威胁情报(TI)的概念业内早已熟知，其重要价值在于通过数据挖掘和分析，帮助用户获得可执行的情报，并帮助确认不同响应动作的优先级。无论是国内还是全球厂商，所提供的威胁情报类产品或服务目前可大致分为三类：一是单纯供查询的威胁数据源，二是对自己原有安全产品的增强，三是作为对客户原有安全能力的补充。

天际友盟是国内少有的专注于威胁情报应用的解决方案提供商，目前国内威胁情报有哪些落地应用？如何看待威胁情报市场现状和未来挑战？带着这些问题，安全牛在近期采访了天际友盟的首席技术官谢涛，并将内容整理如下。

谢涛

个人简介

谢涛，北京天际友盟有限公司技术总监，曾先后在多间国内知名安全公司担纲技术和产品管理工作，在安全行业有超过15年的从业经历，在威胁情报、安全攻防、风险评估、反电诈等领域有丰富的项目实践经验，曾经管理过的产品形态包含早年的硬件产品、安全服务，也包含近年来爆发的云安全、安全SAAS业务等，对于安全行业的发展趋势、产品形态和市场变化，具有前瞻性的洞察。

一、威胁情报的需求本质是补充和增强

安全牛：从Gartner最新的成熟度曲线来看，威胁情报已经过了过度炒作期。作为国内为数不多的威胁情报服务提供商，我们如何看待威胁情报及其在国内的现状？

谢涛：Gartner之前对“威胁情报(TI)”的定义为，包括上下文、机制、指标、可行建议等以证据为基础的知识， 这个知识是关于现有数字资产所面临的风险和威胁的。我们可以利用情报，通过威胁分析，来决定如何对这个资产所面临威胁和风险作出响应。

但是，目前来看，Gartner对TI的解读还是比较偏商业的，而这种价值在国家级的复杂网络环境中，会有更全面、深刻的体现。

政府、产业界和学术界，这三者对威胁情报的理解是不同的。大量厂商对威胁情报的应用思路仍停留在利用其情报分析、防护设备搭建一套新的安全体系，而这与政府或监管机构的关注点不同。现有的大量安全设施是不能被完全替换的，但又会出现新的安全问题和威胁，那么如何满足原有体系所不能及的新安全需求，利用威胁情报增强旧有安全体系的能力，这个角度可能更有吸引力。

安全牛：也就是说，威胁情报不是颠覆性技术，而是发掘原有安全体系的新能力？

谢涛：是的，威胁情报的出现，使得我们对威胁有了更清晰、具体的描述，这补充了之前风险评估过程的缺失。对威胁的描述，也可以像资产、漏洞那样具体。但目前也只到了这一步。

威胁情报是”知识“的集合。其技术核心，是对情报的结构化描述，以及传输协议的标准化定义。但它和传统的知识库又是不一样的。威胁情报是知识库的应用，而不只是管理。

也就是说，不是一套集成情报的数据分析和防护设备放到用户那里就可以了，而应该是根据用户的实际需求，基于这种知识的应用方式，去解决客户的实际问题。

安全牛：TI在国内看上去很火，但实际市场规模并不大，你觉得原因是什么？

谢涛：这要从威胁情报市场的分类来看。我们目前能看到国内的威胁情报市场主要分为两大类：情报市场和情报技术市场。顾名思义，情报市场主要是是围绕数据本身，而情报技术市场则是利用威胁情报的相关技术解决现有安全体系解决不了的实际问题。我们倾向于后者，这也是天际友盟和其它TI服务商在定位上不太一样的地方。

大部分用户是不关心有哪些威胁的，而只在乎哪些影响到了他，以及影响的程度，以及如何解决。只注重情报本身，而不注重解决问题，这可能就是威胁情报这两年在国内总是看似很火，但实际落地不多的重要原因。

目前整个业态的重点，都在讨论威胁情报的概念、技术、数据，而真正有效的落地应用方式，以及对客户所能带来的价值，反而是被大部分厂商回避的。

二、威胁情报的三大应用实践

1.情报落到本地后需要有效的管理支持

安全牛：威胁情报要想真正落地，关键点在哪里？

谢涛：威胁情报要想真正落地，必须要有本地的观测数据。无论国内外，这都是已经很明确的。威胁情报必须落到用户本地，将本地的观测数据和外部的威胁情报结合。这也就要求我们根据用户不同的情况和需求，提供不同细粒度的定制化情报服务，这也一定是未来安全行业的的一大趋势。

所以，我们的做法更倾向于回归本质，先帮助用户梳理需求，再判断能否基于情报解决用户的问题，找到和用户自身现有的安全能力契合度最高的方案，解决客户问题。

例如，在我们的安全情报综合解决方案中，有一个平台级产品——SIC（本地安全情报中心），它可以和包括客户本地、云端平台等多个威胁情报源对接，提供多源情报的管理服务。

TI技术的出现，让人们从之前更多的以“漏洞”和“资产”为核心，转变为以“威胁”为核心。这些用户关心的情报数据如何在一个内外双向循环的体系中更好的流转？它的定位就是帮助用户做好这一点。这个定位是非常清晰明确的。

安全牛：为什么选择重管理而不是技术分析？

谢涛：嗯，就像字典不应该负责说话一样，这是同一个逻辑。威胁情报如果不落到用户本地，是不能够解决太多需求的。这样做的好处就是从客户出发，不依赖平台，而是利用威胁情报技术和用户现有的安全能力。

当然，如果客户完全不想自己动手，或是缺少相应的设备或工具，我们可以提供托管服务或针对某些场景的解决方案。都是为了解决用户需求的不用应用场景。

客户为了更广泛的覆盖和交叉验证通常会接不只一家的威胁情报数据，但目前从客户的反馈中我们可以看到，客户的能力瓶颈很大程度上在于无法有效地整合来自多家的情报。迫于成本、人才等原因，客户自身的安全能力一般有限。但威胁情报如果最终只能是极少数经验丰富的分析师的工具，那么威胁情报的价值我们认为是被极度压缩了的。而这些分析师，也无法撑起整个威胁情报市场。只有帮助客户更便捷的应用起来，才能真正的发展这个市场。

2.量化情报价值

安全牛：除了多源情报的管理外，我们还能看到客户哪些痛点？

谢涛：中国的安服市场，最大的问题在于大量的服务效果用户是无法量化评估的，厂商也不知道这是否真正满足了用户的需要。威胁情报服务也如此。它不是类似反病毒一样的东西，没有一个库可以去碰，谁也不知道数据的全集在哪里，理论上也做不到。这是威胁情报的价值难以准确量化的重要原因之一。换句话说，从客户角度来讲，威胁情报最需要解决的是情报可信度的问题，所以一个客观、合理、公平的的量化评价机制，是客户非常需要的。而这就是目前天际友盟在做的数据信誉评级服务。

这个服务同样是基于SIC平台，我们可以帮助与客户，对他本地产生的威胁数据以及安全厂商提供的外接数据，进行量化的信誉评级。

安全牛：具体如何来量化威胁情报源的价值？

谢涛：核心的出发点在于不能相信任何一个数据源，包括用户的本地数据，要对内外情报的可信度进行评价。这需要一系列的加权打分和持续分析机制作为支撑。

在量化评价的初期，各家的数据源会取一个统一的分值作为基础分，比如60，然后再通过交叉验证、用户使用过程中对情报有效性的评价、存活性验证等机制对情报源进行加权打分；同时，还要考虑到用户的白名单和灰名单做数据扩展；这样最后得出的分数，就能在一定程度上代表针对该客户各家数据源的量化差距。而用户也可以基于这套机制，自己调整部分指标，去量化接入数据的可信度，在使用威胁情报数据的过程中不断做出调整。

安全牛：这种服务确实很少见，目前能看到的感觉更多是情报的订阅分发，还有就是对自有安全产品的能力加强。

谢涛：对，从客户需求角度出发，我们认为这也是厂商应该提供给客户的一个能力。

其实目前能看到的威胁情报服务场景无外乎“订阅、平台、增值和增强”这四类。能提供怎样的威胁情报是客户一开始都会问的，但这不是说客户要买你的，而更多的是要通过这点来评判你作为威胁情报厂商的技术实力。这不是用户的最终需求。开源和免费查询的也很多。客户如何判断不同情报源对于自己的价值，数据是否有用，它的可信度有多高，以及落到本地后如何用，这些问题是情报订阅解决不了的。

产品线比较全的大厂商，通过威胁情报技术来增强其自有产品体系的安全能力会更容易些，这也是他们一个非常重要的优势。但情报最突出的能力就是在于它的普适性，即打破壁垒，所以重要的是开放、合作的态度。没有哪家企业可以从始至终把情报捏在自己的手里，流转起来才会有价值。

天际友盟的定位是专业的威胁情报服务，所以不会涉及其它安全产品，但如果客户手里正好没有顺手的工具时，我们也会引入一些好用并且已经和情报服务打通的产品，比如科来的网络流量分析、启明的泰合等。这样客户也会有更多的选择，情报不是给了我们，而是聚合在一起更有效的赋能给客户。

3.钓鱼网站的监控和关停是个有买单能力的需求

安全牛：我们如何把应用转变为商业模式？

谢涛：通过服务，服务的价值是比较大的，因为对于客户来讲服务最直接。

但是，威胁情报服务不能是传统的安服那样大而模糊的概念，而更多的是些需求非常明确，但客户自己很难实现的，比如对网站的监控和关停服务。大型金融机构一般都有对冒名实施诈骗的钓鱼网站进行监控和关停方面的的合规要求。钓鱼网站的服务器大多会部署在国外，所以在监控和关停的过程中，客户最直接的要求就是发现后尽快关停，让他们的服务下线，将诈骗网站对其客户的影响降到最小。

钓鱼网站的生存周期一般是7天左右，但目前的常规手段，从监控到关停可能也需要一周的时间，天际友盟可以在24小时内完成关停，这个服务的价值对客户就可以很直接的体现出来。

安全牛：钓鱼网站的监控和关停，这里边是是如何应用威胁情报的？

谢涛：监控和关停是我们和一些合作伙伴一起在做的“品牌保护”服务的一部分，监控方面，主要是从域名注册、DNS请求等角度进行全网监控，相似的新增域名往往意味着仿冒网站，再通过机器学习等手段，让监控的过程不断自动化和智能化，自行的实现聚类和分类。

威胁情报的技术应用体现在监控方面的更多些，而且客户一般需要多家服务商的数据，但客户更大的痛点实际是在关停。

在实施关停的过程中，经常会出现与国外的网络服务商缺乏沟通渠道的情况，如果提前联系好对应的区域服务商，就会很快。如果你在钓鱼网站已经完成它的使命后再去关停，意义就不大了。

企业客户始终没有办法解决这个问题， 其根本原因，除了技术能力受限外，更多的在于和全球数量众多的网络服务商建立合作渠道，需要耗费巨大的沟通成本，通过第三方服务商来完成是必然。所以我们的思路就是帮这些客户提前趟平这些流程，为企业提供覆盖全球的绿色通道，实现快速的关停以及关停过程中的持续监控。

目前相关的需求还主要集中在银行业，这是一个切实有买单意愿的需求。当然，这也只是威胁情报应用的模式之一，之后我们也会借助威胁情报技术的能力，封装更多标准化的服务，不断去满足更多客户的需求，。

三、RedQueen是奶牛

安全牛：刚才我们提到了烽火台联盟，这个联盟的定位是什么？它和天际友盟又是什么关系？

谢涛：“烽火台”是一个定位于情报交换和技术可行性探讨的联盟，是一个大的情报集合，在这个联盟内部，如果你有一些你认为有价值，但又不知道如何处理或转化的数据，你可以选择在联盟内部共享出来，再通过RedQueen这个平台，用威胁情报的技术和逻辑，去生产和输出情报。

这个联盟里的成员单位是平等的，并不是由天际友盟主导，只是因为天际友盟自身的技术定位，使得他在这个技术联盟中扮演数据汇总、合并和运营RedQueen这个平台的角色。

安全牛：那如何理解RedQueen这个平台的能力？

谢涛：RedQueen是一个云端的查询平台，它本身并不是产品，而更像是烽火台这个联盟共建的关键基础设施，它所能对外提供的服务才是产品。可以这么讲，RedQueen就像一头奶牛，它能生产出牛奶，而牛奶可以给到各家单位，加工成不同的奶制品甚至其他衍生食品。这头奶牛是非卖品，而牛奶和各种衍生品才是商品。

这个技术联盟是第一步，要先在一起把技术可行性和合理性论证清楚，之后才有后面商业合作的基础。

我们始终认为，威胁情报技术最重要的就是开放和合作，天际友盟愿意和更多专注不同技术领域的安全厂商，在情报层面更好的打通，给客户提供更多的应用价值。

四、威胁情报市场仍是蓝海

安全牛：许多全球厂商都说自己有最大的威胁情报库，和中国的本土厂商相比，对于中国的客户而言，到底谁的情报更有效？

谢涛：中国对国内数据的监管是非常严格的，对数据的跨境流动有很强的合规性要求，所以国内厂商的威胁情报更关注从用户的实际需求出发，也更适应行业化和定制化，这对于国内客户是更有价值的。而在这些数据的基础上，结合用户本地的威胁，可以进行更细粒度，更多维度的挖掘，也会更符合国内的使用环境。

对于全球厂商而言，中国只是国家之一，全球视角显然会更大些，他们的数据也会更通用。威胁在全球是有共通性的，而且国外对威胁情报技术在应用和最新的理念接受层面也会更强，同时，也能拿到更多用户的反馈数据。这是非常重要的一个点——用户参与情报的生产，通过共享脱敏的实时威胁数据，而这条路，国内目前还没有完全走通，大量的情报还是需要外界来供给。目前，天际友盟也在和一些全球威胁情报厂商在数据层面有合作。

安全牛：未来国内威胁情报市场所面临的最大挑战什么？要如何克服？

谢涛：威胁情报这个技术领域，它的特殊性就在于，标准走在了技术前面，技术走在了商业前面。这是非常少有的。之前两年，不少厂商都在还没有想好到底要如何将威胁情报落地的情况下，便急忙向用户推概念，用户觉得挺好但又不知道具体要如何用，价值体现在哪里，便会选择等待或观望，商业市场的增长就会慢下来，技术的发展也必然会跟着市场慢下来。但标准的制定又和商业市场的发展是两码事。这个差距，需要有人来弥补。

威胁情报市场是典型的蓝海，蓝海和红海是不同的发展策略，如同所有的蓝海市场，再美好的未来，也是基于预测，而没有历史数据。商业决策需要数据支撑，产品的迭代和研发也都要有迹可循。而要做出更正确的决策，所需要的分析数据，只能从客户那里得来。所以关注客户的需求是非常有价值的。蓝海阶段有蓝海的市场战略，现在我们应该直面商业问卷，去解决技术落地、用户买单的问题。

情报的生产需要商业市场的支撑，我们现在要做的，就是把技术和用户的商业价值尽量捏合在一起，不是技术引导商业，而是要让商业价值和技术共同发展。所以，我们认为优先要做的是解决用户的实际需求，让用户看到价值后愿意买单，在这之后，再把重点转到自动化，转到提高情报的生产效率和丰富度，这才是一个好的逻辑。

威胁情报的核心从来都不是竞争，而是帮助客户创造更多价值，让客户有更多的购买需求。客观来讲，目前已经有大量的客户为多家的威胁情报和服务买单。未来，我们认为专注威胁情报这一领域的厂商间会更开放，会有更多的合作，这也是威胁情报技术的本质——“更易分享”所决定的。通过过去几年的努力，威胁情报目前已经到了一个快速增长的阶段，未来还会有更多的商业模式涌现出来。我们可以拭目以待！