2021年12月3日，中國信息通信研究院安全研究所聯(lián)合北京微步在線科技有限公司共同研究編制了《2020年網(wǎng)絡安全威脅信息研究報告（2021年）》。本篇報告內(nèi)容豐富，共分為威脅信息產(chǎn)業(yè)研究、2020年威脅研究、行業(yè)落地研究和產(chǎn)業(yè)發(fā)展探討等四個方面，宏觀與微觀并舉，既著眼當前，也放眼于未來，是一篇詳實、豐富的威脅信息產(chǎn)業(yè)研究報告。

作為本次《2020年網(wǎng)絡安全威脅信息研究報告（2021年）》的共同研究編制者，微步在線希望廣大讀者不僅能從報告中獲取所需信息，更能在閱畢報告后全面認識、深入了解中國威脅信息產(chǎn)業(yè)。因此，微步在線提煉出報告中七大關鍵點，旨在幫助讀者快速掌握報告重點內(nèi)容，方便讀者后續(xù)深入研讀。

知識點一： 快速理解“威脅信息”

網(wǎng)絡安全威脅信息的英文是Threat Intelligence (TI)，即威脅情報。威脅信息的研究對象是“威脅”，包含已知的和即將出現(xiàn)的未知網(wǎng)絡威脅。綜合國內(nèi)外相關研究，信通院和微步在線歸納分析了多方定義后認為，網(wǎng)絡安全威脅信息的核心內(nèi)涵如下：

第一，網(wǎng)絡安全威脅信息來源于對既往網(wǎng)絡安全威脅的研究、歸納、總結(jié)，并作用于已知網(wǎng)絡威脅或即將出現(xiàn)的未知網(wǎng)絡威脅；

第二，網(wǎng)絡安全威脅信息的價值是為受相關網(wǎng)絡威脅影響的企業(yè)或?qū)ο筇峁┛蓹C讀或人讀的戰(zhàn)術(shù)戰(zhàn)略信息并輔助其決策，因此網(wǎng)絡安全威脅信息需要包含背景、機制、指標等能夠輔助決策的各項內(nèi)容。

簡而言之，網(wǎng)絡安全威脅信息是為研究網(wǎng)絡威脅而提取出的、用于發(fā)現(xiàn)威脅、認識威脅、追蹤威脅的信息數(shù)據(jù)。

知識點二：威脅信息用于網(wǎng)絡安全防護時有哪些優(yōu)勢？

信通院和微步在線認為，根據(jù)PPDR安全防護模型理論，威脅信息的網(wǎng)絡安全防護優(yōu)勢主要體現(xiàn)在如下幾個方面：

（1）檢測方面：網(wǎng)絡安全威脅信息能輔助用戶對相關資產(chǎn)、風險、攻擊面進行排查，從而讓用戶快速了解網(wǎng)絡當前受攻擊情況。

（2）防御方面：采取主動防御措施，對網(wǎng)絡威脅進行精準打擊。威脅信息提供的惡意IP地址、域名/網(wǎng)站、惡意軟件hash值等失陷指標（Indicators of Compromise，IOC）能夠直接用于網(wǎng)絡安全系統(tǒng)和設備進行防護。

（3）響應方面：網(wǎng)絡安全威脅信息能夠幫助提供更完善的安全事件響應方案。

（4）預測方面：構(gòu)建安全預警機制，不斷收集有關新型網(wǎng)絡威脅的信息數(shù)據(jù)，根據(jù)當前網(wǎng)絡環(huán)境的薄弱環(huán)節(jié)有效預測可能的威脅，以幫助企業(yè)更好地應對未知威脅。

綜上，網(wǎng)絡安全威脅信息的使用將有效提升報警準確性，降低無效報警數(shù)量，極大減輕安全運營人員工作壓力，使其聚焦于真實威脅，提升工作效率，對政府部門、企事業(yè)單位、社會組織等用戶機構(gòu)的網(wǎng)絡安全建設和運營具有重要意義。

知識點三：威脅信息的價值體現(xiàn)在哪些方面？

經(jīng)過多方研究，信通院和微步在線認為，網(wǎng)絡安全威脅信息目前主要應用于企業(yè)網(wǎng)絡安全防護、公共安全防護、國家安全防護等領域，相應的應用價值主要體現(xiàn)在提升企業(yè)主動防御能力、助力打擊網(wǎng)絡犯罪行為、保護國家網(wǎng)絡空間安全三個方面。

首先，威脅信息能夠提升企業(yè)對網(wǎng)絡威脅的感知能力，讓企業(yè)的安全防護由被動轉(zhuǎn)向主動。

其次，威脅信息能實現(xiàn)對網(wǎng)絡犯罪的調(diào)查分析和記錄留存，網(wǎng)絡犯罪的信息共享、防范和預警，能有效打擊網(wǎng)絡犯罪、改善網(wǎng)絡環(huán)境，助力維護網(wǎng)絡空間的公共安全。

最后，威脅信息能輔助指導相關行業(yè)的網(wǎng)絡安全防護工作，從而保障各行業(yè)關鍵基礎設施安全性、核心數(shù)據(jù)安全性和核心業(yè)務連續(xù)性，從而保護國家安全。

知識點四：2020年國內(nèi)外網(wǎng)絡威脅態(tài)勢如何？

經(jīng)過一整年的觀測，信通院和微步在線觀察到，2020年國內(nèi)外網(wǎng)絡安全態(tài)勢較以往更為嚴峻。在PC端一直都有活躍表現(xiàn)的勒索軟件在2020年全年呈激增態(tài)勢，并造成嚴重危害。勒索軟件開始利用基于暗網(wǎng)的云基礎設施進行數(shù)據(jù)的分批次泄露，以此威脅被勒索組織，迫使其盡快交付贖金；隨著世界范圍內(nèi)移動設備感染率的上升，IoT設備被感染的可能性也大大增加；黑客對供應鏈、虛擬私有網(wǎng)絡、漏洞等常見攻擊面的興趣仍然在持續(xù)，并且開始出現(xiàn)偽裝成Zoom、Slack等通訊工具客戶端進行攻擊的現(xiàn)象；此外，黑客及黑產(chǎn)組織仍然在暗網(wǎng)上持續(xù)活動，并被監(jiān)測到存在利用暗網(wǎng)買賣泄露數(shù)據(jù)、云基礎設施等行為；在2020年，被曝光的APT攻擊事件有數(shù)百起，40余個國家和地區(qū)遭受了不同程度的APT攻擊。

此外，2020年的新冠肺炎疫情對網(wǎng)絡環(huán)境也產(chǎn)生了一定影響，尤其在網(wǎng)絡攻擊方面，與新冠肺炎疫情相關的攻擊數(shù)量大幅度上升，攻擊手段更加多樣，醫(yī)療行業(yè)受此影響較大，移動辦公相關的信息基礎設施和遠程通訊工具是受攻擊重災區(qū)，新冠肺炎疫情及冠狀病毒相關的話題成為攻擊者偏好的誘餌。

知識點五：本報告中威脅信息的重點落地方向有哪些？

立足我國具體國情和網(wǎng)絡安全需求，目前國內(nèi)威脅信息應用落地有以下幾個方向可供參考：

一是結(jié)合檢測技術(shù)。在安全產(chǎn)品研發(fā)階段，將威脅信息與流量分析、終端檢測技術(shù)相結(jié)合，落地為基于網(wǎng)絡安全威脅信息的檢測響應類產(chǎn)品，部署在用戶機構(gòu)對應的網(wǎng)絡環(huán)境中。

二是建立共享機制。對于分支部門較多的用戶機構(gòu)，建立本地威脅信息管理平臺，構(gòu)建網(wǎng)絡威脅信息庫和威脅信息共享機制，提高網(wǎng)絡威脅挖掘研發(fā)和應用能力。

三是聯(lián)動安全設備。聯(lián)動其他網(wǎng)絡安全設備，如IDS/防火墻、日志大數(shù)據(jù)平臺等，與現(xiàn)有處置知識庫與工單系統(tǒng)構(gòu)建閉環(huán)處置流程，提升用戶機構(gòu)網(wǎng)絡安全的整體檢測響應能力。

知識點六：本報告中威脅信息的重點落地行業(yè)有哪些？

威脅信息的落地行業(yè)非常廣泛，金融、互聯(lián)網(wǎng)、智能制造、政府事業(yè)單位、地產(chǎn)、醫(yī)療、教育等行業(yè)都有不同程度的覆蓋。針對本報告面向的行業(yè)及需求，微步在線提供了工業(yè)和信息化相關行業(yè)中頭部代表性企業(yè)中的落地應用案例，最終中國信通院選入了電子信息制造商、基礎電信企業(yè)、網(wǎng)絡視頻平臺和云計算服務商共4個典型應用案例。

在這些案例中，威脅信息或與防火墻、大數(shù)據(jù)平臺、ELK日志系統(tǒng)等企業(yè)網(wǎng)絡安全系統(tǒng)、設備有效聯(lián)動，或賦能威脅感知設備，發(fā)現(xiàn)內(nèi)部威脅、檢測外部威脅、識別資產(chǎn)風險，展現(xiàn)了威脅信息盤活企業(yè)網(wǎng)絡安全運營的良好效果，提升了案例中企業(yè)整體網(wǎng)絡安全水平。

若需了解全部案例，請查看本報告全文。

知識點七：政企單位接下來需如何推動威脅信息落地發(fā)展？

《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《關基條例》等法律法規(guī)的陸續(xù)出臺，進一步明確了網(wǎng)絡安全對于國家安全的重要性，彰顯了我國守護網(wǎng)絡空間安全的決心。隨著等保2.0對信息系統(tǒng)網(wǎng)絡安全威脅信息能力提出具體明確要求，威脅信息建設勢在必行。中國信通院認為，政府部門、企事業(yè)單位、社會組織等機構(gòu)作為威脅信息的最終用戶，要強化安全主體責任意識，完善安全性自我評估制度，健全內(nèi)部安全防御體系。

一是政策和市場雙驅(qū)動。用戶機構(gòu)根據(jù)自身業(yè)務實際需求和面臨的主要安全威脅，對照國家政策法規(guī)、標準等相關要求明確網(wǎng)絡安全建設目標、重點內(nèi)容和保障措施，結(jié)合網(wǎng)絡安全威脅信息的覆蓋度、準確度、可用性、可擴展性和專業(yè)度等多方面因素綜合評估產(chǎn)品性能，政策合規(guī)和市場需求雙輪驅(qū)動，規(guī)劃設計可落地的網(wǎng)絡安全防御體系構(gòu)建方案。

二是嚴格規(guī)范威脅信息選用標準。網(wǎng)絡安全威脅信息源選擇方面，堅持威脅信息數(shù)量與質(zhì)量并重，保障信息豐富全面的同時，避免大量低置信度信息淹沒嚴重安全事件；多源威脅信息選擇方面，提升不同來源威脅信息的差異性，通過網(wǎng)絡威脅信息管理系統(tǒng)整合多源威脅信息，優(yōu)化威脅信息準確性和覆蓋面。

三是融入安全體系加快落地部署。應加快推進威脅信息體系落地部署，充分利用已有安全能力，聯(lián)動已有安全系統(tǒng)和設備，將事件響應、自動化編排與威脅信息系統(tǒng)進行結(jié)合，切實將威脅信息能力融入現(xiàn)有安全架構(gòu)中，建設威脅信息檢測系統(tǒng)、威脅信息庫、威脅信息本地管理平臺、威脅信息在線查詢平臺等系統(tǒng)，充分利用威脅信息改善安全運營工作，筑牢網(wǎng)絡安全防御體系。