端午节前夕，360网神在京发布三款新一代威胁情报产品，天眼、天擎和天堤。

360网神总裁吴云坤向媒体介绍，这三款产品均实现了由“规则驱动”向“威胁驱动”的转变，是国内首个基于大数据安全分析和威胁情报的新一代安全产品闭环体系。

下面是牛君在发布会上记录整理的主要内容：

一、威胁情报的应用必须有安全基础设施的支撑

大数据的采集能力。很多企业在做“十三五”规划过程中都提到要把数据留存的问题，但不是过去的IDS/IPS、防火墙、反病毒等的告警数据，而是终端级、网络级，甚至是资产和业务级的原数据。

全量数据的采集和存储能力。来自于外部的威胁情报，如果内部没有数据的话，是无法做情报关联的。因此，情报要发挥作用必须具备一个基础的能力，即所谓的全量数据的采集和存储的能力，它的实质技术背景是大数据分析。

基于威胁情报做检测和响应。过去的响应都是人工来完成，比如补漏洞，应对攻击等。但现在是基于威胁情报来做响应，它可以实现自动化处理。所有接受情报的设备，都能由情报驱动来自动化或半自动化的完成响应。

不再基于漏洞做响应，而是基于情报来做，这是威胁情报应用的一个关键点。

二、新一代威胁情报产品要解决的三件事情

一是解决高级威胁的检测与响应问题。360推出的网关类产品支持全量数据采集，而不仅仅是告警。

二是基于威胁情报做出自动化响应。未来无论是无线安全、移动安全还是云安全，数据都要采集回来，和情报进行结合之后做响应，形成闭环。这些都需要跟大数据的结合，因此对于基础设施的改造非常重要。只要传统的设备能够支持威胁情报即可，所以能够极大的降低用户投入。

“威胁情报不是要颠覆传统的网络安全市场，它的真正意义在于升级和改造传统的安全基础设施。”

三是数据留下来以后可以做更多的事情，甚至包括非安全的事情，比如做挖掘、分析等。因为，客户有很多这方面的需求。以前基于告警的模式只能做SOC，无法做业务安全。而且过去做SOC很痛苦，因为全是告警数据。

“数据资产贵在哪里？不是存储，而是采集。”

三、360的威胁情报来源和应用指向

一是来自于360的各种终端在全球采集到的海量数据，二是外部开源情报源约100+，三是购买的商业情报源10+，四是几家协作交换性的，如美国、新西兰、还有澳大利亚和英国等国家。

情报收集和分析过程中最关键的是情报质量，开源情报就有很多假的，或者说错的和失效的情报。它的难点在于威胁情报的生产能力，把这么多来源的数据进行清洗和分类。如属于反欺诈的情报，属于APT情报等，形成不同指向，以满足不同用户的需要。

360服务的对象是不同行业分布的客户，如公安或金融，就主要是反诈骗情报，而APT情报则较多与国家安全相关。反过来说，360的业务决定着它的情报指向性，如果不服务于某种类型的行业客户，我就不提供相关类型的情报。相比之下，BAT更多的是保护自己的情报，防止黑客对自身的攻击，这种叫做自服务的威胁情报。

“我们经常说BAT3都有情报能力，但这种情报能力是有差异的，这种差异不是能力的差异，而是服务对象的差异。”

四、如何对传统设备进行升级改造

威胁情报首先要能采数据，然后才谈到上消费或应用。所以，对于传统安全设备，能用就用现在的，不行的话再升级改造，再不行的话才会购置新的。

原来的防火墙是有作用的，是不能淘汰的，防病毒也一样。为什么？它们阻挡住了60-70%的普通攻击。但是要用好现在的技术，必须用新的思想来用好这些传统设备。

比如，对防火墙的升级改造。虽然它还叫防火墙，但它的能力发生了本质的区别，它的驱动力发生了变化。对于用户来说，总希望用最便宜的成本拥有这样的能力，所以，升级改造确实是主要的一个模式。

但不是所有的设备都能这样做，比如关键服务器，再比如关键的流量口，最好不用传统产品来做，因为性能压力非常大，需要独立的采集设备来做。而其他的终端、防火墙只要进行系统升级把数据采集下来就可以了。数据收集起来以后，绝不仅限于给安全使用，也可用于其他的部门，因此投入成本是分摊的。

威胁情报并不意味着多花钱，有时候还会省钱，让传统的安全设备用得更好，形成安全事件的响应链。

其实对用户来说，最重要的还是数据采集之后的应用价值，这是与应用开发、数据类型的不同而不同的。比如某个行业想做APT发现，在数据上直接接入新设备是单独计费的。但如果在这个行业里做一个上网行为违规问题发现程序，就无需硬件投资了。

用户以前上了防火墙就只是个防火墙，现在不然，防火墙还要把发现的数据采集回来。在这种模式下，许多应用开发商都可以围绕这些数据做事情，客户完全可以找其他的外包商。“360从来不反对这样做，360只做自己最具优势的事情，那就是安全。”