直击RSAC2022：从“转型”看数字时代的威胁情报

当你从暴风雨中走出来，你不再是走进来时的那个你。这就是这场风暴的意义所在。

——村上春树《海边的卡夫卡》

RSAC 2022开篇通过引用村上春树《海边的卡夫卡》的一句话，点明本次大会主题Transform（转型）的深意：“RSA作为一个社区，已经完成了转型：我们从幕后转型到董事会——从专注于加固墙壁的幕后专业人士转型到受托做出改变游戏规则的决策业务推动者。随着世界变得更加数字化，我们首先需要关注和应对这些变化。我们将变得更强大、更智慧，但我们不能止步于此。网络安全的世界瞬息万变，仍有许多工作要做。因为在一起，我们将穿越风暴、继续成长、协同创新。”

转型与威胁情报

随着数字时代的到来，各行各业在数字化转型的进程不断深入的同时，对自身安全能力建设的要求也同步提高。威胁情报在数字化转型中起到至关重要的驱动作用，情报的服务范围、服务对象和服务形态都在变化，进而推动着情报产品与服务的不断变革与创新。

·情报的服务范围发生变化：企业不仅需要通过情报了解对手，也需要通过情报了解自己，在关注外部威胁的同时也关注自身数字资产风险。这意味着，企业不仅关注狭义上的威胁情报，还将关注与自身业务息息相关的安全情报，将内部与外部威胁，安全性与业务见解融合在一起。

·情报的服务对象发生变化：安全运营团队需要情报来加速警报分流，最小化误报，提供更好的决策环境和更快的反应速度。企业高管更需要情报，通过获取组织环境、使命、业务运营、收入和声誉相关的所有威胁和风险信息，利用可能的威胁及其潜在的业务影响来评估企业安全需求、量化风险、制定缓解战略，并向首席执行官、首席财务官和董事会成员证明网络安全投资的合理性

·情报的服务形态发生变化：企业不仅需要情报厂商提供的情报产品和服务，更需要建设自身的战略情报能力。企业了解威胁行为者的动机和TTPs，并跟踪行业、技术和地区的安全趋势，结合自身情况，产生更有价值的安全洞察和见解

如何战略化应用威胁情报

在挑战日趋严峻与复杂的背景下，网络安全绝非一个部门或机构就能实现，必须系统提升网络安全的交互性，使得多部门共同承担保护与增强国家网络基础设施的责任。本次RSA大会，从战略化应用威胁情报角度，探究情报生态建设重要性；并讨论了美方如何从战略角度应用收集到的威胁情报，建设情报生态系统。

·美方情报生态体系现状：

美国政府和企业在网络威胁情报共享融合上不断深化发展，主要采取了“政府主导，企业参与”的融合模式。2015年2月，美国政府成立了网络威胁情报整合中心，主要目的是实现多源异构的网络威胁情报的整合与共享，以弥补信息分析和整合能力弱的不足。该机构是一个能够汇集美国整个国家的网络威胁信息的情报中枢，是政府各部门之间、政府与企业之间协作的重要平台，有助于快速共享网络威胁情报，尽早预警可能出现的网络攻击，及时采取应对措施。网络威胁情报整合中心的成立是美国加强网络威胁情报领域政府、企业间合作的重大举措，具有转折性意义。可见，美国政府在网络威胁情报共享方面起着主导地位。

·美方情报生态系统前提：

政府与安全厂商合作前提是互相信任。美方政府和私营部门、安全企业已经不是简单的合作，已经形成了一种联合信息空间相关合作，并有希望有更进一步扩展。

·美方政府和企业开展情报合作的好处：

对于政府来说：一方面有助于安全厂商将平时的安全研究落到实处，帮助政府解决具体问题；另一方面，成功开展此类合作意味着有巨大情报资源为后盾。例如：溯源工作的成功依赖于多源情报的查询、关联分析。此外，情报生态体系的合作能够帮助美方安全部门了解更全面的威胁态势，利用私营部门、安全厂商的多维度情报视野，发现正在发生的威胁/攻击。

对于私营部门/安全厂商来说：现实生活中勒索犯罪等网络犯罪受害者往往会寻求执法部门帮助，但受害者对政府部门的期望可能不切实际，最常见的是：受害者希望一打电话就能解决问题，但这是不可能的。受害者想快速止损，政府部门破案侦察找出攻击者身份。政府如果和安全厂商紧密合作，遇到此类问题就可以把受害者转给有经验的安全业界人员解决具体问题，受害者可以及时止损，政府部门继续专注于侦察破案。情报共享让整个生态系统内的事件响应会更及时，系统内有一家遭到了打击可以马上通知生态伙伴，做好防御工作。

·美方未来如何提升情报生态体系：

首先需要把更多厂商纳入生态合作伙伴体系，其次确保每一个参与者都具备基本相关能力，迅速分享自己得到的情报信息，让所有参与方了解正在发生的事，能在整个生态防御体系中出自己一份力。政府也要加强自己的日常工作质量，去招揽更多符合标准的小企业，去找更多专家，确保到时候事件受害者可以找到正确的人对接。

对我国威胁情报生态建设的启示

在数字时代安全威胁不断演进的今天，“痛而不通”的安全痼疾，严重限制了政企用户整体应对威胁的能力，自身的网络安全建设存在着企业设备各自为战、生态产品难以联动、外部安全能力无法融合等多重协同壁垒。迫切需要一个可以整合各种安全能力的单一平台，同时实现企业产品之间、各个厂商之间、以及外部安全能力和内部安全能力之间的体系化、实战化协同。

在此背景下，360政企安全集团不断提升自身威胁情报能力：

·应对情报服务范围的变化

360政企安全集团为客户提供安全情报时，将整个组织内部与外部威胁，安全性与业务见解融合在一起，应用在威胁检测与防御、威胁分析与安全运营、威胁狩猎与预测等场景。

·应对情报服务对象的变化

360政企安全集团不仅为安全运营客户提供战术/运营层的威胁情报平台，还为企业高管/安全运营领导者们提供互联网暴露面的网络风险态势评估报告，建立组织战略分析基础，将业务基础数据与攻防态势数据相融合，并从专业的情报分析角度预警客户网络资产可能存在的网络安全威胁和隐患。

·应对服务形态发生的变化

360政企安全集团以体系化作战/对抗/攻防思维的新战法为指导，打造了一套以云端安全大脑为核心的数字安全能力体系。作为云端安全大脑的私有化部署，360核心安全大脑3.0能够助力网络安全产品通过多种方式（SDK/API等）战略化应用威胁情报：大数据集中分析研判、高级威胁情报赋能、网络安全产品体系化联动、安全策略协同等全方面提升，全面提升政企用户体系化、实战化的数字安全能力。

未来，以360政企安全集团为代表的数字安全厂商应该把威胁情报能力以更智能化的方式服务于客户与生态合作伙伴，助力整体提升我国应对数字时代威胁的安全能力。