其实可以简化成三步：

我们在客户端部署了相应的设备后，客户这边看见报警能够自动在情报平台里客户点击发起服务传到情报厂商平台，平台可以自动调用WAF的接口或者防火墙的接口，整个过程一个小时之内或者30分钟之内就完成，不需要像前面一样各种群聊邮件来来回回讨论这个事情。费力费心还容易出错，人工交流处理，有时甚至 IP 的复制粘结也可能忙中出错。

这样一来，一是实现了自动化，二是对原来你买的很多设备的利用率和使用效果都起到了很强的提升作用，威胁情报平台并不会替代你现在买的防火墙、SOC或者其他产品，而是提升它们的整体效率。

被黑了，很可怕，但更可怕的是不知所措。有了威胁情报，发现被黑，其实是一个机会。

敌人能打进来一定是发现你的缺陷或是漏洞，如果你能快速响应，别人不仅没法偷走你的信息，你在快速堵上这个门之后还有机会去了解这个敌人是谁，他到底想干什么。他在哪儿，是什么组织。现阶段，大部分时候，企业都还没机会跟他们真正过手。

当然，想了解这些信息也会带来一些挑战，比如怎么管理你想积累的情报，积累在什么地方，怎么管理起来。另外，你跟黑客交手一次之后，他的一些工具、IP、木马、身份都可能会不断变化，会用到新的工具，新的IP，新的木马，甚至新的身份，所以其实长期跟踪就变得非常重要，就像是城市里摄像头的联合布控那样。

这些威胁情报都能做到。比如我们建立的黑客画像系统，同时追踪着国内和国外大概一两百个各种各样的黑客攻击团伙，我们对这些团伙进行了画像，有点像“黑客版：的百度百科或维基百科，里面可以看到大量对各种黑客团伙的描述，更重要的是，我们能自动跟踪这些团伙的信息，因为我们有大量的模型找到这些黑客。一个曾经黑过你的黑客最近又搞了一个新木马，又搞了一个新IP，这个很大程度上都离不开监控，一旦有消息就能自动推送到你手里，并告诉你怎么去做。

在中国，一个情报公司的产品化的能力也非常重要，如果仅仅提供一些数据，其实不解决客户最大的问题。在未来，以从威胁情报驱动的设备之间联动以及情报驱动的适应性纵深防御体系，我想，这才是所谓的”威胁情报的安全智能化之路。

---