还记得那个酷炫无比的，可实时显示全球网络攻击地图的威胁情报公司Norse不？它倒闭了。

上周六，有熟悉情况的知情人向媒体透露，Norse的首席执行官山姆.格林斯被董事会要求下台。公司职员被要求在这周一来公司报到上班，但工资却没有保证。此事的新闻报道出来之后，Norse公司的官方网站和攻击地图先后关闭。

知情人还表示，Norse的资产将与Solarflare合并。但后者的首席执行官鲁塞尔.斯特恩却表示，“Norse和Solarflare没有任何交易。”

Norse公司曾经是媒体宠儿，在2014年索尼影业被攻击事件中经常上国际新闻的头条，并且对伊朗攻击美国工控系统所做的分析报告更是频繁的被引用，因此而声名大噪。但实际上，每当Norse被媒体抬出时，总会遭到安全社区专业人士的猛烈抨击，指责Norse的判断和支撑数据是有问题的。

安全公司 Dragos Security LLC 的创始人兼首席执行官、工控系统专家罗伯特.李在其博客中写道：

“该公司把基于他们传感器的互联网扫描数据解释为攻击情报，而大多数威胁情报公司依靠丰富的数据并辅以实际入侵的应急响应数据，不是扫描活动。而且，Norse是在并不具备可证实的工控系统能力的情况下，快速地做出对系统的结论……

简而言之，他们把数据解释为情报，而数据、信息和情报之间有着很大的不同。尽管Norse的产品和互联网级别的扫描数据有着很大的研究价值，但，这些数据依然不是情报。因此，虽然他们标榜自己是威胁情报社区的重要一员，但实际上他们一直就没有被社区中领先的分析人员和公司所认可。

威胁情报社区的圈子非常小，一旦犯下战略性的错误，带来的不良影响是巨大而持久的。信任，在这个社区无比的重要。”

实际上，早在2016年开始Norse就进行了一轮裁员。调查显示，公司经历了一系列的失败模式，包括业务、反并购、空壳公司和产品严重没有达到预期。公司的高级数据科学家玛丽.兰德斯曼表示，公司使用的数据质量并不怎样，“几乎和自动爬虫和扫描工具形成的Web服务器日志一样。”

数据造就了Norse，数据是该公司的立足之本。一旦数据发生问题，对于依赖数据做出安全决策和风险分析的用户来说问题就大了。目前，Norse的关张究竟对其客户产生什么样的影响还不得而知。

不管是因为什么导致Norse走到今天的地步，并招致圈内人的讨伐，其主要责任还是在于管理层。

Norse带来的教训

首先，信任在威胁情报工作中有着极其重要的意义，威胁情报公司要意识到自己是整个安全生态系统的一员，无法独立于之外。正式的或非正式的业务伙伴关系和信息共享，都有助于公司快速的发展。威胁情报更多的需要开放共享，而不是与其他安全产品互相竞争。它可以帮助好的安全项目做的更好，并通过有用的信息支持企业战略决策。更直接的说，威胁情报不是想取代之前不好的安全项目，也并不能成为一劳永逸的安全解决方案。

再者，威胁情报公司在做市场工作时要十分小心谨慎，尤其是不能夸大本公司的产品或服务的功能和效用。这一点在威胁情报社区极为关键，适用于任何安全初创企业。否则一旦被圈内认为，你是在做虚假夸大的宣传，这个坏名声就很难再改变了。

最后，对于投资方来说，不能只看该公司展示了什么，还要调查整个社区对其的真正看法。

国外有媒体联系Norse的投资方毕马威，后者于去年9月给Norse投资1140万美元。毕马威回应，“投资Norse的具体条款属于商业秘密，目前没什么可说的。”