本文是ISC 2021 演講的摘要应结， 分享出來缀踪，希望大家對其中觀點(diǎn)做進(jìn)一步批評和指正井氢。

數(shù)字時(shí)代的來臨忿薇，使網(wǎng)絡(luò)安全越發(fā)重要并成為數(shù)字經(jīng)濟(jì)的基石裙椭，但挑戰(zhàn)也前所未有：一切皆可編程躏哩，意味著漏洞無所不在，安全防護(hù)必然不能再以漏洞為中心揉燃，而是需要風(fēng)險(xiǎn)的視角震庭，也即在敵人通過漏洞進(jìn)入內(nèi)部后，企業(yè)需要基于業(yè)務(wù)風(fēng)險(xiǎn)做重點(diǎn)防御你雌、縱深防御；萬物互聯(lián)二汛，意味著企業(yè)很難再有明顯的邊界婿崭，遠(yuǎn)程辦公、云服務(wù)肴颊、供應(yīng)鏈氓栈、公司并購，復(fù)雜的數(shù)字生態(tài)關(guān)系使企業(yè)難以獨(dú)善其身婿着，需要從更高維度的空間上監(jiān)測自身的安全性并積極參與生態(tài)構(gòu)建授瘦；大數(shù)據(jù)驅(qū)動(dòng)業(yè)務(wù)，使數(shù)據(jù)成為最重要的目標(biāo)竟宋，安全不再是一個(gè)附加的模塊提完，需要和業(yè)務(wù)系統(tǒng)深度的融合，以達(dá)到及時(shí)丘侠、高效徒欣。

情報(bào)相應(yīng)也在變化，從傳統(tǒng)狹義的威脅情報(bào)蜗字，演進(jìn)為一個(gè)新的體系打肝，這個(gè)近年在海外被稱為安全情報(bào)，或者網(wǎng)空情報(bào)挪捕，從整體上看它有以下典型特征：

1. 不再以威脅為核心粗梭，新形勢下的數(shù)字組織不但需要通過情報(bào)了解對手，也需要以此了解自身级零，特別是對云上業(yè)務(wù)断医、供應(yīng)鏈相關(guān)等互聯(lián)網(wǎng)相關(guān)的數(shù)字資產(chǎn)、漏洞妄讯、威脅孩锡、數(shù)據(jù)泄漏等，情報(bào)需要知彼亥贸，但也更需要知己躬窜；
2. 情報(bào)的優(yōu)先服務(wù)對象，不再只是安全運(yùn)營和管理人員炕置，而是企業(yè)的高管荣挨，對應(yīng)情報(bào)最需要考慮提供的男韧，是和組織環(huán)境、使命默垄、業(yè)務(wù)運(yùn)營此虑、收入和聲譽(yù)相關(guān)的所有威脅和風(fēng)險(xiǎn)信息，而不是IOC等機(jī)讀情報(bào)口锭；
3. 情報(bào)不再單純是一種第三方服務(wù)朦前，而是企業(yè)自身需要具備的核心能力，任何一個(gè)組織如果要回答特征二提及的問題鹃操，都必須結(jié)合自身業(yè)務(wù)和威脅相關(guān)的全時(shí)韭寸、全域、全維的情報(bào)進(jìn)行針對性分析荆隘，獲得符合自身組織和業(yè)務(wù)特點(diǎn)的答案恩伺，這個(gè)過程廠商能提供基礎(chǔ)的戰(zhàn)術(shù)、戰(zhàn)役情報(bào)椰拒，提供分析工具和方法晶渠，甚至包括情報(bào)專家，唯獨(dú)難以提供這個(gè)答案——組織的網(wǎng)絡(luò)空間戰(zhàn)略情報(bào)報(bào)告燃观。

也有人說符合這些的才是真正的威脅情報(bào)褒脯。無論如何，時(shí)代的召喚仪壮、市場的期望都已經(jīng)發(fā)生了巨大的變化憨颠。

在情報(bào)的新旅途中，存在兩個(gè)發(fā)力點(diǎn)积锅，如果能夠善加利用爽彤，應(yīng)該可以加速企業(yè)新一代情報(bào)能力的建設(shè)，更好地建立數(shù)字適應(yīng)性或者韌性：

1. 外部攻擊面管理： 越來越多的業(yè)務(wù)系統(tǒng)連接互聯(lián)網(wǎng)缚陷，甚至直接部署在公有云之上适篙，企業(yè)的外部攻擊面在高速增長。但即使安全成熟度相對高的企業(yè)箫爷，對內(nèi)部資產(chǎn)的管理已經(jīng)相對成熟嚷节，但在應(yīng)對這種大量暴露在外部的資產(chǎn)卻沒有合適的管理工具。如何持續(xù)監(jiān)測虎锚、梳理資產(chǎn)硫痰、發(fā)現(xiàn)和分析風(fēng)險(xiǎn)直到進(jìn)行相應(yīng)的調(diào)整（收縮攻擊面、加固窜护、修復(fù)等）效斑，是一套相對復(fù)雜的流程，需要具備pDNS柱徙、數(shù)字證書等大網(wǎng)基礎(chǔ)數(shù)據(jù)缓屠，也需要完善的大網(wǎng)測繪能力奇昙，同時(shí)包括漏洞情報(bào)、受控主機(jī)敌完、攻擊跳板主機(jī)储耐、開源和暗網(wǎng)多種情報(bào)能力，才能構(gòu)建一個(gè)相對完善的外部攻擊面管理平臺（參照PA收購整合后的Cortex Xpanse滨溉、微軟最近收購的RiskIQ）什湘。這種關(guān)鍵技術(shù)復(fù)合型的產(chǎn)品，還需要貼緊業(yè)務(wù)晦攒，無疑對甲乙方都是挑戰(zhàn)禽炬，但對于安全貼近業(yè)務(wù)、提供決策層所需情報(bào)勤家，同時(shí)也是一個(gè)好的起點(diǎn)。

2. 智能分析: Cisco的統(tǒng)計(jì)表明柳恐，大量企業(yè)每天要處理10W+以上的報(bào)警伐脖，基于現(xiàn)有方式能展開分析調(diào)查的不超過一半，而其中有效事件的比例只有26%左右乐设。運(yùn)營人員每天經(jīng)歷重復(fù)的讼庇、枯燥的日志分析流程，依然無法處理完所有日志近尚，更無法將精力用在有挑戰(zhàn)和價(jià)值的事件響應(yīng)工作上蠕啄。而智能分析就是基于情報(bào)和安全大數(shù)據(jù)、運(yùn)營經(jīng)驗(yàn)及分析專家知識戈锻，形成自動(dòng)化分析模型歼跟，可以從海量報(bào)警中直接去除誤報(bào)或虛警，識別出關(guān)鍵安全事件格遭。智能分析不但可以讓運(yùn)營更高效哈街，事件處置更及時(shí)，同時(shí)通過開箱即用的“專業(yè)分析知識”拒迅，縮小技能差距骚秦；幫助分析師擺脫手動(dòng)、冗長璧微、重復(fù)的分析過程作箍，使寶貴的資源投入到高價(jià)值工作中，改善整體安全態(tài)勢前硫。

從整體趨勢看胞得，情報(bào)的外延在擴(kuò)張，除了相對成熟給產(chǎn)品賦能的機(jī)讀情報(bào)开瞭，其它類型也逐步走到重點(diǎn)位置上懒震，包括戰(zhàn)略情報(bào)罩息、外部攻擊面情報(bào)、漏洞情報(bào)个扰、ICS情報(bào)瓷炮、供應(yīng)鏈情報(bào)等，以及情報(bào)分析和情報(bào)管理解決方案递宅；同時(shí)情報(bào)的深度在不斷延展娘香，不再是一種純粹的數(shù)據(jù)收集、分析办龄、整理和發(fā)布的過程烘绽，而更多需要和運(yùn)營知識、分析知識整合俐填，只有這種更智能的情報(bào)安接，才能幫助構(gòu)建數(shù)字基建的適應(yīng)性。情報(bào)的路還有很長英融，充滿崎嶇盏檐，但也充滿探索和希望。