隨著網絡攻擊技術的更新迭代，政企機構面臨著愈加嚴峻的網絡威脅和挑戰(zhàn)，如何有效檢測未知的網絡威脅成為網絡安全行業(yè)各方的共同著眼點。

在此背景下，網絡安全威脅信息（英文為Threat Intelligence ，即威脅情報）正在重構安全防護體系，幫助政企機構更好的“知己”“知彼”，實現(xiàn)較為精準的動態(tài)防御，為政企機構數字化轉型安全建設提供全新路徑和手段，受到了業(yè)界的廣泛關注和認可。 

為了進一步提升廣大政企機構的網絡安全實戰(zhàn)能力，近日中國信息通信研究院安全研究所聯(lián)合北京微步在線科技有限公司共同研究編制了《2020年網絡安全威脅信息研究報告（2021年）》（以下簡稱“報告”），對網絡安全威脅信息的產業(yè)發(fā)展現(xiàn)狀和趨勢進行了梳理，并結合行業(yè)案例分享了威脅信息的應用落地情況。

報告指出，威脅信息的本質是知識，如何在具體場景將知識落地并取得成效，是在各行業(yè)開展網絡安全威脅信息應用的核心問題。

立足我國具體國情和網絡安全需求，目前國內威脅信息應用落地有以下三個方向可供參考。

落地方向一：結合檢測技術 在安全產品研發(fā)階段，將威脅信息與流量分析、終端檢測技術相結合，落地為基于網絡安全威脅信息的檢測響應類產品，部署在用戶機構對應的網絡環(huán)境中。 在這一方向上，第三方云服務是威脅信息落地的重要場景之一。

隨著越來越多的政企業(yè)務向公有云、政務云遷移，云端已成為黑客、黑產團伙的又一攻擊目標。

作為云服務提供商，需要提升云端整體的安全檢測與分析能力，在海量的攻擊中識別真實威脅，并對暴露資產進行全面梳理，提升云服務提供商對租戶的安全運營能力，幫助租戶應對安全威脅，并滿足合規(guī)要求。 以某云計算服務商為例，針對公有云和政務云兩個服務場景，均部署了微步在線具備威脅信息能力的威脅感知設備，以便更好地發(fā)現(xiàn)內部威脅、檢測外部威脅、識別資產風險。

來源：中國信通院

圖：云計算服務商威脅信息管理部署

對于公有云，該云服務商依托威脅信息進行失陷主機檢測、定位以及取證分析，完成處置閉環(huán)。 

首先，在公有云網絡出口位置部署具備威脅信息能力的威脅感知設備，并旁路鏡像接入出站方向流量及內部DNS日志；其次，利用威脅信息發(fā)現(xiàn)內部失陷主機，并對失陷主機內網滲透路徑、數據竊取等行為進行描繪。 對于政務云，該云服務商依托威脅信息，覆蓋各租戶的外部攻擊感知、內部失陷威脅、資產風險梳理需求。 

首先，在政務云網絡出口位置部署具備威脅信息能力的威脅感知設備，并在旁路鏡像接入出入站雙向流量；其次，利用威脅信息、行為規(guī)則、機器學習、沙箱等技術，對外部攻擊、內部失陷、內網橫移、加密、數據竊取等全攻擊鏈威脅進行檢測，并將敏感行為、告警結合威脅信息進行智能聚合完整還原攻擊路線，描繪黑客畫像。 此外，利用旁路監(jiān)聽，對租戶應用系統(tǒng)暴露的服務、域名、端口、IP，以及管理后臺、弱密碼、API接口等資產風險進行全面梳理；最后，通過安全運營平臺，對各租戶的威脅事件和資產風險進行分離和獨立呈現(xiàn)，為各租戶提供安全增值服務。

落地方向二：建立共享機制 對于分支部門較多的用戶機構，建立本地威脅信息管理平臺，構建網絡威脅信息庫和威脅信息共享機制，提高網絡威脅挖掘研發(fā)和應用能力。 共享機制的建立，既包括總部和各分支機構子公司的信息共享，也包括企業(yè)不同部門之間的協(xié)同研判，能夠讓企業(yè)對威脅信息進行深入分析，為企業(yè)提供準確的、可讀的、有指導性的分析結果，研判報警的真實性、攻擊者意圖以及對應的風險等級，并且獲得攻擊者和惡意樣本的詳盡信息，充分發(fā)揮威脅情報的真正價值，為安全決策做全面支撐。 以某網絡視頻平臺為例，除了不斷加劇的網絡黑客攻擊之外，新的業(yè)務形態(tài)也帶來了新型風險，如：撞庫盜號、盜播盜看、營銷活動“薅羊毛”、刷量刷人氣、支付場景下的欺詐等行為，對該視頻平臺的穩(wěn)定運營帶來了很大的沖擊。 

為了填補自身安全體系的攻擊事件提取能力，提高網絡攻擊檢測響應效能和業(yè)務風控能力，該網絡視頻平臺部署了微步在線的威脅信息管理平臺，并形成共享的威脅信息庫，具體落地方案如下： 一方面，通過流量鏡像實時檢測可能的威脅，加強對未知威脅的發(fā)現(xiàn)和識別，并結合現(xiàn)有處置制度進行工單流轉，形成高效的運營處置閉環(huán)，預防和及時處理各類網絡風險安全事件。 

另一方面，威脅信息管理平臺與日志系統(tǒng)、業(yè)務風控系統(tǒng)對接聯(lián)動，將專業(yè)機構的威脅信息和風控等業(yè)務相關的威脅信息聚合。

利用威脅信息共享機制，威脅信息管理平臺能夠過濾篩選海量日志，以高質量的威脅信息數據支持相關的風險防控工作，賦能業(yè)務風控形成多維度分析因子，提升平臺異常風險用戶識別精準度，避免出現(xiàn)大面積封禁造成用戶無法訪問平臺的現(xiàn)象，對于該視頻平臺安全風控團隊及時掌安全態(tài)勢并做出正確響應具有重要價值。

來源：中國信通院圖：網絡視頻平臺威脅信息管理部署

落地方向三：聯(lián)動安全設備 聯(lián)動其他網絡安全設備，如IDS／防火墻、日志大數據平臺等，與現(xiàn)有處置知識庫與工單系統(tǒng)構建閉環(huán)處置流程，提升用戶機構網絡安全的整體檢測響應能力。 事實上，對于很多應對高級威脅已經乏力的傳統(tǒng)安全產品來說，與威脅信息的聯(lián)動，能夠實現(xiàn)數據的分享與交換，形成基于威脅情報的感知能力，進一步提升企業(yè)的整體安全防護能力，解決來自各種安全設備的海量安全告警問題。 

近年來，電子信息制造業(yè)已成為我國國民經濟的重要支柱產業(yè)，并逐漸呈現(xiàn)國際化趨勢。

由于存儲了高價值知識產權與先進設計文件或數據的主機或服務器，容易成為黑客攻擊目標。

同時，電子信息制造商往往在全球有多個辦公區(qū)域，員工多、終端多，網絡架構復雜，開展網絡安全防護工作有一定難度。 為了應對未知的高級威脅，某電子信息制造商在企業(yè)網絡內部部署了微步在線的威脅信息管理平臺，并與現(xiàn)有防火墻對接，建立了閉環(huán)協(xié)作運營機制。 一方面，結合防火墻中網絡出站訪問日志，碰撞威脅信息管理平臺中高質量IOC失陷指標（域名、IP），將確定的惡意域名回傳給防火墻。
防火墻將收到的惡意域名添加黑名單并自動進行攔截與告警，彌補防火墻的內網失陷威脅檢測能力。 

另一方面，利用威脅信息管理平臺的聯(lián)動能力，定期與威脅信息云進行數據同步和更新，確保失陷威脅發(fā)現(xiàn)和威脅攔截的準確性和及時性，實現(xiàn)防火墻對外連惡意通信的自動化阻斷。

來源：中國信通院圖：電子信息制造商威脅信息管理部署 

與電子信息制造業(yè)面臨著類似問題的還有電信企業(yè)。由于承載了海量公民個人信息以及網絡流量信息，電信企業(yè)很容易成為攻擊者竊取數據的重點攻擊目標。 以某電信企業(yè)為例，為了實現(xiàn)企業(yè)網絡威脅檢測能力的全覆蓋，提升高級威脅發(fā)現(xiàn)識別能力，利用微步在線威脅信息賦能的威脅感知設備，對云租戶網絡、企業(yè)自用網絡、企業(yè)辦公網的出入站全流量進行檢測，將告警日志統(tǒng)一接入大數據平臺。 

同時，與現(xiàn)有處置預案知識庫與工單系統(tǒng)聯(lián)動，形成高效的運營處置閉環(huán)，提升了對網絡威脅的檢測和響應能力，為業(yè)務的穩(wěn)定連續(xù)增加了一道防線。

來源：中國信通院圖：基礎電信企業(yè)威脅信息管理部署

結語 如今，攻擊者對國家政府部門、關鍵信息基礎設施、關鍵行業(yè)機密的攻擊越來越猖獗，網絡空間已成為國家安全的又一重要角力場。

金融、能源、電力、通信、交通等行業(yè)的關鍵信息基礎設施一旦遭到攻擊，可能導致交通中斷、金融紊亂、電力癱瘓等嚴重后果，對國家安全具有極大的破壞力與殺傷力；核電、軍工、高校、科技等領域的研發(fā)核心數據如果被竊取，可能會造成國家和企業(yè)機密泄露，后患無窮。 網絡安全威脅信息能夠檢測與阻止內外威脅，增加黑客入侵成本，降低入侵速度，提升主動防御能力，確保組織提前做好準備，應對攻擊，避免機密和數據泄露及資產損失，保護國家關鍵信息基礎設施穩(wěn)定安全運行。

因此，網絡安全威脅信息的應用落地對政企機構的網絡安全建設和運營具有重要意義。 作為國內首個“威脅信息”權威報告，《2020年網絡安全威脅信息研究報告（2021年）》系統(tǒng)梳理了四大行業(yè)的典型應用場景，以詳實的案例分析，為國內廣大政企機構應用落地威脅信息提供了參考和指南。