浅谈国内威胁情报的发展

这两年去过RSA的人，普遍有一个感觉：威胁情报的概念在美国已经很少提了。这是一件好事，因为其市场威胁情报已经无所不在，无需再多谈。大家更关心的是基于威胁情报发展出的新产品，怎么解决具体问题。这也是一件坏事，因为它意味着国内安全产业，在网安应用的AI技术（UEBA为代表）、安全狩猎之外，又一个领域被抛在了后面，虽然起步的时间看似差得不远。

从个人的经历看，国内威胁情报技术发展落后主要有3个方面的原因：

1. 企业间信任关系不足，难以形成产业合作，情报数据推送雷声大雨点小；

2. 产品化能力较弱，或者说应用场景研究得尚显单薄；

3. 新一代安全产品需要复合多种安全能力，开发资源整合难度较大。

作为公开文章，似乎前两个原因不适合多谈，就把焦点放到最后一个问题上。

在一个安全产品中复合多种的安全技术/能力，是10年前就开始的一个趋势，SWG、NGFW、EPP都是其中典型的代表，以场景为主线，将解决一个场景下问题需要的安全能力统一在一个产品中提供，统一配置、统一管理，减少了安全建设成本、也简化了运营的难度。典型的是有了NGFW之后，在网络出口处串糖葫芦似地部署多个产品的情况应该少多了。

安全建设的重心从防御转向到检测、响应的过程中，逐步明确了其中的需求：运营过程需要快速进行报警确认、了解攻击危害程度，进行攻击链和影响面分析，并执行遏制或清除活动。这其中需要的能力或技术就包含：威胁情报、事件管理、事件编排、自动化分析和自动化响应等，它们都是安全运营中需要的内容，单纯某一种能力不能帮助用户完成安全闭环，因此需要将这些能力叠加在一起，形成一个新的产品。这类产品在Gartner的报告中被命名为SOAR（Security Orchestration, Automation and Response）。

SOAR产品也许有很多的功能，但个人认为其核心竞争力应该是分4部分：

1. 威胁情报能力；

2. 威胁分析经验；

3. 事件响应经验；

4. 整合不同安全产品的能力。

简单说，SOAR是通过内置多种不同类型威胁情报弥补安全运营团队的这方面的不足，通过编排或者说Playbook弥补安全运营团队分析、响应经验的缺失，最后利用整合能力提供的自动化解决重复劳动和效率的问题。

这样的产品已经不是传统意义上的一个安全产品团队可以完成的了。要实现这样的产品，帮助用户解决最大的运营问题，是需要安全公司重新思考如何开发一个产品的。从技术上讲，这种形势应该对综合性的大公司比较有利，但从实践看，国际上相似的产品更多是由创业公司带来的，其中只有FireEye算是一个特例。因此面对这种新的产品需求，在安全能力、组织形式、开发流程上具有不小的挑战，最终那类公司能突围而出，尚无答案。

“看中流击水，浪遏飞舟”。

声明：本文来自ZenMind，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。