淺談國內威脅情報的發展

這兩年去過RSA的人，普遍有一個感覺：威脅情報的概念在美國已經很少提了。這是一件好事，因為其市場威脅情報已經無所不在，無需再多談。大家更關心的是基於威脅情報發展出的新產品，怎麼解決具體問題。這也是一件壞事，因為它意味著國內安全產業，在網安應用的AI技術（UEBA為代表）、安全狩獵之外，又一個領域被拋在了後面，雖然起步的時間看似差得不遠。

從個人的經歷看，國內威脅情報技術發展落後主要有3個方面的原因：

1. 企業間信任關係不足，難以形成產業合作，情報數據推送雷聲大雨點小；

2. 產品化能力較弱，或者說應用場景研究得尚顯單薄；

3. 新一代安全產品需要複合多種安全能力，開發資源整合難度較大。

作為公開文章，似乎前兩個原因不適合多談，就把焦點放到最後一個問題上。

在一個安全產品中複合多種的安全技術/能力，是10年前就開始的一個趨勢，SWG、NGFW、EPP都是其中典型的代表，以場景為主線，將解決一個場景下問題需要的安全能力統一在一個產品中提供，統一配置、統一管理，減少了安全建設成本、也簡化了運營的難度。典型的是有了NGFW之後，在網路出口處串糖葫蘆似地部署多個產品的情況應該少多了。

安全建設的重心從防禦轉向到檢測、響應的過程中，逐步明確了其中的需求：運營過程需要快速進行報警確認、了解攻擊危害程度，進行攻擊鏈和影響面分析，並執行遏制或清除活動。這其中需要的能力或技術就包含：威脅情報、事件管理、事件編排、自動化分析和自動化響應等，它們都是安全運營中需要的內容，單純某一種能力不能幫助用戶完成安全閉環，因此需要將這些能力疊加在一起，形成一個新的產品。這類產品在Gartner的報告中被命名為SOAR（Security Orchestration, Automation and Response）。

SOAR產品也許有很多的功能，但個人認為其核心競爭力應該是分4部分：

1. 威脅情報能力；

2. 威脅分析經驗；

3. 事件響應經驗；

4. 整合不同安全產品的能力。

簡單說，SOAR是通過內置多種不同類型威脅情報彌補安全運營團隊的這方面的不足，通過編排或者說Playbook彌補安全運營團隊分析、響應經驗的缺失，最後利用整合能力提供的自動化解決重複勞動和效率的問題。

這樣的產品已經不是傳統意義上的一個安全產品團隊可以完成的了。要實現這樣的產品，幫助用戶解決最大的運營問題，是需要安全公司重新思考如何開發一個產品的。從技術上講，這種形勢應該對綜合性的大公司比較有利，但從實踐看，國際上相似的產品更多是由創業公司帶來的，其中只有FireEye算是一個特例。因此面對這種新的產品需求，在安全能力、組織形式、開發流程上具有不小的挑戰，最終那類公司能突圍而出，尚無答案。

「看中流擊水，浪遏飛舟」。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！