2022年中国网络安全行业《威胁情报产品及服务购买决策参考》发布

2022年10月21日作者：GoUpSec

前言

威胁情报驱动的主动安全防御

人工智能自动驾驶正面临一个难以突破的技术天花板——像优秀人类司机一样“预防性驾驶”；同理，任何企业都需要持续建设和发展自己的基于情报的主动防御能力。

不久前，特斯拉创始人马斯克在被乌克兰某组织列入暗杀名单十天后才从社交媒体上获悉此事。这表明，由于缺乏完善的威胁情报能力，即便是特斯拉这样的产业巨头，对企业关键资产和人员的保护也存在致命盲区。

如果将企业的威胁防御体系比作导弹防御系统，可大致划分为初段拦截（威胁预测与预防）、中段拦截（威胁追踪与分析）和末段拦截（检测与响应）三个阶段，每个阶段都高度依赖战场态势感知和威胁情报能力，每个阶段的失能，都将意味着惨烈的溃败。

过去几年，网络安全业界向企业安全管理者灌输这样一个理念：威胁是无法完全预防的，企业需要将注意力和预算集中在被动防御阶段——末段拦截（检测和响应）上。该观点深刻影响了包括威胁情报在内的全球网络安全市场的格局和路径，企业CISO们也纷纷将MTTD/MTTR之类的与事件响应效率有关的指标作为关键业绩指标。

但现实是残酷的，报告显示，由于企业数字化转型和远程劳动力导致攻击面不断增长，以及网络安全威胁的多样化和复杂化，很多企业已经掉入“末段拦截投资陷阱”。大量的安全投资和工具堆积并未换来MTTD等关键指标的实质性改善，安全运营人员反而掉入了警报疲劳的苦海，这主要归咎于主动防御能力建设的滞后。

而威胁情报能力，正是企业主动安全防御能力的最大短板之一。根据Cybersixgill上半年对全球150名大型企业的CISO的调查，三分之一的大型企业CISO认为威胁情报是最大盲区，其次是漏洞管理。超过90%的CISO依赖过时的、基于报告的威胁情报，这些情报通常太滞后而无法为决策提供有效支撑信息。

今天，大型企业纷纷开始建设“边管云端”的一体化防御战线，而威胁情报能力，是决定该体系效能的“天花板”，重要性不言而喻。威胁情报能够加强对未知威胁的发现和防护能力，缩短检测和响应周期、提升企业安全分析水平。但威胁情报自身的发展和企业实践也暴露出诸多问题，例如误报和产品集成度仍然困扰着企业用户。

如何选择第三方商业威胁情报服务

在持续建设和提升威胁情报能力的过程中，企业需要从大量信息源获取威胁情报信息，例如内部网络和端点安全设备日志数据、SIEM数据、网络流量分析、开源和行业公共威胁情报、漏洞数据、（专业）供应商的商业威胁情报等等。其中，企业内生威胁情报数据的收集和处理能力是事件响应能力的关键因素，而包括商业威胁情报在内的外部情报，则对建设和提升主动防御能力有着重要意义。

但是，市场上太多功能交叠的网络安全方案已经让行业用户感到困惑，威胁情报也正面临类似的问题。

网络安全主管们面临的最大挑战之一就是从各种威胁情报产品和服务中选择有效组合来防止数据泄露。而且随着威胁情报市场的不断升温和整合，威胁情报产品的分化和外延，数据的结构和格式都在快速变化，导致选型的难度进一步加大。

对于商业威胁情报产品服务与合作伙伴，企业选型有几个重要原则和基准：

1.重质不重量（宁缺毋滥）

2.可拓展威胁情报服务（例如外部攻击面管理、数字风险保护和安全评级服务）

3.可与安全产品联动，与SIEM/SOAR平台集成，实现整体威胁预防和自动化处置闭环

4.使用内置大数据平台缩短威胁搜寻活动所需的时间和精力

5.整合暗网情报，服务对象扩展到业务部门和管理层

6.对自身数字资产风险的可见性

7.面向基于机器学习的威胁情报系统（降低误报和延迟）

8.提供（经过认证的）专家服务

9.遵循标准化与开放生态