当前的恶意威胁攻击成本很低，有时所需要花费的时间仅仅是几分钟而已。但对于防守者却需要几个月甚至几年的时间才能发现恶意攻击，修复所需要花费的时间就更为漫长了。

《The 2015Data Breach Investigations Report》安全调查报告显示，超过75%的黑客能够在一天内攻破企业网络，但仅有不到20%的企业用户能够在一天内发现所遭遇的恶意攻击。在时间上，防守方处于明显的劣势。另外，恶意攻击者所使用的IP是防守者辨识攻击的特征之一，但这类恶意IP的存活时间越来越短，绝大部分已经少于1天，这意味着仅靠IP地址对恶意攻击进行辨识愈加困难。

如今的安全威胁在愈发复杂，攻防时间严重失衡，而用于安全防御的资源依然短缺，所以需要利用更少的资源更快地解决更严重的恶意威胁。

英特尔安全事业部北亚区售前技术总监郑林认为，当前许多安全防护措施都属于“孤立的战斗”，例如Web安全网关、IPS、端点安全软件等虽然能够挡住来自外界的攻击，但却无法实现安全情报的共享。恶意攻击者在这里碰了头，还可以去其他地方找寻漏洞。“现在的安全防御需要大幅度提高攻击成本，让恶意攻击者需要花费的时间、资源剧增。”

　　安全更需知己知彼

“入侵杀伤链”，这是洛克希德马丁公司的安全研究人员所发布的一个安全方法论。恶意攻击者需要“外围探测、构造攻击、交付攻击、漏洞利用、安装后门、远程控制、采取行动”这7个入侵步骤。安全防御者可以针对这7个环节进行安全检测，及时发现安全情报，在安全防御体系里实时共享，帮助各条安全防线升级更新知识库，形成协同防御。

有鉴于此，英特尔安全事业部提出了“数据交换层(DXL) ”的概念，数据交换层犹如人身体里的脊柱，将安全情报迅速传递给“手、腿、脚”等安全防护产品。基于DXL所构造的协作性通信架构生态，快速、轻量级、流程化，能够实现统一的安全可视化，降低企业的TCO。

威胁防御的三大生命周期环节分别是保护、检测、修复，“保护”是要阻止流行的攻击，还要防护从未出现过的攻击技术和方法。“检测”是要采用高级智能和分析器探测复杂、隐蔽的威胁。而在“修复”方面，会通过分类和优先级别划分实现高效率的事件响应和调查分析。此时安全情报的作用就是让整个安全防御体系自适应的运转起来。

设想这样一个场景：用户要下载某个文件，但安全防御系统发现这个文件很可疑，那么就会把这个文件放入沙箱中运行，从其行为、代码分析这个文件是否存在威胁，并在整个安全防御体系分享该安全情报，形成安全情报驱动的安全互联架构。

作为英特尔安全事业部一部分的迈克菲一直在推动的安全互联生态系统，就是要做到无论厂商和底层架构，各个安全部件都可以集成在一起形成统一的互联系统。“未来的3-5年，开放、合作将是主流趋势。”

持续进化的安全互联

迈克菲的安全互联发展经历了四个阶段，第一代的安全互联围绕在EPO的周围，AV、FW、HIPS、SA等安全产品集中起来，通过EPO进行统一的安全防御；第二代的安全互联是不同技术、不同产品之间的互联，网络层的设备与主机层的安全设备之间可以进行联动防御，能够及时发现潜藏的安全漏洞；第三代的安全互联主要指全球威胁情报系统，能够将最新全球安全情报同步到终端安全、防火墙、SIEM等安全设备里；而第四代的安全互联是将用户已经部署到本地的安全设备连接起来，并集成更多其他第三方的安全产品和威胁情报。

与传统的分离式架构相比较，安全互联架构平均响应时间减少到了7分钟以下，大幅降低了安全成本，减少了85%需要人工参与的步骤，有效帮助企业优化资源到更重要的任务中，IOC处理能力增到35倍。安全情报的充分利用使得企业对于未来的安全防御更具信心。

出于尽可能降低对用户既有安全架构影响的考虑，迈克菲最新的安全互联属于轻量级架构，用户能够很简单的接入。另外，DXL属于一种通讯架构，主要目的是完成安全情报的传递。所以在安全互联架构里的安全设备既可以发布最新安全情报，也可以仅仅是被动订阅接收最新的安全情报，而实现安全情报订阅的功能相对比较简单。