伴随产业数字化转型持续深入，各类高级和未知威胁迭代演化，企业对于威胁情报的需求也日益升高。据全球最大信息安全培训机构SANS调查数据显示，有80%的组织认为自己从威胁情报中获益。

与此同时，威胁情报在企业重要决策中的参考权重大幅上升。全球权威信息化咨询研究机构Gartner进一步指出，伴随威胁情报对攻击者追踪能力的不断增强，企业也将对涉及战略层的、与组织相关度高的威胁情报产生更多需求。

网络威胁形式复杂多变，如何从海量数据中挖掘威胁情报？关键时刻如何实现安全威胁秒级响应？怎样评估安全威胁情报对企业的价值？由腾讯安全联合云+社区打造的「产业安全专家谈」第十四期，邀请到腾讯安全威胁情报业务安全专家谭昱，为大家揭开数字经济时代的企业威胁情报艺术。

谭昱：资深威胁情报业务专家，2007年进入安全行业至今。负责病毒分析工作，并参与设计了安全防护体系设计，以及国内首个网址云自动化运营系统的构架设计。目前主要从事威胁情报运营工作，基于多年一线和病毒木马，以及背后的团伙对抗的经验，参与搭建了腾讯的基于大数据的威胁情报自动化生产和运营系统。

Q1：如何保证威胁情报的全面性和合规性，以满足企业级用户的需要？

谭昱：保证威胁情报的全面性，一方面要保障数据的多样性，威胁情报收集的触角不仅包括C端用户，还包括外部公开的信息员，内外部网络环境数据，蜜罐系统收集来的数据等等；另一方面，数据源的分析和情报生产过程，考虑情报是否符合用户的需要，例如攻击团伙本身的攻击方向是什么，是否会对我们的企业客户产生威胁。

在威胁情报收集的合规性方面，首先需要保证数据的脱敏处理；其次是注重隐私保护，制定明确的隐私保护协议，并征得用户的同意之后才能搜集；对于开源的数据，包括网络公开的信息，所有收集到的数据都必须做脱敏处理，达到符合国内监管的需求和标准。

目前我们的威胁情报，主要应用在企业办公安全、Web安全，以及集成在腾讯安全的产品中，包括腾讯安全御界高级威胁检测系统、腾讯安全御知网络威胁风险检测系统等，都集成了腾讯安全威胁情报能力。

Q2：怎样保证威胁情报数据的及时性和权威性？

谭昱：收集到的威胁情报，包括开源的情报，在收集过来之后，都需要通过内部的智能鉴定系统进行筛选，剔除无关、冗余的威胁情报，确保同步给客户的情报真实、有效且有用。

尤其对于有些广度特别高的情报，我们会人工做double check，通过多重审核，以保证最终提供给客户的威胁情报是更准确和适用的。

Q3：在威胁情报中，AI发挥了怎样的作用？

谭昱：AI主要作用于威胁情报的识别和分析，因为威胁情报系统每日收集到的数据量都是非常大的，需要用到像图挖掘系统、深度学习，以及像域名扩散这类的算法，去实现对于域名的识别和关联，提取到关键的威胁情报信息。

Q4：2018年国家发布了网络安全威胁信息格式规范，对行业的影响是怎样的？

谭昱：2018年发布的威胁情报的国家标准《信息安全技术网络安全威胁信息格式规范》（(GB/T 36643-2018)，是从可观测数据、攻击指标、安全事件、攻击活动、威胁主体、攻击目标、攻击方法、应对措施等八个组件进行描述，并将这些组件划分为对象、方法和事件三个域，最终构建出一个完整的网络安全威胁信息表达模型。

这个格式是有较好的参考和指导意义，能够方便各个厂商的威胁情报之间的交流，腾讯安全内部拥有一套配合自身产品和使用场景的格式，当然在对外交流中，也可以很方便地转换成通用格式。

Q5：5G技术会给网络安全威胁情报带来怎样的影响？

谭昱：威胁情报作为一种新兴起的安全防护方案，本质上是随着移动互联网一起发展起来的。随着5G的发展，入网设备数量会出现膨胀增长，包括入网的方式，也可能会有翻天覆地的变化。可以预测的是，未来几年随着5G的发展，威胁情报在行业的适用性会越来越广，尤其是在一些大企业或者是国家的应用，也会有一个很大比例的上升。

Q6：威胁情报技术的核心工作原理是什么？

谭昱：在我看来，威胁情报技术主要有两个核心要素。

第一个是所有的关于威胁的信息。包括我们所知道的这些病毒团伙的组织名称，他们的活跃时间，使用了哪些服务器，哪些基础设备，他们的攻击方向是什么，以及他们的活跃的时间或者期限，以及针对的目标国家等这些信息。

另一个是威胁情报分别应用于怎么样的场景中。例如说情报中这批服务器地址或者说它的这个技术信息是应该应用到WAF里面，还是应用到零信任防护系统里面，还是说要应用到我们的核心资产保护里面，如何去做这个区分的问题。

Q7：在企业安全防御体系中，威胁情报扮演了怎样的角色？给企业带来了哪些好处？

谭昱：威胁情报本质上是一种数据的知识，它其实是不能单独存在带来价值的，需要跟我们传统的一些安全的防护方式一起，对整个企业的安全做到全方位的保障。

如果说把我们的企业比作一个城堡的话，传统的安全防护手段，可以认为是拱卫这个城堡的城墙，威胁情报其实相当于卫兵队伍，互相的配合才能打好安全保护战。

就威胁情报来说，它承担的作用主要有三块：

第一块是最基础的，叫运营级的威胁情报。就是说我们需要提供一些服务器这种知识，其实给我们的安全的防护产品去使用，就是包括WAF、防火墙，以及包括零信任系统这种，直接去起到一个拦截和防护的作用；

第二步是威胁情报的溯源和分析。针对企业内部已经发现的威胁，需要对它进行溯源和分析，就是看它从哪里来，就是对哪些场景可以穿透，最终会造成一个什么样的影响，可以让我们的安全运营的团队和企业去做决策；

第三步是战略级的威胁情报。需要对当前的整个安全体系、整个安全趋势做一个分析。就是说目前存在哪些安全的隐患，以及未来可能造成哪些安全的威胁，给我们的安全决策的同学们做一些指引，我们需要在哪个方向去加强整个企业的安全能力。

威胁情报对企业的作用来说，是可以更快、更好地去增加我们对于这个新的威胁的防护能力。从本质上来说，最大的作用是因为相对传统的防护安全来说，它更新和升级非常快，就可以提高现有企业对于整个安全防护的响应的速度，提高攻击者对于整个安全攻击的一个难度，从而保护整个企业的核心资产，包括像数据以及办公环境的安全。

Q8：跟传统的安全业务能力对比，威胁情报能更好地解决哪些实际问题？

谭昱：因为其实威胁情报它不是一个单独存在的东西，必须跟我们现有的传统的安全防护手段结合在一起，才能产生更大的价值。就是如果说不应用威胁情报的话，那么我们只应用传统的安全防护体系，会存在哪些问题，现在很多企业都会碰到：

第一个告警过载或者说是误报的问题。这是两个问题，但它产生的原因是差不多的。这会导致每天我们的各个设备会报上来各种各样不同的报警，这些报警按之前统计，应该至少有50%以上是无效的告警。这个会导致在安全运营人员非常有限的情况下，其精力会淹没在这些无效的报警之中，导致真正有威胁的问题其实很难发现。

第二个就是威胁情报配合问题。很多企业会采购多家的安全设备，每个设备其实会有自己不同设备的数据的方式，很难有一个人能够对全盘有所了解，一旦这种设备之间存在一些空档或者漏洞的话，是很难发现的。

那么应用威胁情报之后，首先可以对整体的数据进行分析，对所有的威胁进行分析和分类以及分级，就可以让安全运营的团队更快地响应高危的威胁，把这类安全问题解决在萌芽中。

其次，通过在企业内已经发生了安全威胁，在溯源和分析的过程中，一步一步地往前查，看一下他是通过什么渠道，就是通过哪些设备进来的。那么我们可以找到我们之前的这种安全体系的漏洞，那么我们也可以有针对性的去针对这一块做防护的调整和升级，就让整个的体系更加安全。

Q9:企业打造威胁情报系统的难点在哪里？腾讯安全是如何解决的？

谭昱：构建整个威胁情报防护系统，在运营方面有三个较大的难点：第一是必须要有充足的数据；第二，要有强大的数据处理能力；第三就是必须有一个持续的，而且对整个行业了解的一个安全团队，这样才能对数据做针对性的处理。

腾讯安全威胁情报基于腾讯安全运营经验，海量的数据收集系统运作，每天收到2万亿甚至更多的系统日志数据，通过安全大脑这个大数据处理平台，基本上可以实现秒级响应，就是在当天内全部处理完成。

依托于腾讯安全20多年安全经验的运营团队，以及利用大数据的算法，把团队运营经验沉淀在业务系统和流程之中，生产成最终的威胁情报。目前腾讯安全每天生产的威胁情报中，有90%以上都是通过这个系统来产生的。

对于威胁情报来说，还有一个核心点是除了情报本身的准确性，还要考虑情报的可用性。就是除了分析情报的黑白属性，还应该告诉客户这个情报是做什么的，攻击属于哪个团伙，它所需要攻击的对象是什么。例如它可能是攻击能源行业的，或者是攻击金融行业的，把这个情报同步给对应的企业之后，它可以根据我们同步的信息，决定这个情报是需要用还是不需要用，或者说需要应用到什么样的场景。

第二个是说情报生产出来之后，如何去使用它，如何去更好的使用它。目前腾讯安全威胁情报的客户，我们会跟对方进行一个持续的跟踪和产品的交付，保证企业在使用过程中，符合我们最开始设定的预期，并对他从前反馈的问题也可以实时的响应，提供具体的调整和部署方案，助力威胁情报应用能达到最优的效果。