威脅情報已成為當下安全圈一個炙手可熱的話題。如今網絡架構在改變，攻擊者的技術也越來越復雜，而如何有效的防范及發(fā)現攻擊已成為一個比較棘手的問題，威脅情報的出現已成為緩解網絡攻擊的一個新方向。

在今日舉行的WOT2016企業(yè)安全技術峰會上，來自北京白帽匯科技有限公司的聯(lián)合創(chuàng)始人&CSO鄧煥給大家?guī)砹酸槍ν{情報和開源工具的演講，討論了如何收集以及整合公共資源上的威脅情報資源。演講結束，51CTO記者采訪了鄧煥，他表示：“在威脅情報的利用中，需要更多的結合企業(yè)自身的實際情況，對威脅情報數據進行優(yōu)化處理，然后數據才能被落地使用。”

【嘉賓簡介】

鄧煥，北京白帽匯科技有限公司聯(lián)合創(chuàng)始人&CSO，原360補天漏洞平臺的技術負責人。目前主要負責安全研究、威脅分析，以及白帽匯產品方向等工作。

威脅情報的那些事兒

威脅情報是眾所周知的目前最為火爆的安全防護技術，但其落地和應用目前在國內并未全面成熟。提到威脅情報，鄧老師表示，首先要明白什么是情報?情報即是線索。眾人皆知的不能叫威脅情報，因為信息安全最核心的本質就是信息不對稱，這些不對稱的信息，我們可以理解它對于企業(yè)來說都是威脅情報的范疇。

那么，什么是威脅情報呢?據Gartner定義，威脅情報是基于證據的知識，包括上下文、機制、指標、隱含和可操作的建議，針對一個現存的或新興的威脅，可用于做出相應決定的知識。

我們?yōu)槭裁葱枰{情報?威脅情報到底有哪些作用?鄧煥表示，其作用主要體現在三方面：一是，實現安全分析及事件響應;二是，還原已經發(fā)生的攻擊;三是，預測未發(fā)生的攻擊。但是對于企業(yè)來說威脅情報也并不是萬能的，在使用情報的同時，我們需要保證基礎防護的存在，這里我理解情報它實其是也是傳統(tǒng)防護的一個補充提升。

通過開源工具整合威脅情報數據源

如何獲得威脅情報數據源?對此，他表示可以通過開源工具整合威脅情報數據源，并在演講中與大家分享了眾多的開源工具，主要有：

他表示，這些與威脅情報相關的開源項目相對較成熟，開源的威脅情報數據源可以下載使用，但是不能直接使用，因為這些開源的情報數據中夾雜著大量誤報信息。需要根據企業(yè)的自身的業(yè)務方向，對威脅情報數據進行優(yōu)化處理，然后數據才能被落地使用。這里舉個例子，比如你是電商，可能更多的是關心人員情報。比如：羊毛黨所使用的工具手法，會關心惡意郵箱信息等。

安徒生企業(yè)威脅感知平臺

作為專注于做安全大數據和企業(yè)威脅情報的創(chuàng)業(yè)公司，白帽匯通過提供尖端的安全技術，高性價比的產品和服務，來幫助客戶應對業(yè)務運行中可能出現的網絡信息安全問題, “不被入侵，不被脫庫”。該公司主要提供的產品與服務包含：企業(yè)威脅情報監(jiān)控系統(tǒng)EWSIS、威脅情報平臺、NOSEC大數據協(xié)作平臺以及近期發(fā)布的企業(yè)威脅感知平臺——安徒生。

據鄧煥介紹，其中NOSEC大數據協(xié)作平臺主要與白帽對接，白帽子可以利用這個平臺上的安全工具與數據資產檢索工具，其可幫助白帽子更快速更全面更深入的發(fā)現目標可能存在的安全隱患。該平臺可全面收集分析互聯(lián)網中的資產信息，并將數據進行關聯(lián)分析，從高層次的視角來分析數據。

而白帽匯的新品安徒生企業(yè)威脅感知平臺更多貼切于企業(yè)，會從外部視角、內部視角進行對接，實時梳理出企業(yè)資產管理難的問題。因為很多大企業(yè)資產成千臺，可能會疏忽掉很多東西，不知道哪些資產具體是否在線，這個平臺通過外部的發(fā)現，以及通過agent，流量的方式去實時的發(fā)現企業(yè)的資產信息，然后對這些資產進行梳理，實時的展現給用戶，再把它實時地跟威脅檢測進行對接。換句話說，該平臺用于幫助企業(yè)及時發(fā)并現解決網絡漏洞，數據泄漏，外部威脅情報等可能被攻擊的安全風險。其主要功能如下：

智能全面的資產識別：通過全網資產檢索，主動爬蟲，流量分析，客戶端插件，服務端插件等多種引擎自動化全面地提取企業(yè)的資產信息。有效解決孤島資產的老大難問題。

完整體系的漏洞監(jiān)控：安徒生配備了多種漏洞掃描引擎，覆蓋網絡漏洞監(jiān)控，系統(tǒng)漏洞監(jiān)控，Web網站漏洞監(jiān)控，App移動應用漏洞監(jiān)控等，在黑客攻擊之前進行有效修復。

外部威脅情報：通過白帽匯廣泛的情報基礎，幫助企業(yè)監(jiān)控外部非漏洞的威脅情報，如Github數據泄漏，社工庫撞庫攻擊，釣魚攻擊等。形成整體防護，避免安全漏洞變成公關事件。

談及未來白帽匯的發(fā)展規(guī)劃，鄧煥表示：“白帽匯規(guī)劃了一個很大的產品架構圖，把它全部實現并不是那么容易，因為每個單獨的小點他都可以足以支撐一家公司的生存。未來白帽匯將朝著基于機器學習以及安全模型方面進行數據分析，從內部的數據分析入手，把產品更好的完善。”

寫在最后

采訪最后，記者問及鄧煥關于企業(yè)是否必須有CSO這個問題。他認為，CSO僅僅是一個稱呼。目前越來越多的人意識到網絡安全的重要性，而國家也一直在強調加強網絡信息安全。作為一個企業(yè)必須要有自己的安全人員，或者安全產品，未必是CSO。即使是一個小企業(yè)，也應該有相應的安全防護，最好能匹配相關的安全人員，定期的培訓提高員工安全意識。在大公司，CSO可能更多偏向于方向的指引，以及把內部的安全體系建設落地，甚至是對安全以及前沿技術的探討。把最新的安全理念，以及怎樣確保企業(yè)內部安全的信息傳達給企業(yè)內部的人員，從而實現整個企業(yè)的安全防護。