*本文原创作者：桃之夭夭，本文属FreeBuf原创奖励计划，未经许可禁止转载

引言

今年五月，全国信息安全标准化技术委员会按照GB/T 1.1-2009规则起草的国家标准《信息安全技术网络安全威胁信息表达模型》开始进入征求意见阶段，北京启明星辰信息安全技术有限公司应邀成为模型起草单位。此项标准的制定意味着网络安全威胁情报将打破现有环境束缚，走向有国家标准的正轨，形成适合威胁情报发展的最佳秩序。

打破先手优势的超人——威胁情报

棋盘上的黑白子之争，先手自带优势，后手难免受掣肘，安全攻防之战也是如此。不法攻击方不单可以在暗中观察、旁敲侧击，更有突发先手进攻的优势，防守方事前无法察觉，唯有在事中、事后才能对进攻行为进行阻拦、修护，也正是因为长期的被动阻止让防守方开始将安全防守的角度放在了事前阶段。

四年前，也就是2013年，一个叫做“威胁情报”的技术在国内信息安全行业崭露头角，近两年威胁情报开始大火，但如何快速理解威胁情报是什么，先给大家举个形象的例子：

我们假设路人将从A点走向C点，而劫匪在B点提前准备抢劫。

这样就会发生两种情况：

第一种，路人毫无防备的在B点被劫匪抢劫走钱物，造成不可避免的损失。

第二种，有预知能力的“超人”在A点的时候提前告知路人，在他走到B点时，会被劫匪用刀具威胁等方式抢劫，路人可选择其他道路等合理的应对方式避免损失。

这第二种情况中提到的“预知能力的超人”就是——威胁情报

而威胁情报的种类很多，钓鱼网站情报、僵尸网络情报、C&C远程控制服务器情报等等数不胜数。

听说威胁情报被误解了

然而想要理解威胁情报，要从消除误解开始。

【漏洞情报是威胁情报的一种】——这句话揭示了大多数人对威胁情报的一个误区，那么正确的理解是什么呢？

1、漏洞情报与威胁情报是平行关系，两者不存在从属关系，两者都属于安全情报。而安全情报包括安全威胁情报、安全漏洞情报、安全事件情报、资产情报等多个类型的情报。安全情报可以帮助企业和组织快速了解到敌对方对自己的威胁信息，从而帮助他们提前做好威胁防范、更快速地进行攻击检测与响应、更高效地进行事后攻击溯源。

2、那威胁情报和漏洞情报又有什么不一样呢？笔者非常认同启明星辰泰合产品部SOC产品总监叶蓬说法，企业敏感信息历来是一块“黑白”必争之地，守方需处于常年的警戒状态中，然而想要在这场持久战中保持上风，还是要熟知你我的优缺点的，就如同《孙子 谋攻篇》提到的知己知彼者，方能百战不殆。漏洞情报是知己，是一个了解内部情况、排查内部问题的过程；而威胁情报是知彼，为企业提供对方可能的攻击地址、方法等手段，提前帮助企业做好威胁防范。

威胁情报的出现

消除了对威胁情报的误解后，我们来看看威胁情报在国内的情况。

古希腊哲学家赫拉克利特曾说过——“世界上唯一不变的就是变化。”网络安全的战场上敌暗我明，对手的攻击手段一直在变换、升级，而企业在防御过程中因为没有前瞻性，一直处于太过被动的状态。如何从突发的出现问题到应急解决问题，改变为预见问题从而提前防范成了重点行业的迫切需求之一，这个时候一个叫做“威胁情报”的词就出现在了众人眼前。

关于威胁情报当初是怎么出现在国内的，有人说是来自民间力量的推动，有人说是大环境的需求，但实际上不论是哪一种，都离不开历史发展的必然性。命运先推动了一群人进步，这群人又推动了历史的发展，烽火台安全威胁情报联盟的创始人金湘宇（江湖人称：NUKE）就是先被推动的这群人中的一位。

2013年，金湘宇在寻找网络安全发展方向时，将目光转向了行业发展相对比较成熟的国外，在研究大数据安全、云安全、物联网安全等安全新领域研究时，一个叫做“威胁情报（Threat intelligence）”的概念走入了他的视线。正所谓英雄所见略同，在与当时国内的安全圈同行交流中，金湘宇发现他并不是唯一关注研究威胁情报的人，也发现国外安全政府和产业早已对相关领域进行了探索和实践。

威胁情报在美国

2001年美国9 11恐怖袭击事件的发生震惊了全世界，也让美国政府认识到保护国家安全、公民安全要依靠前沿的信息技术分析能力，2009年美国网络政策评估报告《确保信息通信基础设施的安全性和恢复力》提出建立有效的信息共享和事故响应机制,要求联邦政府、州政府、地方政府应与业界合作，预先改进现有计划并加强现有资源，以有效检测、预防及应对重大网络安全事故。

其后，美国政府于2011年发布了《国土安全网络和物理基础设施保护法案》，2013年发布了白宫行政命令EO-13636《提升关键基础设施的网络安全》，2013年美国第21号总统令PDD-21《关键基础设施的安全性和恢复力》，2015年《网络安全情报分享法案》等不断提出信息共享和威胁情报要求。美国安全产业产业也逐步的在产品中直接或间接的添加了威胁情报的属性，形成了威胁情报相关的系列标准，并在其国家级安全防护系统，如爱因斯坦中逐步开始了对威胁情报技术的应用。

可以说在美国，威胁情报的推行是自上而下的，从国家政府内部开始建立的完整威胁情报体系到抓住先机的网络安全公司，已经形成了较为成熟、完整的威胁情报产业链。其中像FireEye、SecureWorks、CrowdStrike、Lancope、Lookingglass这样的主营威胁情报的公司已经得到了政府、金融、能源、电信等行业广泛的认可，同时也意味着现有网络安全防御手段即将改变。

所以，美国威胁情报的成长之路=政治推动- -技术成熟- -产品落地- -企业认可

威胁情报在中国

如果说9 11恐怖袭击事件是美国决定推行威胁情报的重要原因之一，那么《中华人民共和国网络安全法》就是中国推行威胁情报的重要原因。

合作中有它的身影——“国家支持网络运营者之间在网络安全信息收集、分析、通报和应急处置等方面进行合作，提高网络运营者的安全保障能力。有关行业组织建立健全本行业的网络安全保护规范和协作机制，加强对网络安全风险的分析评估，定期向会员进行风险警示，支持、协助会员应对网络安全风险。”网络安全法第二十九条对信息收集、合作与建立相关行业标准和和协作机制做出了积极的指导意见。

监测预警与应急处置又见它来——网络安全法第五章监测预警与应急处置中的第五十一条至第五十四条，明确体现出了国家信息安全战略中对信息共享与态势感知的重视。从国家建立网络安全监测预警和信息通报制度，加强网络安全信息收集、分析和通报工作，按照规定统一发布网络安全监测预警信息，到关键信息基础设施安全保护的部门建立网络安全监测预警信息通报制度，再到要求省级以上人民政府及时收集、报告有关信息，加强对网络安全风险的监测，这一系列政策强有力的推动了威胁情报中最重要的部分——本源数据的共享。

最终到网络安全产品中去——网络安全法第三十一条中提到“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。”目前网络安全法中提到的重要行业已经开始部署全面的网络安全产品，而大型安全厂商从2015年就开始对在安全产品中应用威胁情报技术进行了积极的探索。

所以，中国威胁情报的成长之路=技术成熟- -政治推动- -产品落地- -企业认可

*本文原创作者：桃之夭夭，本文属FreeBuf原创奖励计划，未经许可禁止转载