新基建”是近期社会最为关注的话题，它包括了以5G、工业互联网、物联网、车联网、人工智能、云计算等科技领域的国家数字化基础设施建设，对信息化安全保障的需求进一步加大，这不仅是网络安全产业的机遇，更是对网络安全技术、产品、方案的创新提出了新的挑战。

就新技术而言，威胁情报无疑是近年来网络安全一个炙手可热的领域，连续几年的RSA大会，威胁情报都位于热词榜之列。随着移动互联网发展起来的威胁情报，已经在很多行业得到广泛应用，SOC、流量检测、态势感知，甚至DNS防护都能和威胁情报紧密结合。威胁情报为这些传统的安全产品赋能，让它们变得更加精准和主动。

全面转向ToB的腾讯，在威胁情报方面也开始输出自己的能力。腾讯御见威胁情报中心，是一个涵盖全球多维数据的情报分析、威胁预警分析平台。作为腾讯威胁情报团队的安全专家，谭昱向记者介绍了威胁情报的核心原理、应用价值，以及腾讯在威胁情报领域的优势所在。

为什么需要威胁情报？

互联网新技术新应用的发展，使得新的安全隐患不断产生。一方面，企业缺乏专业的安全技术人员，另一方面，在网络边界日益模糊的今天，各种传统的安全防御设施已经显得越来越被动，尤其是安全风险的快速变化，使得企业的防御体系基本上滞后于新型攻击的演变。

面对以上问题，谭昱表示，多变的安全风险无法只依靠安全人员的人力来应对，很多企业被海量的无效安全告警所淹没，运营人员疲于奔命，难以发现真正有威胁的问题；同时企业的安全体系日益庞杂，告警方式也不统一，安全人员难以把握整体的安全态势。对企业来说，威胁情报是专门为安全体系量身打造的一套工具，让企业可以及时发现高风险，及时响应，查缺补漏。威胁情报的应用，就是通过对敌方的最新情报，及其动机、企图和方法进行收集、分析和传播，帮助各个层面的安全和业务成员保护企业关键资产。

谭昱表示，通过威胁情报，专业的安全人员可以实现以下积极的防御效果：

——采取积极地措施，而不是只能采取被动地措施，可以建立计划来打击当前和未来的威胁；

——形成并组织一个安全预警机制，在攻击到达前就已经知晓；

——帮助提供更完善的安全事件响应方案；

——使用网络情报源来得到安全技术的最新进展，以阻止新出现的威胁；

——对相关的危险进行调查，拥有更好的风险投资和收益分析；

——寻找恶意IP地址、域名/网站、恶意软件hash值、受害领域。

在产业互联网时代，尤其是“新基建”所带来的数字化基建浪潮，威胁情报将在企业数字化转型的安全保障中发挥着越来越重要的作用。

有了威胁情报，如何用好更为关键。

Gartner的《全球威胁情报市场指南》提出了威胁情报的五个维度：覆盖度、准确度、可执行性、可扩展性和专业化程度。谭昱认为，其中有两个关键点很重要：除了准确性和覆盖度外，威胁情报的关联信息要明晰，例如威胁情报对应的病毒团伙的组织名称，活跃时间，基础设备，主要攻击方向等。其次，威胁情报的具体应用场景，是与WAF相结合，还是零信任体系、数据安全等场景。

威胁情报本质上是一种数据知识，单独使用价值并不明显，需要和传统的安全防护体系结合起来才有价值，起到“画龙点睛”的作用。对此，谭昱做了一个比喻：如果把企业看成一个城堡，传统的安全防护体系就是拱卫城堡的城墙，是一个被动的防御体系，而威胁情报就是卫兵，他们与城墙相结合，才能发挥出防御体系的最大价值，做到全方位的防护。

显然，威胁情报是企业可信任的风险依据，可以让企业据此做出及时正确的决策。从更高的维度来看，威胁情报不仅能解决具体问题，还能帮企业制定整体安全策略是给予指导。

谭昱表示，威胁情报的作用有三方面。首先是最基础的部分，威胁情报将防御体系所需要检测的信息，例如域名、IP信息等，提供给防火墙、WAF等安全产品，直接起到拦截和防护的作用。

其次，针对企业内部已经发现的威胁，可以借助威胁情报，利用分析系统进行溯源和分析，找到攻击者所属的组织，攻击的入侵路径和方法，以及最终的影响，将分析结果提供给企业安全运营团队来进行评估和决策，及时调整防护策略，让整体防御体系更加安全。

最后，战略级的威胁情报，可以帮助企业对当前的安全态势进行分析：目前存在哪些安全隐患，未来可能会发生哪些安全风险，通过这些信息，来指引企业的整体安全规划和决策。

近年来，生产和消费威胁情报的组织都在逐年增加，腾讯安全选择在此时对外输出威胁情报能力，显然对此有着充分的准备和信心。

谭昱表示，依托于腾讯威胁情报生产团队的快速收集和响应，企业用户可以通过升级或者云端的方式同步获取最新的威胁情报，大幅提高企业用户对安全威胁的响应速度，提高攻击者的攻击难度，从而保护企业的数据安全、核心资产安全、办公环境安全等。

一个有效、及时的威胁情报的产生并不简单。谭昱介绍，这里存在三大难点：要有充足的、海量的数据，要有强大的数据处理能力，还必须要有一个了解整个安全行业的专业团队。而腾讯通过长期运营，已经有了成熟的数据收集系统，在严格的隐私保护协议下，每天可以收集到2万亿以上的系统日志数据，所有数据进行脱敏处理后，通过腾讯的安全大脑大数据处理平台将数据快速处理，最后通过有丰富经验的运营团队，将其转化为有价值的威胁情报，输出给用户。
谭昱强调，威胁情报不仅要保证准确性和时效性，还要保证其可用性。在情报生产过程中，运营团队就会对情报进行深入分析，提供如攻击方向、威胁等级、所属团队等更多信息，帮助用户确定情报在自身安全体系中的适用场景。同时，腾讯御见威胁情报中心还会帮助用户进行一个持续的跟踪和产品的交付，保证用户在使用过程中符合开始设定的预期目标，根据反馈的问题实时帮助用户做调整和部署，从而让威胁情报的价值真正地发挥，达到应有的效果。

作为一种弥补攻防信息不对称的安全新技术，威胁情报在企业安全体系中的权重正在不断上升。当然，我们不能把威胁情报看成能解决所有安全风险的“银弹”技术，但结合具体应用场景，灵活运用好威胁情报的特性，其对传统安全产品的赋能，以及对用户现有安全防御体系的提升，在当下还是其他技术无法比拟的。

来源：中国信息安全