安全从来不是一成不变，但当我们听惯了各种“下一代安全”时，难道就真的觉得“老三样”不行了？事实上，防火墙、入侵检测、防病毒这些老三样们仍然占据着安全市场的出货量主力。所以，市场一次又一次的告诉我们，它们依然有价值！

只不过，它们在变。

如果把这些安全设备、软件比喻为手和脚的话，那么变的是什么，是不是缺少点什么？对的，“大脑”！在360网神看来，安全产品该由规则驱动转向威胁情报驱动，进而来说，数据则是安全的大脑，有了它才能让手和脚更聪明、灵活。

威胁情报驱动如何让安全“手脚脑并用”

过去基于签名与特征码来进行检测与拦截的防御体系不足以应对复杂多变的安全态势，已经成为共识。如果回想下我们看过的很多古装片中的场景，当把守城门的衙役拿着“罪犯”画像欲对其进城实施逮捕时，很多时候无济于事，因为他们检查的对象往往进行了乔装打扮。

回到现实网络安全环境中也一样，很多时候黑客把恶意样本投递到企业的内网中去，现在的防御体系大多对这个文件落地的一刻进行拦截和检测，但这种检测能力非常有限，因为恶意样本也会“乔装打扮”。对这时的防御体系来说，能检测得到就检测，检测不到就算了。

以上可以看作它们是以规则驱动的安全产品，显然这个防御等级并不高，并且看起来也有点“傻”。这时，安全要做的是什么？即使入网的那一瞬间没拦住，也要对它密切监控。

如果说过去完全依赖于规则下发进行的响应已经力不从心，那么未来的安全靠什么？

360网神的答案是“威胁情报”。

360网神近日发布了基于大数据安全分析和威胁情报的新一代安全产品，360企业安全集团总裁吴云坤表示，“360凭借多年积累的安全大数据，对最新威胁方式进行追踪，形成了持续更新的威胁情报，并将威胁情报应用于安全产品中，开发出了一系列威胁情报驱动的新一代安全产品。”

360网神把威胁情报能力赋予了三大产品，包括新一代威胁感知系统（360天眼）、新一代终端安全系统（360天擎）和新一代智慧防火墙（360天堤）。注意，无论是天眼、天擎还是天堤，他们并不是横空出世的新产品，而是被赋予了大数据和威胁情报的“芯”。

威胁情报如何发挥作用？吴云坤举例，某金融机构智能打印机被黑，威胁情报会告诉你这个木马带来的攻击链条是什么，它的响应动作不是在智能终端上把这个木马杀掉就结束了，而是要看和它相连的其他主要业务系统有没有感染。并且，它也有可能因中招的木马不一样做出不一样的响应动作。“有的是保存现场进行调查、有的是要杀掉这个木马、还有可能停止另外一个进程。”

有没有发现，威胁情报驱动的安全产品之间是联动的，也就是说在处理一个攻击行为时安全防御体系是展开协作的，它们协作的基础是数据和情报，情报可能希望先做一个终端的保护、再做一个防火墙的策略、再回到大数据中心进行分析检测、或者做其他下一步的动作，应对攻击安全产品之间不再是孤立的。

所以，设备+情报，一个手脚脑并用的的安全体系真正发挥作用了。

如何获取威胁情报并实现自动化响应

既然情报这么重要，如何获取情报并让它发挥价值也是考验安全提供商的重要能力。吴云坤强调，这要考验大数据采集能力，很多企业在做规划过程中都提到一个问题，要把数据留存。这种留存不是过去的告警留存，事实上过去的IDS、防火墙、反病毒全是流程的告警数据，这显然不够，而是需要全量数据的采集和存储能力。情报要发挥作用，要留存的包括终端、网络、甚至是资产等原始数据，甚至到业务级的。

如果要衡量威胁情报驱动的安全防御体系是否发挥最大价值，要依赖两个条件，一是数据能不能收下来、二是情报的响应能不能由设备完成。

吴云坤指出，360网神推出由规则驱动转向威胁情报驱动的新一代安全产品解决了三件事情：

第一解决了高级威胁的检测与响应问题，所有的终端产品、防火墙支持全量数据采集，不仅仅是告警、还采集各类的行为，包括网络方面的流量、快照、日志等。

第二能够基于威胁情报做出自动化响应，如果说用1元钱衡量情报，那么10元钱是检测、100甚至1000元则是做响应。所以后面的事情更重要，360描绘的威胁情报驱动的新一代安全产品前面强调的是威胁情报、后面则是安全基础设施，安全基础实施以情报驱动，少一个都不行。为了基于威胁情报做出自动化响应，360已经完成对底下很多基础设施包括防火墙、防病毒的改造。

三是为后续的各类安全数据的分析和挖掘提供数据基础，甚至是非安全的事情。

“今天360的防病毒、防火墙和天眼的大数据运营系统形成了威胁感知的业务闭环，未来无论是我们的无线安全、移动安全，包括云安全等所有的产品概念都会这样：数据要采回来、和情报进行结合、结合之后做响应。” 吴云坤说。

据介绍，360的威胁情报来自三个方面：一是360自己的全球海量数据挖掘生成的威胁情报；二是通过交换方式或购买的商业威胁情报；三是内部威胁情报，也就是用户自己产生的情报。

细致入微的数据分析能力

通过对传统安全产品的改造，360网神把防火墙、防病毒等变成了触感丰富的“皮肤”，反馈了丰富的数据，再加上基于大数据的威胁感知系统，360反过来把安全基础设施变成了可以被驱动的手和脚。的确，360网神构建了一个闭环、灵活和智能的安全防御框架。

但不得不说，威胁情报驱动是一种分析技术，360是否又做的细致入微呢？

吴云坤把数据分析技术分为两类，一是用“显微镜”看一个单点数据，比如一个样本、一个URL、一个DNS、一个行为、一个流量等，二是用“天文望远镜”看数据与数据之间的关联关系。

过去，所有的人都在研究第一类数据，把它看细，但数据大了之后更重要的是彼此之间的关联。以美国反恐为例，过去是把电话解密，要看细、研究的越透越好。现在不是，它看谁之间打过电话、研究人之间的关联关系，最后定位出谁是恐怖份子，而不是花大量成本解密通话内容。所以，研究数据之间的关联关系可以找到很多异常。

做安全的公司都知道机器学习，但对于很多传统安全公司来说，根本没有做机器学习或刚开始起步。为什么？因为对于他们来说，不缺攻防专家，但没有数据科学家。

360不同，吴云坤说，360是一家互联网公司，数据科学家在做互联网业务时已经有了，包括起初做QVM引擎搞搜索的人。对于数据分析和机器学习，360有天然的基因。数据从存储、分析、挖掘到得到情报的过程，360有领先的技术能力，例如5000亿/秒的查询次数，很多跟安全无关跟大数据技术积累有关，但反过来又作用于安全。

所以，有了支撑威胁情报分析的大数据技术，加上以威胁情报驱动的安全基础设施，360网神为“老三样”赋予了思考的能力。