威脅情報在國內(nèi)已經(jīng)發(fā)展了幾個年頭通今,但在明眼人看來粥谬,和國際的差距卻越來越大。從市場空間看辫塌,國內(nèi)情報市場在全球市場的占比漏策,遠小于 NGFW、IDPS臼氨、EPP等產(chǎn)品掺喻;從使用場景看,國內(nèi)最成熟的還是威脅檢測储矩,而從歐美看感耙,報警分級、威脅狩獵椰苟、事件響應抑月、安全預警、投資策略舆蝴,情報已經(jīng)在更廣闊的空間內(nèi)發(fā)揮越來越大的價值谦絮。作為國內(nèi)威脅情報中的一份子,期望能和同行洁仗、同事攜手层皱,推動國內(nèi)市場進入一個新階段:智能情報。
為了便于區(qū)分赠潦,把情報利用能力分解成3個階段:信譽情報叫胖、富化情報、智能情報她奥。如果考慮到關(guān)基防護瓮增、APT對抗需要的彈性防御能力構(gòu)建怎棱,對應到情報方向還需要提供本地化的情報分析和生產(chǎn)能力(情報基礎(chǔ)設(shè)施),這就是另一個更大的話題了绷跑。
當前國內(nèi)的情報應用拳恋,基本上停留在信譽情報、富化情報的階段砸捏∶耍跨越到智能情報階段,就需要解決三個關(guān)鍵難點:
場景化的情報生產(chǎn)運營
在通常批量化情報生產(chǎn)過程中垦藏,情報運營偏重的是現(xiàn)象梆暖,而非本質(zhì),這樣對使用情報分析研判實際風險是不夠的掂骏。譬如僅從一個傳感器收到報警數(shù)據(jù)轰驳,了解某個IP發(fā)出的Web攻擊相關(guān)Payload,但不清楚對方的實際意圖:資產(chǎn)測繪芭挽、惡意掃描滑废、良性掃描、蠕蟲感染袜爪、定向攻擊等等蠕趁,這種情況下即使有上下文信息,也無法推斷企業(yè)面臨的真實風險辛馆,并針對必要的事件做出響應俺陋。因此情報需要的不僅是上下文,而且應該是及時昙篙、清晰 腊状、可指導行動的上下文,以便在應對安全挑戰(zhàn)時做出快速苔可、明智的決策并采取有效的行動缴挖。場景化分析知識模型
當前安全運營的痛點之一是普遍缺失具備分析和響應專業(yè)知識的安全專家,大多數(shù)情況下焚辅,即使提供了分析決策所需要的信息和知識映屋,往往也難以保障在實際運營中解決問題。因此需要考慮針對不同的場景同蜻,不但提供相應的情報內(nèi)容棚点,還能提供分析的知識模型。如何把分析專家湾蔓、響應專家腦中的知識分解成不同場景的分析模型瘫析,固化到標準產(chǎn)品中,是國內(nèi)安全企業(yè)真正追趕國際水平最大的挑戰(zhàn)。-
自動化分析
具備了不同場景化分析需要的多維度的情報信息贬循,以及對應的分析知識模型咸包,剩下的就是通過什么樣的產(chǎn)品形式,使其可以集成到實際的安全運營過程中杖虾。無論是云端SaaS服務诉儒,或者本地化平臺功能,都需要提供一定形式的高速亏掀、自動化分析能力,以應對每日的海量報警日志數(shù)據(jù)泛释,這步的關(guān)鍵是能力和既有安全產(chǎn)品間的協(xié)同聯(lián)動滤愕,讓人和機器更好地合作,以提升整體效率怜校。智能情報间影,將是情報在國內(nèi)市場提供更大價值的里程碑。通過前期的預研和客戶驗證茄茁,我們越發(fā)清楚地認識到:只有智能情報魂贬,才能讓檢測更及時、響應更高效裙顽、決策更智慧付燥。
年終之際,透露當前團隊做的一部分工作內(nèi)容愈犹。我們還在不斷前行键科,相信前路有更多發(fā)現(xiàn)、更多驚喜漩怎,這探索的旅程也許是人生中最難忘的經(jīng)歷勋颖,不懈的努力就是照亮前路的那束光。
