威脅情報(bào)數(shù)據(jù)是越多越好嗎？威脅情報(bào)檢測(cè)產(chǎn)生大量誤報(bào)怎么辦？到底什么樣的情報(bào)才最合適？安全運(yùn)營(yíng)團(tuán)隊(duì)不足該怎么辦？作為威脅檢測(cè)的“良藥”，自威脅情報(bào)被提出以來，這些問題一直困擾著大量用戶。由此可見，威脅情報(bào)的應(yīng)用仍然具有較高的門檻。

為解決上述問題，奇安信威脅情報(bào)中心基于多年威脅情報(bào)技術(shù)積累，面向終端、網(wǎng)關(guān)、大數(shù)據(jù)平臺(tái)等環(huán)境推出了威脅情報(bào)SDK檢測(cè)引擎（QTDE），提升相關(guān)產(chǎn)品基于威脅情報(bào)的檢測(cè)和發(fā)現(xiàn)能力，并且大幅降低了威脅情報(bào)的消費(fèi)門檻。

市場(chǎng)需求只增不減

能夠看到的是，在歷經(jīng)了前期動(dòng)蕩的階段后，經(jīng)過多方扎實(shí)有重點(diǎn)的試驗(yàn)，對(duì)威脅情報(bào)的適用范圍及限制擁有客觀并實(shí)際的了解，市場(chǎng)規(guī)模逐漸成長(zhǎng)。根據(jù) Gartner 的最新預(yù)測(cè)，威脅情報(bào)支出預(yù)計(jì)將以 15.8% 的復(fù)合年增長(zhǎng)率增長(zhǎng)，到 2025 年將達(dá)到 26 億美元。

奇安信威脅情報(bào)中心認(rèn)為，威脅情報(bào)本質(zhì)上是威脅檢測(cè)能力在知識(shí)層面的打包輸出，基于威脅情報(bào)檢測(cè)能力已經(jīng)成為新安全、新基建防御的基礎(chǔ)和核心，在安全事件分析和應(yīng)急響應(yīng)中不可或缺。并且，未來威脅情報(bào)會(huì)進(jìn)入垂直細(xì)分領(lǐng)域市場(chǎng)，情報(bào)內(nèi)生（TI INSIDE）的模式將會(huì)成為主流。

但需要注意的是，威脅情報(bào)的應(yīng)用并非一勞永逸，而是需要持續(xù)的運(yùn)營(yíng)。然而，由于缺乏專業(yè)的安全運(yùn)營(yíng)團(tuán)隊(duì)，大多數(shù)組織的情報(bào)消費(fèi)能力略有不足，根據(jù)Gartner的調(diào)研顯示，目前仍有大量用戶未能很好的將威脅情報(bào)應(yīng)用于威脅狩獵的過程，導(dǎo)致部分安全投資“打了水漂”。

降低情報(bào)消費(fèi)門檻

奇安信威脅情報(bào)中心認(rèn)為，大幅簡(jiǎn)化威脅情報(bào)應(yīng)用的過程，同時(shí)保持高質(zhì)量的威脅情報(bào)輸出，對(duì)于降低用戶側(cè)威脅情報(bào)消費(fèi)門檻至關(guān)重要。

為此，奇安信威脅情報(bào)中心推出的QTDE，實(shí)現(xiàn)了便捷生產(chǎn)、共享與消費(fèi)威脅情報(bào)的閉環(huán)，能夠通過為不同形態(tài)的產(chǎn)品提供情報(bào)檢索、基于分析師的研判和關(guān)聯(lián)分析能力，定時(shí)分發(fā)熱點(diǎn)IOC數(shù)據(jù)，使各集成產(chǎn)品整合、應(yīng)用接口傳遞結(jié)果，檢測(cè)威脅類型包括APT攻擊、遠(yuǎn)控木馬、蠕蟲木馬、僵尸網(wǎng)絡(luò)、勒索軟件、挖礦、黑客利用EXP等。

該引擎整合了高價(jià)值情報(bào)數(shù)據(jù)和專業(yè)的檢測(cè)處理邏輯，一次集成完成，通過簡(jiǎn)單的接口調(diào)用，就可以使設(shè)備或產(chǎn)品具有高精準(zhǔn)、高性能、可定性、可攔截的威脅情報(bào)檢測(cè)能力。用戶不需要任何威脅情報(bào)、安全對(duì)抗知識(shí)，也無需了解威脅情報(bào)研判和檢測(cè)邏輯，即可輕松具備產(chǎn)品的情報(bào)能力加持。

生態(tài)共贏

另外，Gartner調(diào)查發(fā)現(xiàn)，盡管威脅檢測(cè)能力取得了長(zhǎng)足的進(jìn)步，但攻擊者仍然能夠完成滲透目標(biāo)，這在很大程度上是由于不同競(jìng)爭(zhēng)對(duì)手和行業(yè)的不合作或不共享威脅信息。由此可見，生態(tài)合作是威脅情報(bào)市場(chǎng)發(fā)展的必由之路。

奇安信威脅情報(bào)中心面向網(wǎng)絡(luò)安全威脅情報(bào)生態(tài)聯(lián)盟（CEATI）成員，提供不同等級(jí)的QTDE集成應(yīng)用服務(wù)。該服務(wù)可通過集成威脅情報(bào)的SDK動(dòng)態(tài)庫(kù)方式，讓聯(lián)盟合作伙伴的產(chǎn)品在短時(shí)間內(nèi)具備基于威脅情報(bào)的檢測(cè)能力，共同推動(dòng)產(chǎn)品、解決方案層面的情報(bào)深度融合的同時(shí)，也推動(dòng)了威脅情報(bào)行業(yè)生態(tài)發(fā)展。

                                            聯(lián)盟生態(tài)合作伙伴

面對(duì)計(jì)算資源受限導(dǎo)致無法很好消費(fèi)威脅情報(bào)數(shù)據(jù)的情況，奇安信威脅情報(bào)中心能夠提供定制化的 QTDE 分發(fā)規(guī)則，僅提供分析師運(yùn)營(yíng)過濾、確認(rèn)的熱點(diǎn)情報(bào)數(shù)據(jù)和高價(jià)值情報(bào)數(shù)據(jù)（例如APT類數(shù)據(jù)）；而對(duì)于硬件性能、使用場(chǎng)景均適宜的產(chǎn)品，則提供全量的 IOC 數(shù)據(jù)和更豐富的上下文信息，充分滿足NGFW、UTM、終端防病毒、虛擬化終端、云安全、SOC、態(tài)勢(shì)感知等多種網(wǎng)絡(luò)安全設(shè)備、主機(jī)應(yīng)用和大數(shù)據(jù)平臺(tái)的集成需求。

不僅如此，奇安信威脅情報(bào)中心推送的情報(bào)數(shù)據(jù)升級(jí)包頻率為小時(shí)級(jí)更新，極大程度上保證了威脅情報(bào)的時(shí)效性和準(zhǔn)確性。

附：網(wǎng)絡(luò)安全威脅情報(bào)生態(tài)聯(lián)盟簡(jiǎn)介

CEATI（Cybersecurity Ecology Alliance of Threat Intelligence）網(wǎng)絡(luò)安全威脅情報(bào)生態(tài)聯(lián)盟，是由奇安信威脅情報(bào)中心聯(lián)手國(guó)內(nèi)多個(gè)著名安全公司共同發(fā)起的共建威脅情報(bào)行業(yè)生態(tài)的的聯(lián)盟機(jī)構(gòu)，旨在以威脅情報(bào)能力應(yīng)用為核心，打造新生態(tài)圈模式，情報(bào)使能、共謀共策、開放合作、共贏未來。