在當(dāng)今這個(gè)數(shù)字化時(shí)代，網(wǎng)絡(luò)安全已成為企業(yè)運(yùn)營(yíng)與個(gè)人生活不可或缺的基石。隨著網(wǎng)絡(luò)空間的不斷擴(kuò)展，網(wǎng)絡(luò)威脅也呈現(xiàn)出日益復(fù)雜多變的態(tài)勢(shì)，從傳統(tǒng)的病毒攻擊、黑客入侵，到高級(jí)持續(xù)性威脅（APT）、勒索軟件、供應(yīng)鏈攻擊等新型威脅層出不窮，對(duì)企業(yè)的信息安全、數(shù)據(jù)保護(hù)乃至業(yè)務(wù)連續(xù)性構(gòu)成了嚴(yán)峻挑戰(zhàn)。在此背景下，威脅情報(bào)作為網(wǎng)絡(luò)安全領(lǐng)域的核心組成部分，其重要性日益凸顯。

騰訊作為中國(guó)乃至全球領(lǐng)先的互聯(lián)網(wǎng)科技公司，其在網(wǎng)絡(luò)安全防護(hù)方面也扮演著至關(guān)重要的角色。騰訊憑借強(qiáng)大的技術(shù)實(shí)力和豐富的數(shù)據(jù)安全經(jīng)驗(yàn)，積極投身于威脅情報(bào)的收集、分析、共享與應(yīng)用之中，并從現(xiàn)實(shí)業(yè)務(wù)和實(shí)踐中不斷更新、迭代，構(gòu)建出了對(duì)網(wǎng)絡(luò)環(huán)境而言更加安全、可信的威脅情報(bào)。

基于此，11月7日，騰訊安全威脅情報(bào)產(chǎn)品規(guī)劃負(fù)責(zé)人高睿，安在新媒體創(chuàng)始人張耀疆，易車安全總監(jiān)李玲，三位嘉賓坐而論道，旨在深入探討騰訊如何利用其技術(shù)優(yōu)勢(shì)，通過(guò)建設(shè)全面的威脅情報(bào)體系，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)威脅的快速識(shí)別、預(yù)警與響應(yīng)。

從人工到場(chǎng)景化

威脅情報(bào)的十年歷程

威脅情報(bào)歷經(jīng)十年發(fā)展，從最初依賴人工及社群挖掘情報(bào)，一直發(fā)展為了需根據(jù)具體場(chǎng)景為用戶提供準(zhǔn)確判斷。騰訊基于其業(yè)務(wù)的多樣性，在進(jìn)入此領(lǐng)域后，為業(yè)內(nèi)構(gòu)建了可以共享的數(shù)據(jù)池，并在具體的場(chǎng)景化上引領(lǐng)了威脅情報(bào)的發(fā)展道路。

Q:威脅情報(bào)有著怎樣的發(fā)展脈絡(luò)？

高睿：從行業(yè)來(lái)看，威脅情報(bào)的發(fā)展和引入已有十年之久。威脅情報(bào)的核心在于將安全經(jīng)驗(yàn)和事件轉(zhuǎn)化成一種可復(fù)用的數(shù)據(jù)。起初，這一概念通過(guò)“殺傷鏈”得以體現(xiàn)，即將攻擊流程細(xì)分為七個(gè)步驟，并通過(guò)數(shù)據(jù)化處理，使之轉(zhuǎn)化為可重復(fù)利用的經(jīng)驗(yàn)，而這些基礎(chǔ)能力逐漸構(gòu)成了威脅情報(bào)的核心。在實(shí)際應(yīng)用中，又進(jìn)一步抽象出如IOC（失陷指標(biāo)）等具體概念，它通常指代失陷主機(jī)回聯(lián)服務(wù)器的地址，因其便于安全設(shè)備使用而被狹義化。

從騰訊己身來(lái)看，作為互聯(lián)網(wǎng)領(lǐng)域的巨頭，因其業(yè)務(wù)范圍廣泛，尤其是在云計(jì)算領(lǐng)域，近年來(lái)發(fā)展迅猛。在云防護(hù)的特定場(chǎng)景下，騰訊亟需一種技術(shù)，能將各類安全事件凝練為可重復(fù)利用的數(shù)據(jù)資源，這與威脅情報(bào)的理念不謀而合。同時(shí)，無(wú)論是QQ、微信還是瀏覽器等互聯(lián)網(wǎng)業(yè)務(wù)，均存在安全防護(hù)的需求，而騰訊的云防護(hù)體系，包括防火墻、WAF及主機(jī)防護(hù)等，也均融入了威脅情報(bào)的數(shù)據(jù)。騰訊的優(yōu)勢(shì)在于業(yè)務(wù)的多樣性，因此有能力構(gòu)建共享的數(shù)據(jù)池，既可用于整理攻防經(jīng)驗(yàn)，又能為各業(yè)務(wù)板塊提供實(shí)踐支持。

Q:作為甲方，我們?cè)撊绾螒?yīng)用、運(yùn)營(yíng)自身的威脅情報(bào)體系？

李玲：從應(yīng)用角度來(lái)看，最常見(jiàn)的事前、事中、事后防護(hù)體系中，事前防護(hù)主要依賴威脅情報(bào)，關(guān)注新威脅及預(yù)防體系，包括0day、1day、輿情情報(bào)、攻擊鏈情報(bào)及合規(guī)情報(bào)；事中采用縱深防御，無(wú)論是在網(wǎng)絡(luò)、主機(jī)還是應(yīng)用層，都結(jié)合規(guī)則與情報(bào)進(jìn)行全面檢測(cè)；事后則需專業(yè)細(xì)致的情報(bào)來(lái)支撐溯源。

此外，甲方需運(yùn)營(yíng)自身情報(bào)，通過(guò)復(fù)盤事件與漏洞，建立標(biāo)準(zhǔn)情報(bào)基線，并應(yīng)用于所有縱深防御系統(tǒng)，以此形成閉環(huán)。同時(shí)，甲方需要大量威脅情報(bào)來(lái)檢測(cè)環(huán)境。威脅不可避免，但若無(wú)漏洞則無(wú)法產(chǎn)生風(fēng)險(xiǎn)。因此，應(yīng)將所有威脅情報(bào)廣泛應(yīng)用于檢測(cè)中，發(fā)現(xiàn)風(fēng)險(xiǎn)并及時(shí)管理漏洞。

Q:相比過(guò)去，如今的情報(bào)收集有著怎樣的變化和提升？

高睿：最初，威脅情報(bào)因?qū)ζ涠x嚴(yán)謹(jǐn)，所以許多數(shù)據(jù)來(lái)源及生產(chǎn)流程會(huì)把控得比較嚴(yán)。同時(shí)，技術(shù)局限與廠商數(shù)據(jù)源限制導(dǎo)致數(shù)據(jù)量有限，故情報(bào)生產(chǎn)多依賴人工及社群挖掘。騰訊涉足此領(lǐng)域后，面臨數(shù)據(jù)源繁多等問(wèn)題，并在威脅情報(bào)運(yùn)營(yíng)中發(fā)現(xiàn)，數(shù)據(jù)疲勞已成主要挑戰(zhàn)。換言之，數(shù)據(jù)來(lái)源廣泛導(dǎo)致了無(wú)論是瀏覽器側(cè)還是終端側(cè)、安全防護(hù)側(cè)，騰訊都會(huì)從多個(gè)角度發(fā)現(xiàn)威脅與風(fēng)險(xiǎn)。此時(shí)，騰訊的重心已非數(shù)據(jù)收集，而是需要驗(yàn)證其準(zhǔn)確性、及時(shí)性及威脅類型，比如比對(duì)更多維度的數(shù)據(jù)，比如構(gòu)建專家模型模擬運(yùn)行，甚至進(jìn)行灰度測(cè)試，以確保為用戶提供準(zhǔn)確判斷。

另一方面，早期的威脅情報(bào)更偏向于通用性，對(duì)場(chǎng)景化要求較低。而騰訊在運(yùn)營(yíng)這些數(shù)據(jù)后，發(fā)現(xiàn)已能聚焦具體場(chǎng)景，如近年來(lái)頻發(fā)的勒索、挖礦等。

李玲：過(guò)去，為了發(fā)現(xiàn)隱藏頗深、頗為復(fù)雜的威脅和風(fēng)險(xiǎn)，我們需要依賴深入到底層的檢測(cè)機(jī)制，比如內(nèi)存與內(nèi)核級(jí)別的檢測(cè)。如今，在威脅情報(bào)不斷升級(jí)后，我們可以在網(wǎng)絡(luò)層面就捕捉到相應(yīng)的情報(bào)，比如銀狐病毒，一旦在網(wǎng)絡(luò)層監(jiān)測(cè)到異常外聯(lián)行為，我們就能迅速追溯到源頭主機(jī)。

換言之，過(guò)去我們需要依賴終端安全監(jiān)測(cè)agent來(lái)檢測(cè)這些威脅，現(xiàn)在可以直接結(jié)合情報(bào)信息與終端EDR技術(shù)，以更快、更有效的方式做出應(yīng)對(duì)。從意識(shí)層面來(lái)講，這種轉(zhuǎn)變也讓大眾更能理解病毒，以及認(rèn)知到網(wǎng)絡(luò)安全防護(hù)的重要性。

從業(yè)務(wù)到對(duì)外賦能

騰訊威脅情報(bào)的價(jià)值呈現(xiàn)

歷經(jīng)五個(gè)階段，騰訊威脅情報(bào)在業(yè)務(wù)領(lǐng)域已有卓越的實(shí)踐。通過(guò)發(fā)掘合適的應(yīng)用場(chǎng)景，與多家企業(yè)合作，輸出威脅情報(bào)SDK，騰訊威脅情報(bào)實(shí)現(xiàn)了情報(bào)共享，并在最大化其情報(bào)效用的基礎(chǔ)上對(duì)外賦能，旨在打造產(chǎn)品中最具吸引力的價(jià)值展現(xiàn)。

Q:騰訊在威脅情報(bào)場(chǎng)景化方面經(jīng)歷了哪些階段？

高睿：

階段一，由于眾多風(fēng)險(xiǎn)未能被及時(shí)察覺(jué)，因此重點(diǎn)落在了盡可能多地發(fā)出告警上。這時(shí)，流量監(jiān)測(cè)設(shè)備如NDR（曾被稱為IDS、IPS）扮演了關(guān)鍵角色，它們能夠捕捉到網(wǎng)絡(luò)中的異常行為，無(wú)論是出站還是入站方向。然而，這一階段面臨的問(wèn)題是，情報(bào)作為實(shí)證性指征，單純追求發(fā)現(xiàn)更多威脅會(huì)導(dǎo)致運(yùn)營(yíng)壓力劇增。

階段二，運(yùn)營(yíng)團(tuán)隊(duì)開(kāi)始關(guān)注數(shù)據(jù)質(zhì)量，試圖在檢出率與準(zhǔn)確度之間找到平衡點(diǎn)。但這也帶來(lái)了數(shù)據(jù)運(yùn)營(yíng)的巨大壓力，尤其是在騰訊這樣數(shù)據(jù)量龐大的環(huán)境中。

階段三，由于不同產(chǎn)品對(duì)情報(bào)的需求各異，例如防火墻更注重疏通型功能，即在確認(rèn)絕對(duì)威脅后才進(jìn)行阻斷，以避免業(yè)務(wù)受影響；而流量監(jiān)測(cè)設(shè)備則更傾向于發(fā)現(xiàn)更多威脅。因此需要對(duì)數(shù)據(jù)進(jìn)行分級(jí)，為不同產(chǎn)品提供定制化的情報(bào)。

階段四，騰訊認(rèn)識(shí)到情報(bào)只是解決問(wèn)題的一部分，還需要與其他設(shè)備協(xié)同作戰(zhàn)。同時(shí)在情報(bào)生產(chǎn)環(huán)節(jié)，反病毒引擎的準(zhǔn)確性至關(guān)重要，其不僅能在生產(chǎn)時(shí)提供上下文信息，還能在實(shí)際應(yīng)用中協(xié)助終端側(cè)分析樣本和網(wǎng)絡(luò)行為。

階段五，更多涉及業(yè)務(wù)層面，包括攻防安全以外的灰黑產(chǎn)、貓池、代理池、暗網(wǎng)等威脅標(biāo)簽。這些新挑戰(zhàn)促使騰訊不斷調(diào)整策略和方法，以更好地應(yīng)對(duì)情報(bào)發(fā)展的過(guò)程。

Q:在業(yè)務(wù)層面，威脅情報(bào)的應(yīng)用是怎樣的？

高睿：在業(yè)務(wù)領(lǐng)域中，威脅情報(bào)的應(yīng)用尚處于初期階段。其首要挑戰(zhàn)在于對(duì)數(shù)據(jù)的高要求，因?yàn)闃I(yè)務(wù)安全問(wèn)題并不能簡(jiǎn)單地從一處復(fù)制到另一處，它需要在數(shù)據(jù)層面進(jìn)行多種因素的補(bǔ)充。其次，業(yè)務(wù)場(chǎng)景的多樣性也是一大難點(diǎn)。不同企業(yè)有著不同的業(yè)務(wù)場(chǎng)景，因此所需的威脅線索各異。

盡管如此，騰訊依舊發(fā)掘出了一些合適且有效的應(yīng)用場(chǎng)景。例如，地理位置這一基礎(chǔ)維度，在多個(gè)業(yè)務(wù)場(chǎng)景中均有所應(yīng)用，比如對(duì)尚未被業(yè)務(wù)覆蓋的國(guó)外IP進(jìn)行防御等。而隨著技術(shù)的發(fā)展，如UEBA等管理上網(wǎng)行為或個(gè)人行為的數(shù)據(jù)時(shí)，對(duì)登錄地理位置的敏感性也顯著增加。例如，“時(shí)空旅行者”這一概念，即同一賬戶在短時(shí)間內(nèi)跨地域登錄，很可能是異常行為。這要求IP地理位置及相關(guān)上下文信息具有較高的準(zhǔn)確性。由此可見(jiàn)，同一數(shù)據(jù)維度在不同場(chǎng)景下可能發(fā)揮不同的作用。

李玲：對(duì)于甲方而言，在舉辦活動(dòng)時(shí)，面對(duì)薅羊毛和刷流量等行為，我們需要相應(yīng)的威脅情報(bào)能力。此外，在登錄環(huán)節(jié)，我們也存在合規(guī)性的需求。而隨著實(shí)名制和登錄合規(guī)要求的提升，甲方在這方面也需要威脅情報(bào)的支持，以便能批量完成合規(guī)工作。此外，由于目前資訊相關(guān)業(yè)務(wù)較多，包括發(fā)帖、回帖以及圖片管理等，我們也需要多維度的情報(bào)支持。這些情報(bào)不僅涉及違規(guī)內(nèi)容的識(shí)別，還包括謠言的監(jiān)測(cè)，以確保我們的資訊更加健康、安全。

Q:騰訊在威脅情報(bào)上是如何對(duì)外賦能的？

高睿：威脅情報(bào)從本質(zhì)上而言就是數(shù)據(jù)，由于數(shù)據(jù)本身缺乏場(chǎng)景化的特性，這意味著在應(yīng)用時(shí)對(duì)使用者構(gòu)成了一定的門檻。鑒于此，騰訊在面對(duì)不同場(chǎng)景和具體問(wèn)題時(shí)，自行探索出了一套產(chǎn)品化的思路，即在API層面進(jìn)行場(chǎng)景化的包裝，甚至將數(shù)據(jù)封裝成特定的SDK，以便業(yè)務(wù)方直接使用。

許多企業(yè)希望借助騰訊的安全能力來(lái)加強(qiáng)自身建設(shè)，包括一些不涉及威脅情報(bào)領(lǐng)域的安全廠商。比如在與天融信、銳捷等企業(yè)合作時(shí)，騰訊會(huì)輸出威脅情報(bào)的SDK，即引擎。天融信現(xiàn)已全線集成了騰訊的SDK，在私有化場(chǎng)景下，即使完全不聯(lián)網(wǎng)，也能利用這些情報(bào)進(jìn)行輔助研判。這種合作方式相較于傳統(tǒng)的API或數(shù)據(jù)解耦式合作更為全面，因?yàn)樗粫?huì)因缺乏場(chǎng)景而導(dǎo)致效果片面。

Q:有哪些標(biāo)準(zhǔn)可以衡量威脅情報(bào)的能力？

高睿：盡管目前威脅情報(bào)領(lǐng)域尚未形成標(biāo)準(zhǔn)的評(píng)價(jià)體系，但確實(shí)存在一些評(píng)價(jià)維度。具體而言，首先關(guān)注的是準(zhǔn)確度，即要求低誤報(bào)率；其次是覆蓋率與檢出率，這意味著在追求準(zhǔn)確率的同時(shí)，也必須覆蓋足夠多的威脅；再者是威脅的豐富度，要求檢測(cè)內(nèi)容具有層次性和廣度，能夠涵蓋如APT攻擊或具體挖礦行為等內(nèi)容。

進(jìn)一步細(xì)化，則涉及到場(chǎng)景化的考量，比如出站角度的IP、域名，以及入站角度、樣本角度、基站數(shù)角度，包括具體事件中攻擊者或惡意家族的描繪等。這一評(píng)價(jià)體系的建立無(wú)疑是一個(gè)持續(xù)演進(jìn)的過(guò)程，其中充滿了諸多挑戰(zhàn)。例如，數(shù)據(jù)來(lái)源的問(wèn)題就在很大程度上限制了覆蓋率和檢出率的提升。同時(shí)，時(shí)效性也是一大考驗(yàn)，其直接關(guān)系到大數(shù)據(jù)運(yùn)營(yíng)的有效性以及威脅模型構(gòu)建的準(zhǔn)確性。

Q:騰訊威脅情報(bào)有何獨(dú)特的能力和優(yōu)勢(shì)？

高睿：首先，騰訊與其他廠商的區(qū)別在于，率先將情報(bào)能力付諸內(nèi)部實(shí)踐，并且應(yīng)用范圍廣泛，眾多情報(bào)數(shù)據(jù)已大量應(yīng)用于集團(tuán)內(nèi)部業(yè)務(wù)。其次，騰訊會(huì)積極尋求與業(yè)界各方的合作，無(wú)論是甲方還是乙方，都持開(kāi)放態(tài)度。傳統(tǒng)安全領(lǐng)域在威脅情報(bào)方面往往傾向于保守，傾向于將數(shù)據(jù)限制在特定黑盒用戶內(nèi)，而非推動(dòng)共享。但作為情報(bào)的運(yùn)營(yíng)方及擁有十多年安全建設(shè)經(jīng)驗(yàn)的騰訊，深知威脅情報(bào)的價(jià)值在于共享，只有如此，才能最大化其效用。這一點(diǎn)，在騰訊的威脅情報(bào)SDK產(chǎn)品上體現(xiàn)得尤為明顯。

對(duì)用戶、生態(tài)而言

不可或缺的騰訊服務(wù)

騰訊威脅情報(bào)擁有成熟的線上SaaS化能力和訂閱模式，能全方位保障用戶體驗(yàn)。同時(shí)，騰訊憑借多樣化的產(chǎn)品形態(tài)，與安全廠商及甲方客戶緊密合作，共同推動(dòng)資源共享，以此滿足威脅情報(bào)生態(tài)的繁榮發(fā)展。

Q:對(duì)于甲方而言，威脅情報(bào)的實(shí)際應(yīng)用是怎樣的？

李玲：作為甲方，我們?cè)谶\(yùn)用情報(bào)能力時(shí)，尤為注重其在特定場(chǎng)景中的應(yīng)用。對(duì)于如入站、出站等通用性場(chǎng)景，我們會(huì)聯(lián)合多家廠商進(jìn)行交叉驗(yàn)證，構(gòu)建一個(gè)全面的檢測(cè)體系，以確保威脅檢測(cè)的全面性。

其次，在攻擊面或暴露面的管理維度上，我們目前主要通過(guò)自主掃描和公開(kāi)數(shù)據(jù)收集等方式進(jìn)行補(bǔ)充。由于這一領(lǐng)域較為新穎，且尚未發(fā)現(xiàn)特別優(yōu)質(zhì)的數(shù)據(jù)源或單一替代方案，因此我們需要采取多種方式并行。同時(shí)，在漏洞情報(bào)方面，騰訊的情報(bào)質(zhì)量在業(yè)內(nèi)較高且頗為準(zhǔn)確。盡管我們也會(huì)使用國(guó)外的情報(bào)，但它們?cè)谖唇?jīng)處理前可能仍存在一定問(wèn)題。而騰訊在接收這些情報(bào)時(shí)，會(huì)進(jìn)行進(jìn)一步的質(zhì)量管理。

Q:騰訊威脅情報(bào)產(chǎn)品會(huì)以怎樣的方式服務(wù)于用戶？

高睿：威脅情報(bào)作為一種產(chǎn)品形態(tài)，其本質(zhì)更傾向于訂閱模式，因?yàn)橛嗛喣Ｊ侥軌驗(yàn)榍閳?bào)提供持續(xù)的質(zhì)量保障。試想，如果向客戶出售一個(gè)為期十年的產(chǎn)品，卻在一錘子買賣后不再負(fù)責(zé)，那么后續(xù)九年的信譽(yù)度將成疑。相反，若采用訂閱付費(fèi)的模式，對(duì)于用戶而言，每年都能保持相同的高質(zhì)量要求，這顯然更為合理。然而，就中國(guó)國(guó)內(nèi)現(xiàn)狀而言，許多甲方企業(yè)仍傾向于一次性買斷，以減少依賴或?qū)崿F(xiàn)自我掌控。而騰訊在此領(lǐng)域的優(yōu)勢(shì)是，作為公有云運(yùn)營(yíng)商，其線上SaaS化能力已相當(dāng)成熟，擁有完善的訂閱模式并配套了相應(yīng)的團(tuán)隊(duì)，因此能夠全方位保障用戶的使用體驗(yàn)。

Q:騰訊會(huì)如何助力威脅情報(bào)的生態(tài)環(huán)境？

高睿：如今，對(duì)威脅情報(bào)而言，“買賣之后，用所得資金進(jìn)一步發(fā)展產(chǎn)品”的模式已不再適用于威脅情報(bào)的生態(tài)發(fā)展。因此，騰訊深入反思了業(yè)界的發(fā)展歷程，并結(jié)合自身特點(diǎn)，探索了一系列模式創(chuàng)新。

首先，從角色定位上看，騰訊非常適合參與構(gòu)建這一生態(tài)。騰訊能夠提供豐富的數(shù)據(jù)與多樣化的產(chǎn)品形態(tài)，與安全廠商及甲方客戶展開(kāi)緊密合作，共同推動(dòng)資源共享。

其次，作為互聯(lián)網(wǎng)廠商，騰訊具備一定的中立性，且在品牌建設(shè)、資源整合等方面具有獨(dú)特優(yōu)勢(shì)。騰訊能夠通過(guò)多方聯(lián)動(dòng)，為合作伙伴賦能，推動(dòng)生態(tài)的繁榮發(fā)展。

此外，騰訊還與信通院等組織攜手，致力于制定一套更加實(shí)用、易于落地的威脅情報(bào)標(biāo)準(zhǔn)。此標(biāo)準(zhǔn)將著重于降低使用門檻、明確應(yīng)用場(chǎng)景與形態(tài)建議，以類似于API手冊(cè)的方式提供統(tǒng)一指導(dǎo)。值得一提的是，此標(biāo)準(zhǔn)是開(kāi)源標(biāo)準(zhǔn)，旨在向甲方傳遞一個(gè)積極信號(hào)：即使使用了騰訊產(chǎn)品，也不會(huì)產(chǎn)生依賴性問(wèn)題。

騰訊在互聯(lián)網(wǎng)模式方面擁有豐富的經(jīng)驗(yàn)。在推動(dòng)情報(bào)共享的過(guò)程中，騰訊愿意提供一些免費(fèi)模式，以支持剛起步的安全企業(yè)及對(duì)威脅情報(bào)感興趣的企業(yè)進(jìn)行前期試用，這樣就能降低它們的適配成本，為業(yè)內(nèi)生態(tài)帶來(lái)更有效地推動(dòng)。

Q:社群等形式的組織能否助力生態(tài)發(fā)展？

高睿：若以社群形態(tài)來(lái)運(yùn)營(yíng)，用戶群體多偏向于個(gè)人角色，如安服人員或企業(yè)的安全運(yùn)營(yíng)人員。他們提供的情報(bào)雖與騰訊在海量數(shù)據(jù)、多維度防護(hù)（包括云上、端側(cè)等）方面具備互補(bǔ)之處，但由于情報(bào)內(nèi)容過(guò)于細(xì)小且具體，雖有代表性卻缺乏覆蓋率。因此，要構(gòu)建一個(gè)既能滿足這些具體需求，又能形成有機(jī)結(jié)合的體系，目前而言難度較大。

然而，這一領(lǐng)域還是有很大的加強(qiáng)空間。目前已有一些安全廠商、企業(yè)和機(jī)構(gòu)在涉足此領(lǐng)域，未來(lái)這些平臺(tái)之間若能加強(qiáng)互動(dòng)與互補(bǔ)，無(wú)疑將對(duì)整個(gè)行業(yè)的發(fā)展產(chǎn)生積極的推動(dòng)作用。

不僅僅是AI

威脅情報(bào)的未來(lái)旨在服務(wù)于多樣化

AI為威脅情報(bào)領(lǐng)域帶來(lái)了新的影響和提升，同時(shí)也進(jìn)一步彰顯了安全工作的復(fù)雜性。此外，國(guó)內(nèi)威脅情報(bào)市場(chǎng)相較于歐美仍存在巨大差距。未來(lái)，威脅情報(bào)將融入更多安全產(chǎn)品和應(yīng)用場(chǎng)景，這樣才能為企業(yè)、社會(huì)、國(guó)家?guī)?lái)更安全的保障。

Q:AI對(duì)威脅情報(bào)而言有著怎樣的提升和影響？

高睿：目前，與威脅情報(bào)相關(guān)的AI大模型，其主要應(yīng)用場(chǎng)景在于風(fēng)險(xiǎn)解讀、告警分級(jí)以及運(yùn)營(yíng)降噪，這些方面與情報(bào)工作有著諸多契合之處。而對(duì)于常規(guī)性的攻擊事件，由于運(yùn)營(yíng)能力的提升無(wú)疑會(huì)提高處理效率，因此所需人力也將逐漸減少。

然而，攻防對(duì)抗的核心始終在于人的因素，其變化難以用規(guī)則來(lái)描述。因此，所產(chǎn)生的新的問(wèn)題，需要人力去挖掘并輔助算法進(jìn)行提升。甚至可以說(shuō)，新問(wèn)題的出現(xiàn)會(huì)豐富大模型的語(yǔ)料庫(kù)，使其需要更多數(shù)據(jù)來(lái)進(jìn)行運(yùn)算，從而生成更優(yōu)質(zhì)的模型。所以，至少在短期內(nèi)，運(yùn)營(yíng)人員仍然是不可或缺的。

李玲：在AI+威脅情報(bào)的實(shí)際應(yīng)用中，效果最為顯著的是降噪功能。然而，降噪之后，我們觀察到雖然人效有所提升，但工作的復(fù)雜性卻增加了。從現(xiàn)實(shí)來(lái)看，降噪的過(guò)程相當(dāng)于將最基礎(chǔ)、每天需要人工重復(fù)處理的任務(wù)交給了AI，從而解放了人力資源，這樣安全運(yùn)營(yíng)人員就能轉(zhuǎn)向研究更深入、更具挑戰(zhàn)性的安全問(wèn)題。但當(dāng)我們的安全人員深入這一領(lǐng)域后，突然發(fā)現(xiàn)，安全工作竟變得更為復(fù)雜了，所揭示的問(wèn)題也變得更加深刻了。這不禁讓人聯(lián)想到行業(yè)內(nèi)的一句玩笑話：“沒(méi)有安全部門，或許就沒(méi)有安全問(wèn)題；正因?yàn)橛辛税踩块T，安全問(wèn)題才層出不窮。”

Q:未來(lái)，威脅情報(bào)還能有著怎樣的發(fā)展和革新？

李玲：隨著安全領(lǐng)域所積累的數(shù)據(jù)日益增多，目前仍面臨著告警疲勞等挑戰(zhàn)，而告警量巨大可能會(huì)導(dǎo)致一些重要的安全事件被忽視。其次，情報(bào)特征的應(yīng)用需結(jié)合具體場(chǎng)景，通過(guò)對(duì)數(shù)據(jù)的標(biāo)準(zhǔn)化處理，使其能夠更有效地用于異常事件的提取。我們期待未來(lái)能有更多的標(biāo)準(zhǔn)化情報(bào)出現(xiàn)，并且這些情報(bào)數(shù)據(jù)的深度和廣度都能得到增強(qiáng)。這樣，無(wú)論是對(duì)于我們甲方用戶，還是對(duì)于整個(gè)安全大數(shù)據(jù)領(lǐng)域里，安全事件的挖掘方面，都能發(fā)揮出更大的作用。

高睿：威脅情報(bào)真正的價(jià)值在于能夠服務(wù)于多樣化的場(chǎng)景并解決更多的情報(bào)問(wèn)題。而就中國(guó)市場(chǎng)而言，威脅情報(bào)相較于歐美市場(chǎng)，尤其是美國(guó)，還存在幾十倍的差距，這表明在中國(guó)，威脅情報(bào)有著巨大的發(fā)展空間和潛力。隨著威脅情報(bào)逐漸融入更多的安全產(chǎn)品和應(yīng)用場(chǎng)景，其將成為更為基礎(chǔ)的資源。屆時(shí)，我們可能會(huì)發(fā)現(xiàn)更多的問(wèn)題和場(chǎng)景，威脅情報(bào)也將不再是一個(gè)老生常談的話題，而是自然而然地融入到我們的日常生活中。