一、汪列軍 奇虎360公司企業安全部高級研究員

奇虎360公司企業安全部高級研究員 汪列軍

汪列軍，2000年涉足網絡安全領域，曾任綠盟科技核心技術部漏洞規則組首席研究員，負責公司最主要的兩個安全產品入侵防護系統與遠程安全評估系統的檢測規則和掃描插件的維護。現任奇虎360公司企業安全部高級研究員，目前關注APT攻擊事件的分析與挖掘，負責相關威脅情報的生成與維護。

點評：

安全威脅情報(Threat Intelligence)是2015年信息安全產業中的一個熱詞，不管是傳統的產業巨頭還是新興的初創公司都在宣稱可以提供某種形式和類型的威脅情報，發布自己的威脅情報交換方案或技術平臺，相應的共享和交換標準也在推進中。其實在國外的安全業，對威脅情報已經有比較明確的定義，如Gartner的定義：“威脅情報是一種基于證據來描述威脅的知識信息，包括威脅相關的上下文環境信息，采用機制、指標、影響與行動建議等。這些用以描述已經存在或正在發生的攻擊威脅的信息，可以被受害目標用來進行決策并對威脅進行響應”。同時，可機讀威脅情報(MRTI)是威脅情報的特殊格式，已經被轉化為可機讀的格式，從而可以更容易、更快的被傳遞到云端或客戶端的系統中發揮作用。威脅情報在高級威脅的發現，以及安全態勢感知中，都發揮著關鍵作用。

從當前的業務成熟度來看，2015年各家廠商對威脅情報的商業模式還處于探索階段，老廠商只是提供些基于原有業務的衍生數據，新廠商則在嘗試提供何種情報服務及如何提供服務。在威脅情報的消費端，高端的戰略威脅情報(可以從攻擊組織與攻擊者角度出發的綜合情報)僅限于政府及某些大組織機構，而戰術威脅情報(威脅指示器IOC)的主要消費設備SOC、SIEM、NGFW等還未大批量地提供可機讀威脅情報的支持，真正的消費群體還未形成。威脅情報的共享和交換標準方面，以STIX為代表的開放標準正在獲得越來越多的廠商支持從而非常有可能成為主流，但是也不排除一些輕量級的標準在一定范圍內流行。360企業安全是國內威脅情報領域的先行者，2015年，360建立了國內第一個商用的威脅情報中心，一是通過360在互聯網云端多年積累的安全大數據平臺，持續產生可機讀威脅情報，并在360天眼威脅感知系統中進行落地。二是360也發布了威脅情報基礎數據查詢平臺，面向安全業內人員開發威脅情報相關的數據查詢。更進一步，新的威脅情報服務模式，也逐步在關鍵客戶處落地。

威脅情報要發揮預期的作用，關鍵在于建立一個可操作的高效的情報交換網絡，這里的技術限制不大，阻礙可能更在于商業模式的可行性及組織間的非技術壁壘，2016年會是威脅情報真正開始落地之年。