INSIDE计划将驱动威胁情报新一轮高速增长 奇安信发布TI (inside out)

“珍珠港事件是美国情报史上最失败的一战，这样的失败不会再发生。”电影《决战中途岛》中有这样一句台词，指出了情报对战争走势的重大意义。

图（影视资料）：情报在中途岛海战中发挥关键作用

从偷袭珍珠港到中途岛海战，恰恰对应了情报工作的正反两个案例。在珍珠港海战中，美国忽视了提前获得的情报，导致海军损失惨重；相反，到中途岛海战，美军提前破获重要情报，分析出日军意图并提前筹备部署，最终大获全胜，一举扭转了二战的局势。

从两场结局迥异的战争不难发现，情报获取固然必要，而情报的分析、判别和处理能力，才是重中之中。在如今网络空间的攻防战场上，威胁情报，早已成为网络安全防御体系中不可或缺的组成部分，而如何用好威胁情报、充分发挥好威胁情报的作用，也成为业内探讨的焦点。

从狂热到冷静 威胁情报的5年“起起伏伏”

当今，随着数字经济的发展和数字化转型的深入、数据资产的不断增大和数字业务的增加，以数据为目标的网络攻击愈演愈烈，商业利益诉求和恐怖破坏目的交织，组织化攻击和网络犯罪交织威胁呈现多样化、未知性态势，建立实战化的攻防能力体系已是大势所趋。

图：威胁情报是高级网络安全能力的标配

“在实战化攻防中，威胁情报正在成为一种必要技术和手段。”在不久前奇安信的TI INSIDE计划发布会上，奇安信集团总裁吴云坤表示。“准确有效的威胁情报能够帮助企业实现对各类威胁的实时检测、主动防御、提前预警、快速响应，实现从被动防御体系向积极防御体系的转变。”

但在现实中，威胁情报在国内的发展并非一帆风顺。

“虽然威胁情报进入中国市场的时间不长，仅有5年时间，却已经历了从懵懂期待到狂热追捧，再到回归冷静理性的三个阶段。” 奇安信威胁情报中心负责人汪列军认为。

图：威胁情报的三个发展时期

据汪列军回忆，威胁情报最早概念的提出，来自于2014年Gartner在《安全威胁情报服务市场指南》的论述。2015年前后，它这个全新概念被引入国内市场，到2017年、2018年，国内对于威胁情报的关注达到了一个空前高峰，甚至出现了“威胁情报万能论”的狂热论点。

图：Gartner发布的2019年威胁情报发展趋势

汪列军认为，威胁情报之所以受热捧，得益于它能够“料敌预先”，在理论上可以改变攻守不对等的局面，所以业界对威胁情报的期望很高。另一方面，专业机构也在为其推波助澜。从Gartner发布的《全球威胁情报市场指南》、到SANS的每年发布的《网络威胁情报调查》，再到多家专业厂商接连发布报告，威胁情报急剧升温。而在去年RSA大会上，威胁情报上升至热词榜第七位。

“当时我去参加国内外大的安全展会，威胁情报几乎无处不在，各种防火墙、IDS、终端安全、SOC等等产品，都集成了威胁情报模块，已经到了‘言必称威胁情报’的地步。”汪列军表示。

“过度的赞誉是一种捧杀”，这种威胁情报的“大跃进”式普及，也给发展带来隐忧。据介绍，很多客户匆忙上了威胁情报功能，却抱怨不好用、不会用，尤其是部分安全产品集成了威胁情报后，产生了大量的告警和误报，搞得安全人员不堪重负，甚至得出威胁情报‘没用’的结论。

“威胁情报具有相当的门槛，对使用者要求比较高。”汪列军表示，“如果没有专业的情报分析和安全运营团队，就很难发挥其本身的作用。”

威胁情报市场仍在增长 客户需求更加多元

经过了2017年至2018年的狂热之后，到2019和2020年，威胁情报市场潮水退却，进入了理性冷静期。不过，奇安信威胁情报中心认为该领域的市场需求依然很大。根据美国安全研究机构SANS发布的《威胁情报的演进：2019应用调研报告》显示：81%的受访者认为威胁情报改善了企业的安全检测与响应能力。这与前一年的60%相比有大幅的增长，这证明威胁情报的有效性得到高度认同。

图：SANS对威胁情报的应用调研

威胁情报被认同的同时，用户的需求也在不断分化。SANS今年发布的《2020年网络威胁情报现状调研报告》显示，40%的受访者既消费情报也生产情报，——这是威胁情报领域日益成熟和专业化的重要标志。但对于大量的中小组织机构而言，普通的情报订阅服务即可满足他们的需求。而根据Gartner对用户群的预测，中型组织和小型IT团队对情报的需求会成为未来高速增长的一部分市场。

“我们不能让每一个用户让他们都成为情报专家，所以需要更多元化的满足不同类型组织机构的需求。”汪列军表示。

TI INSIDE计划发布 致力于降低威胁情报门槛

为了让更多客户用好威胁情报，2020年初，奇安信提出了“情报内生”的观点，并指出：基于内部信息化和业务系统实现“情报内生”，构建内生安全能力，将成为实现和提升高级威胁检测的必要条件。同时，情报内生也是应对高级威胁的必然需求。

“在实战化攻防环境下，威胁情报如果没有与内部信息化、业务和安全数据有效结合，情报将是一个空壳，无法落地。”吴云坤表示，“威胁情报不仅需要互联网数据，还要考虑把信息化数据、业务数据和安全数据结合在一起，将信息化技术、人员和流程紧密结合，这对于很多组织机构而言，门槛较高。”

SANS《2020年网络威胁情报现状调研报告》也发现，制约威胁情报应用的原因有很多，其中占到57%的首要因素，是缺乏专业的员工和能充分利用威胁情报的经验。操作难度问题/自动化水平差、在管理方面缺少足够支持、缺少自动化报告高管层的能力等等，也占了很大比例。受访者普遍认为，“人、工具、流程相互配合及内外部团队合作，是有效使用威胁情报的关键”。

那么，如何降低用户威胁情报消费的门槛？如何让更多用户更加便捷的使用威胁情报？中小厂商没有安全分析师又该怎么玩情报？中小厂商没有大数据怎么玩情报？ 2020年6月29日，奇安信面向威胁信息共享交换联盟（TIXA联盟）内的生态合作伙伴，发起了威胁情报技术应用2.0 ----TI INSIDE计划，旨在降低威胁情报的消费门槛，助力行业生态健康发展。

图：由奇安信发布的TI INSIDE计划

据介绍，TI INSIDE计划分为三个层面，在技术实现层面，通过SDK和API接口开发集成来实现开放；在合作方面，它将面向TIXA联盟内合作伙伴或者其他有意愿加入联盟的合作伙伴；而在能力输出方面，该计划将开放奇安信的核心威胁情报检测能力，以吸引更多的伙伴加入。

TI INSIDE计划体现了奇安信开放协同、共建共赢的理念，迅速得到主管部门、行业协会、合作伙伴以及核心客户的积极反馈。中国网络空间安全协会副秘书长张健指出，目前威胁情报的共享和产业协同方面，存在明显的短板，其中重要原因是“竞争大于合作，封闭分散大于开放联动”，“TI INSIDE”计划是产业内技术合作、联动防御的一次有益的尝试，对加强最终用户的安全建设与检测能力，大有裨益，也利于进一步提升行业的整体防御能力基线。

盛邦安全CEO权小文也持同样观点。他认为，国内有数十家威胁情报厂商，不可避免出现重复造轮子的情况，而高质量的情报不能靠单打独斗，而需要生态合作，强强合作，实现团队协同作战，开放的心态和行动至关重要。

TI INSIDE计划将驱动威胁情报下一轮增长

达尔文《进化论》曾说过一句话----世界上最后能生存的生物，不是最强的，也不是智慧最高的，而是适应能力最强的。汪列军认为，在威胁情报的新赛道之上，谁能够解决并降低用户侧的情报消费门槛，谁能最满足、最适合普通用户的切实需求，谁将在未来的威胁情报市场上占据主导地位。

“通过TI INSIDE计划，我们希望将威胁情报中心6年来的数据积累、技术、能力、专家，尤其是威胁情报实战经验固化形成平台，以平台化和标准化的方式，服务于客户和生态合作伙伴，能够有效降低威胁情报应用的门槛，加速威胁情报的普及，进而提高国内整体的网络安全防护水平，并推动威胁情报市场进入新一轮的高速增长时期。”汪列军表示。

版权文章，未经授权禁止转载。详情见 转载须知 。

谷普下载提醒您：让你提前汇款，或价格明显低于市价，均有骗子嫌疑，请不要轻易相信。

---

相关资料：txt下载、doc下载、文章搜索、网址搜索、百度搜索、好搜搜索、搜狗搜索、必应搜索

本文链接：http://www.gpxz.com/article/9044a34fbe966c20b18c.html

---

上一篇：售价3798万元起国货旗舰来了比亚迪华为联合

下一篇：华为2017RSA阿里巴巴安天360主推什么绿盟科