二戰時期，中途島海戰被稱為太平洋戰爭的轉折點。此次戰役美國成功戰勝日本，扭轉了珍珠港事件后的被動局面，加速了二戰的終結。在這場戰役的背后，情報扮演了非同尋常的角色。

早在1937年，美國海軍就已經在太平洋地區建立了無線電測向站，及時精準地掌握了日本海軍艦船的海域和航線。在密電破譯上，美國海軍在戰前成功破譯出日軍準備進攻的目標是中途島，并完全掌握了日軍的作戰目的、艦隊編成、攻擊時間等重要情報。

美國海軍將領普魯恩斯回憶說：“中途島海戰的勝利，其主要原因首先在于得到了一流的情報。”

當下，網絡科技快速發展，黑產及攻擊者逐漸規模化、產業化和專業化。根據Check Point Research(CPR)發布的《2022年網絡攻擊趨勢》報告統計，與2021年相比，2022年全球網絡攻擊增加了38%，每個組織平均每周要遭受 1168 次攻擊。而RiskIQ發布的另一個調查顯示，2022年全球平均每分鐘有648次網絡攻擊，每次入侵成本是7.2美元，全年共造成損失可達25億美元。

與此同時，數字經濟目前已成為我國經濟發展戰略的支柱。為了迎合當前數字經濟時代背景下的市場環境，越來越多的企業開始進行數字化轉型。然而，在巨額利益的驅動下，黑灰產業鏈在與各方對抗中不斷升級，企業業務安全正面臨巨大的挑戰。據中國信息通信研究院發布的《業務安全發展洞察報告》指出，數字化轉型企業面臨著數據泄露、釣魚仿冒、API攻擊等主要風險。業務的健康穩定不僅是企業營收的重要保障，亦是企業信譽以及生存發展的關鍵要素。

對此，不少專家表示，可利用風險情報來提高企業業務安全，開拓主動防御機制，保障業務順利開展。實現企業業務安全有兩個重要指標：風險平均檢測時間（MTTD）和風險平均響應時間（MTTR），利用風險情報可以基于攻擊者的視角，預先了解風險和攻擊鏈路，從而降低這兩個指標，提高企業應對風險的及時性，降低企業業務風險。

風險情報應用的三大難點

風險情報聚焦于企業的業務安全場景，針對安全威脅、威脅者、惡意軟件、漏洞和危害指標等多個維度進行分析，對攻擊者和攻擊事件進行畫像。組織可以結合自身業務情況和行業屬性等等，進行針對性的檢測和防御。

但是，想要利用風險情報有三大主要難點：

■ 第一是情報源的穩定性，網絡黑產的組織性和隱蔽性越來越強，想要長期保持穩定的情報源非常困難，同時，如何覆蓋當下最主要的幾大業務風險場景也是一個挑戰。

■ 第二是情報的質量，當下風險情報最常見的形式是IoC失陷指標，包含與惡意活動相關的信息，例如IP地址、域名或文件哈希等，但它們的“保質期”很短，因為攻擊手段的發展極快，這些情報信息通常需要和日志記錄的上下文相關聯，同時，大量的誤報也是處理情報信息的一大挑戰。

■ 第三是情報處置和落地，掌握情報只是第一步，還需要將其與實際業務場景相結合，挖掘出實際的解決策略，從而減少安全人員的運維時間和精力。

面對以上問題，專注于風險情報多年的安全廠商威脅獵人（前“永安在線”）提供了綜合性的解決方案。近日，威脅獵人發布了Karma風險情報平臺4.0版本（下稱Karma4.0），此款產品通過聚焦5大風險場景和27類風險預警，實現風險“發現-預警-分析-處置”的閉環。同時，威脅獵人還首次公布了其處理情報的底層能力：黑產知識圖譜，讓Karma4.0在風險感知能力方面更勝一籌。

安在特別采訪了威脅獵人的COO兼風險情報平臺業務負責人邵付東，以情報的視角深入剖析企業應該如何利用風險情報來保障業務安全，解決安全風險。

Karma4.0全新升級，讓風險感知更快一步

Karma風險情報平臺最早發布于2017年，適時，威脅獵人的創始人希望從情報出發，從攻擊者視角挖掘企業安全問題。圍繞著不斷變化的網絡安全環境，威脅獵人基于多年情報能力的提升與情報源數據的積累，對Karma風險情報平臺進行不斷地迭代和升級，并最終推出了Karma風險情報平臺4.0版本。

據邵付東介紹，此次Karma4.0版本的升級主要圍繞著上述的三大難點。

在情報源方面，Karma4.0通過技術的升級，對當下最主要的幾種業務風險場景，針對性地提煉出“數據泄露”、“API攻擊”、“釣魚仿冒”、“業務攻擊”和“賬號風險”5大常見風險場景的處置和解決方案。

在數據泄露場景中，Karma4.0通過暗網、代碼托管平臺、代理蜜罐以及文庫網盤等多個渠道全面覆蓋數據泄漏渠道，并通過數據泄露預警、文檔&代碼下架、數據代買&溯源等方式應對和解決企業數據泄露問題，實現風險處置閉環。

在釣魚仿冒場景中，Karma4.0通過對Fofa、Shodan、pDNS、whois、黑產群聊、網站備案、搜索引擎等多個情報源進行梳理，對仿冒網站、仿冒APP等提前預警和及時感知，并通過社交軟件、瀏覽器、手機管家等對仿冒網站、APP進行及時攔截，防止其大規模擴散。

在API攻擊場景中，Karma4.0通過威脅獵人獨有的代理蜜罐技術能夠感知未知被攻擊的API以及掌握攻擊者構造的攻擊特征等方式，持續監測被攻擊的API，實現及早防御。與此同時，Karma4.0還會通過對蜜罐獲得真實攻擊IP以及對攻擊工具的作者信息進行溯源的方式，對攻擊源頭進行溯源分析，避免API攻擊的二次發生。

與此同時，為了能夠捕獲和覆蓋更多的攻擊情報，Karma4.0從攻擊全鏈路出發，長期且深入地對黑灰產業鏈進行全面布控，實時捕獲最新攻擊數據，以確保情報源覆蓋更全、更新更快。

在全鏈路的情報源中，Karma4.0基于代理蜜罐及攻擊工具的情報源，可以提早感知攻擊，清晰感知到攻擊者是對什么API通過什么攻擊手法來進行的攻擊，從而還原攻擊路徑，實現溯源。據了解，Karma4.0每月可捕獲15W+被攻擊的API、3W+攻擊工具樣本等。

在情報質量方面，Karma4.0在海量情報數據上圍繞黑產資源、傳播、交易等多個維度的基礎上構建黑產知識圖譜。黑產知識圖譜是此次Karma4.0升級的核心，也是解決風險情報質量的關鍵。

Karma4.0基于全鏈路的情報源及多年的情報數據積累，利用黑產知識圖譜的圖模型算法，對攻擊全鏈路（攻擊者在什么社群、使用了哪些工具、通過什么攻擊要素、做出怎樣的攻擊行為）進行刻畫，從而更快更準地發現新的攻擊風險。

在情報落地和服務方面，Karma4.0提供了專業的安全服務，其中包括：攻擊工具分析；仿冒網站攔截；仿冒網站關停；仿冒電話攔截；泄漏代碼下架；網盤、文庫泄漏文檔下架等等。最終實現“發現-預警-分析-處置”這一閉環，最大程度保障企業業務安全。

在用戶體驗方面，Karma4.0風險情報平臺無論是從界面展示還是操作上都有較大的提升。首先，平臺界面設計很清爽，五大場景的風險預警、搜索功能及行業報告所在位置十分醒目。通過“搜索”功能可以快速查詢IP、手機號、郵箱等攻擊資源及攻擊工具的風險詳情。

注：圖為威脅獵人Karma4.0風險情報平臺頁面

當出現風險預警時，可以點擊查看到代表性風險事件及其詳細描述，直觀地了解風險事件的發生時間、攻擊行為/趨勢、風險細節等情報信息。

注：Karma4.0捕獲的數據泄露事件詳情

注：Karma4.0捕獲的API攻擊事件詳情

注：Karma4.0安全分析報告詳情頁

處理完風險事件后，通過及時了解最新攻擊工具分析、行業風險態勢分析等一系列安全報告，對風險事件進行追蹤溯源，從而及時感知和防御更多風險。

從安全運營的角度來說，Karma4.0使用體驗十分流暢，此次全新升級解決了業務安全場景下攻防不對等的問題，大大提升了安全運營效率，真正基于情報實現風險“發現-預警-分析-處置”的閉環。

綜上所述，Karma4.0已經足以應對大多數常見的業務場景和風險，但邵付東認為，這還遠遠不夠。

風險情報能力產品化、服務化

目前，中國已經進入全行業的數字化、智能化以及云化轉型，"互聯網+"、"智能+"、"5G戰略"等，正在推動大數據、云計算、工業互聯網、物聯網廣泛應用和發展，企業信息安全模式正在從傳統的圍墻式、補丁式、形式合規式的業態，進入多元化發展期。

在轉折關鍵期的當下，如何將自身技術以產品化、服務化的方式交接給用戶，如何擁有高效全面的應急響應能力、更強的實戰化效果，是很多安全廠商面臨的關鍵挑戰。特別是以風險情報為核心的廠商，相對于其他安全技術而言，在當下風險情報雖然對于以事件驅動為主的企業信息安全建設來說更加重要，但是它對于廠商的要求也更高。風險情報既要求廠商擁有長期挖掘和發現情報的技術和經驗，又要求其能夠推動產品化和服務化。

幸運的是，我國目前已經擁有很多以情報為核心的廠商，威脅獵人正是其中的之一。邵付東表示，將風險能力產品化和服務化是當下威脅獵人的重點，也是未來探索的主要方向。

目前，威脅獵人借助Karma風險情報平臺，進一步挖掘風險情報與場景的適配，并基于全面、實時、精準的情報能力形成標準化的產品，在不斷開拓產品力的同時，進一步開拓情報市場。

同時，威脅獵人通過對用戶實踐的反饋，正在持續推動情報服務能力。據了解，目前Karma風險情報平臺為互聯網、金融、電商等行業300余家企業提供服務，覆蓋國內85%頭部互聯網企業，獲得了行業用戶的信賴和好評。

邵付東表示，威脅獵人Karma4.0在上述這些方面還會繼續探索，Karma風險情報平臺的下一個目標依然是借助情報向用戶輸出更多產品和服務。在情報源不斷更新變化的當下，威脅獵人始終聚焦情報能力的提升，并將其落地于企業業務安全的主要場景中。這種堅定守護業務安全的初心，以及持續解決用戶需求的決心，是威脅獵人將Karma風險情報平臺不斷推陳出新的底氣和實力。接下來，Karma4.0會進一步聚焦情報，提高產品力和服務力，為用戶和業界提供更具價值的風險識別和處置能力。

尾聲：善用情報，攻守易勢

當下，黑產和企業安全團隊所形成的攻強守弱態勢依然存在，受制于資源、技術、能力等多方面的限制，單憑企業安全團隊很難真正對抗黑產。盡管如此，無論是安全廠商還是甲方企業，都沒有放棄改變這一態勢的目標和決心。

對此，邵付東對那些想要扭轉攻防局面的企業和安全從業者建議，不同行業、不同企業、不同領域、不同體量對于攻防轉換的要求、目標、結果都不相同，但只要利用情報那一刻，你就在不斷變化的攻防形勢中掌握了主動權。

此次Karma4.0的升級會讓更多組織和個人意識到風險情報的重要性。相信未來會有更多的企業關注和利用風險情報，也相信威脅獵人能夠繼續堅持對風險情報的探索和梳理，轉化出更優質的產品和更完善的服務，為各行各業的數字化轉型助一臂之力。

詳情請關注安在新媒體，一家信息安全領域媒體，以“做有內涵的泛黑客媒體”為方向，線上通過自媒體，采訪網絡安全領域人物梳理行業脈絡，通過介紹他們的經歷、感悟、對行業的看法等來剖析網絡安全發展的脈絡；致力于建立完整的信息發布矩陣，覆蓋微信、微博、知乎等主流自媒體渠道。

官網：http://anzerclub.com/