威胁情报在国内已经发展了几个年头,但在明眼人看来,和国际的差距却越来越大。从市场空间看,国内情报市场在全球市场的占比,远小于 NGFW、IDPS、EPP等产品;从使用场景看,国内最成熟的还是威胁检测,而从欧美看,报警分级、威胁狩猎、事件响应、安全预警、投资策略,情报已经在更广阔的空间内发挥越来越大的价值。作为国内威胁情报中的一份子,期望能和同行、同事携手,推动国内市场进入一个新阶段:智能情报。
为了便于区分,把情报利用能力分解成3个阶段:信誉情报、富化情报、智能情报。如果考虑到关基防护、APT对抗需要的弹性防御能力构建,对应到情报方向还需要提供本地化的情报分析和生产能力(情报基础设施),这就是另一个更大的话题了。
当前国内的情报应用,基本上停留在信誉情报、富化情报的阶段。跨越到智能情报阶段,就需要解决三个关键难点:
场景化的情报生产运营
在通常批量化情报生产过程中,情报运营偏重的是现象,而非本质,这样对使用情报分析研判实际风险是不够的。譬如仅从一个传感器收到报警数据,了解某个IP发出的Web攻击相关Payload,但不清楚对方的实际意图:资产测绘、恶意扫描、良性扫描、蠕虫感染、定向攻击等等,这种情况下即使有上下文信息,也无法推断企业面临的真实风险,并针对必要的事件做出响应。因此情报需要的不仅是上下文,而且应该是及时、清晰 、可指导行动的上下文,以便在应对安全挑战时做出快速、明智的决策并采取有效的行动。场景化分析知识模型
当前安全运营的痛点之一是普遍缺失具备分析和响应专业知识的安全专家,大多数情况下,即使提供了分析决策所需要的信息和知识,往往也难以保障在实际运营中解决问题。因此需要考虑针对不同的场景,不但提供相应的情报内容,还能提供分析的知识模型。如何把分析专家、响应专家脑中的知识分解成不同场景的分析模型,固化到标准产品中,是国内安全企业真正追赶国际水平最大的挑战。-
自动化分析
具备了不同场景化分析需要的多维度的情报信息,以及对应的分析知识模型,剩下的就是通过什么样的产品形式,使其可以集成到实际的安全运营过程中。无论是云端SaaS服务,或者本地化平台功能,都需要提供一定形式的高速、自动化分析能力,以应对每日的海量报警日志数据,这步的关键是能力和既有安全产品间的协同联动,让人和机器更好地合作,以提升整体效率。智能情报,将是情报在国内市场提供更大价值的里程碑。通过前期的预研和客户验证,我们越发清楚地认识到:只有智能情报,才能让检测更及时、响应更高效、决策更智慧。
年终之际,透露当前团队做的一部分工作内容。我们还在不断前行,相信前路有更多发现、更多惊喜,这探索的旅程也许是人生中最难忘的经历,不懈的努力就是照亮前路的那束光。