在安全圈提起“威胁情报”，可谓无人不知无人不晓。什么是威胁情报？威胁情报是一种基于证据的知识，包括了情境、机制、指标、隐含和实际可行的建议。威胁情报描述了现存的、或者是即将出现针对资产的威胁或危险，并可以用于通知主体针对相关威胁或危险采取某种响应。

　　那么，什么是具有中国特色的安全威胁情报呢？在2015年11月29日由51CTO主办的WOT2015"互联网+"时代大数据技术峰会上，国内首个专以安全威胁情报（Threat Intelligence）为中心的创业公司，北京微步在线科技有限公司合伙人的李秋石给51CTO记者做了以下解答。

　　在WOT2015大会现场，李秋石带来了题为《中国特色的安全威胁情报》的精彩演讲。他表示，所谓“中国特色”主要体现在：第一，其实古时候在《孙子兵法》里面就已经提出了“知己知彼”，我们今天把它叫做“知彼知己”，这是情报最有用而且流传最广的一个概念，其实在我们中国的历史文化当中就已经突出了它的重要性。第二，我们需要有自己的威胁情报处理能力，因为毕竟我们需要有自己自主可控的情报平台，来帮助我们中国的企业去及时的获取和及时的响应。

　　如何从海量的数据中去挖掘威胁情报？

　　在海量的数据面前，我们该如何挖掘真正有价值的威胁情报呢？李秋石表示，其实这也是具有“中国特色”的一部分，现在很多中国的互联网公司都在谈大数据，数据对于很多企业来说真的不愁，他们有很多大量的原始数据。包括：IP，以及用户的设备信息等各种各样的信息。那么，该如何从这些信息中及时发现线索？这其实是威胁情报所具备的一个特性，基于情报的分析和分析师关联的判断。它是基于证据可执行的一个线索，那么这些信息其实是基于海量数据，从中发现的。企业及时发现威胁是非常重要的一个行动点。

　　其实，威胁情报的作用不是代替现有的安全措施，企业应该有必须具备应该具备的安全防御措施，比如：日常检测等。而情报就是让企业知道该怎么利用这些信息，在摸清楚攻击来源，攻击者身份时，通过安全工具进行防御，甚至反击。大家普遍关注的是漏洞，但是漏洞很难被百分之百杜绝和避免。对于漏洞最好的办法就是，在事中及时地发现这种攻击行为在事中。安全分为三个部分事前、事中、事后，而威胁情报发挥的最大作用就是在事中。企业第一时间发现威胁，并知道这个威胁源自于哪里、做了什么，或者是在产业链的某一个环节当中出现了安全问题。那么，此时作为产业链整个流程当中的企业，其如何在第一时间防范信息的威胁和泄漏的情况，这是很重要的工作。

　　怎么样才能使威胁情报价值最大化？

　　李秋石认为，首先要看威胁情报的客户，其实情报有两种应用方式：

　　一种应用方式是给机器。比如：企业中现有的设备、算法，或者企业的SRC团队，或者有IDS这种设备，那么情报可以作为可机读的信息，让机器立刻具备防御能力。

　　另一种应用方式是给人读。比如：企业安全管理者，企业决策层，让他们能及时看到相关的报告。

　　此外，它还有一个非常重要的作用，就是让企业能够提早准备和采取应对措施。因为，往往信息泄漏对于企业造成的威胁是不可估量的，特别是在美国，很多企业可能会因为信息泄漏，或者是企业信息被攻破而导致企业的破产。虽然在“中国特色”的互联网环境当中，因为大家都是在起步阶段，很多时候都是先有了业务来发展，安全才会跟上的。在这种情况下，其实企业需要具备一定的感知能力和发现能力，以便即时修补漏洞。哪怕企业安全人员手头发现了一打漏洞，那肯定要排优先级去修复它，当然最好的方式是全部修复。如果发现外面的攻击者盯上我某一个漏洞，或者尝试用某一种工具攻破系统的话，那首先要把这一块威胁给解决。

　　目前攻击者对于威胁情报的应对策略有哪些？

　　安全圈一直流传着一句话：“未知攻，焉知防。”

　　李秋石表示，安全永远是一个攻防对抗的过程，攻击者对情报的掌握比在明处的企业可能会更多。在工作中，我们可以看到很多有组织、有规模、成产业链的攻击机制的攻击者群体，其实他们内部就已有非常丰富的情报发掘和共享的机制，包括：攻击对象、主要防御措施、工作人员上班时间，还有企业处理威胁的方式。比如：企业的安全系统，或者风险防控系统的技术细节，他们都有共享的机制。攻击者们对于这个体系已经运用得比较完善。所以作为防守方其实也应该去进行相应的反制措施，能够及时的发现这些行为，并采取相应的应对措施。威胁情报的作用就是一种平衡和对抗，就像现实中情报也是类似的，就是信息的感知能力。

　　写在最后

　　李秋石表示，在国际上，威胁情报已经是非常火热的话题了，围绕威胁情报的企业也非常受关注。在国内，由于刚刚兴起不久，威胁情报利用方面仍存在不足和亟待改善的地方。企业主要都是出于摸索和尝试的阶段，但是声势越来越浩大。现在，讨论最多的是企业安全和信息安全领域，而情报能够验证它的价值和方法，并且能够有非常好的一套机制，与企业的业务进行更深入的结合。未来，威胁情报还需要进行更快速的共享，这有助于各个企业，以及做情报的公司能够一起去有效的防范威胁，其实最主要目的是为了能保证企业与用户免受威胁。