“威胁情报能预测哪里要发起攻击？说这话的一定是骗子！”

有一个不幸的消息。

小王在某公司安全运营部上班，因为想钱少、事多、离家远，最近他想离职了。

换工作本身并没有什么不幸，但可怕的是，他的小秘密被老板发现了……

悲剧是这样发生的——

小绿：张主任，您好，今天公布了一个Web应用漏洞，编号是CVE-2017-XXX，如果被利用，将会被远程执行任意代码，后果非常严重。您公司的安全运维接口人王工已经在今天早晨7点55分，漏洞公布后的5分钟内，收到了我们的安全通告邮件和短信。我们有下列安全建议和配置：blablabla……

张主任：我让小王立刻进行配置。

小绿：最近王工是不是有什么心事？或者想离职？

张主任：啊，你怎么知道？他刚刚提出离职。

小绿：云端情报显示，他和以前不太一样，以前新设备入网，规则配置的相当及时，基本在一小时内完成；最近3天，都需要一天才完成，我们每隔一小时会发送短信提醒。另外，他从文档服务器上下载了大量密级很高的文件，并发给一个他不常用的邮箱。

张主任：……

不过，这并不是一个真实的故事，但这是一个未来可能发生的故事。如果是一个真实的故事，小王可能会因为涉嫌盗窃公司机密被警察蜀黍带走……

2017年初，绿盟科技副总裁周凯去了趟美国RSA大会，今年这个大会有3万人参加、600多个参展商搞起来代表安全商业走势的盛大会议上，和威胁情报相关的参展商就有151个。

这说明了什么？安全厂商都觉得威胁情报是门大生意啊！于是，周凯在 3月28日 RSA 热点研讨会上讲述了小王的故事。

雷锋网宅客频道编辑小李以为，坐下来一聊，周凯就要来一波威胁情报的安（guang）利（gao）。结果，他从头到尾强调了五次“威胁情报不能预测接下来要发生的攻击”，并摆出了拒绝的样子：

“谁要是和你说，威胁情报能百分百预测接下来哪里要发起攻击，他们一定是骗子！”

那……它有什么用？为什么各大厂商一副动手抢江山的架势？

 2017RSA抢这块蛋糕是怎么回事

信息安全业界面对着纷繁复杂的形势，越来越意识到：仅仅防御是不够的，更加需要持续地检测与响应。而要做到更有效的检测与更快速的响应，要做到这一点，得拿到至关重要的威胁情报！

比如，两军交战，总要有人刺探军情对不对？所以，各大厂商当然要抢占这个蛋糕！

但是，安全领域的威胁情报比较坑爹：又不是时时能派人卧底攻击者内部！（虽然可能有，但绝对不是大多数，你以为人人都能无间道？）

于是，大家就使出浑身解数来搜集各类信息，甚至，可能仅仅看到蛛丝马迹，200块拼图只拿到其中的几十块，在强大的分析之下，有一定几率知道敌人可能瞄上了你的哪块肥肉，从而提醒你做出准备和响应。

说白了，威胁情报就是揭露一个企业、组织，乃至一个国家网络资产的脆弱面，它也有可能在某一段特殊时间内发现你可能会遭到某种类型的攻击。

比如，小明家失火了，你家也跟小明家一样有类似的安全隐患，最近天干物燥，它能指点你哪哪不对，要消除火灾隐患。

据周凯介绍，现在，威胁情报主要承担这些方面的重任：

• 情报查询：告诉大家世界发生了什么

• 威胁监测：童鞋，你家设备暴露在公网上了你知道吗？ 你这些资产（IP/域名/URL）的信誉怎么样？来来来，我告诉你。

• 情报机读：不光要告诉管理的安全人员，我们对待机器也要“一视同仁”，这位机器童鞋，我给你同步一下信息。管理平台不要急，你也有份，直接通过 API 喂饱你。

• 情报资讯：敲小黑板了，最近大家要注意这些热点威胁，哎哟，你看又暴露了这些漏洞、木马，我来给你分析分析。告诉你，最近这一阵子不大太平，有这些安全趋势blabla…… 对了，还有这些高级情报，算了，我偷偷说给你听。

• ……

周凯说，威胁情报是一个企业、组织、国家在飞速发展的网络空间中做好安全防范的加分项，但这个加分项很重要。

还记得美国东部的那场大断网吗？

2016年10月，美国全境，从东海岸的波士顿纽约费城华盛顿，到西海岸的洛杉矶旧金山甚至和北京关系不错的西雅图互联网服务全面宕机。Twitter、Tumblr、Netflix、亚马逊、Shopify、Reddit、Airbnb、PayPal 和 Yelp 等热门网站都没有幸免，无一能登陆。

后来，人们发现，这次大断网源于有人利用大量智能硬件，尤其是监控设备的通用漏洞，通过代码，同时控制大规模的设备发起了 DDoS（分布式拒绝服务）攻击。

周凯透露，其实早在大断网事件发生的一个星期前，他们就发现黑客侵入了很多摄像头，有这些漏洞存在，而且这些入侵都是恶意入侵！

这就是威胁情报，这场风雨迟早会来，虽然他们并不能预计发动这场攻击的具体规模和确切时间。

专注攻防对抗15年的老司机、绿盟科技的高级副总裁叶晓虎也曾对雷锋网小李说过，一个关键机构或社会基础设施如果遭遇大规模网络袭击，将产生巨大的社会影响。比如，一个水务网络的关键网站，如果遭到攻击怎么办？我都不敢想。

威胁情报也许就能“治疗未病”，将灾难扼杀在萌芽中。

为什么不是“神算子”？

既然威胁情报那么重要，为什么你又告诉我不能百分百预测？

童鞋们，你们以为情报是那么容易拿到的么？

在威胁情报领域，各大厂商都是“盲人摸象”，只能得到一部分信息，并不能窥全貌。所以，情报的分析和共享就成了关键。

哎呀，不就是你把茄子送给我，我把洋葱拿给你，大家互相给一给就好了嘛！但是，不是所有厂商都能心甘情愿地分享各类安全情报，祭出自己的优势资源。“共享”牵扯到方方面面，不仅是厂商的“锅”。

还有，一些关键的流量信息，受到“无形的手”制约，并不能被“共享”。

一个小疑问又蹦出来：又不是要拿全世界、全中国的信息，如果只是为了一个特定目标服务，也搞不到关于它的所有威胁情报吗？

真！的！搞！不！到！

周凯说，这个目标如果能提供详尽的内部信息，还是非常利于针对它做威胁情报的，比如，它要提供网络层面、操作系统、中间面、数据库层面、底层设计等众多信息。但是——从成本的角度看，不可能时时刻刻都能监测到方方面面！

人工智能是答案吗？

然而，迫在眉捷的是——周凯担忧，每个威胁情报的提供商都有自己的优势、强项，也都有自己专注的领域。如果不分享，整合或统一管理威胁情报，每一个提供商都是缺失信息的，只不过是信息缺失的多少而已。这意味着，在拼出对抗攻击者最关键的线索前，可能永远缺少一张有信息含量的拼图！

最理想的状态是，应对一场潜在的网络攻击，能分析全流量，获取基础数据源，不仅仅是与安全有关的信息，灵敏地找到攻击源头、攻击路径，甚至能定位到是哪些设备参与了攻击，知道设备类型、生产厂商、哪些设备在线等。

除了分享能促进威胁情报真的成为 001级别的密探，现在大家又将目光投向了人工智能，希望能够借此帮助威胁情报从看似纷杂的信息的海洋里成功游到“有效信息”的彼岸。

不仅仅是帮助分析各种恶意样本。

叶晓虎告诉雷锋网(公众号：雷锋网)：

安全从业者目前正在引入人工智能对数据、网络流量、设备、终端服务器的日志等进行分析，建立对应模型等，抓出蛛丝马迹。

但是，人工智能不是万能药。

周凯说，对人工智能助力威胁情报现阶段的发展不能抱有太高期望。

“阿法狗对弈围棋高手，面对的是清晰的规则，可获取各种高质量的棋谱，还能自我学习，大规模快速改善算法，提高棋艺，战胜人类。安全领域比较特殊，对手都是极其聪明的人，机器面对的不是既定规则，而是一个个想尽办法不守规则的攻击者，一种种防不胜防的攻击手法。”

周凯感叹：虽然很难，但人工智能助力威胁情报是大趋势之一，我们要抱有谨慎的乐观。

• 采访后记

威胁情报，锦上添花。

雷锋网宅客频道编辑小李问周凯：怎么衡量与感受威胁情报的用处？你们会因效果评估困扰吗？

周凯答：虽然也会有一些客户反馈效果，但是，威胁情报和网络安全的其他手段一样，告诉大家脆弱面在哪里？不断改进，抵抗住了攻击，或者期待的那场攻击永远没有来临，这就是最好的消息。

你永远也感受不到一场将发而未发的攻击的威力，但这却是威胁情报最大的用处。

或许，这个故事会给我们一些启示：

魏文王问名医扁鹊：“你家兄弟三人，都精于医术，到底哪一位最好呢？”

扁鹊答：“长兄最佳，中兄次之，我最差。”

文王再问：“那为什么你最出名呢？”

扁鹊答：“长兄治病，于病情发作之前，一般人不知道他事先能铲除病因，所以他的名气无法传出去；中兄治病，于病情初起时，一般人以为他只能治轻微的小病，所以他的名气只及本乡里；而我是治病于病情严重之时，一般人都看到我下针放血、用药教药，都以为我医术高明，因此名气响遍全国。