在网络安全领域，平均检测时间（MTTD）与平均响应时间（MTTR）是衡量企业应对威胁事件能力的重要指标。根据 SANS 2019 事件响应的调查，52.6%的企业平均检测时间少于24小时。一旦检测到事件，67%的企业平均响应时间低于24小时，整体已达到较高水平。这其中，威胁情报发挥了极大作用：稳定的情报输出，高精准度的情报检测，全方位的安全态势展现等，确保企业能够有效提升威胁检测与响应能力。

威胁情报的重要性已不言而喻。相比之下，国内安全从业者对于威胁情报的认知却依旧存在滞后与误差。

威胁情报在国内的发展现状如何？技术的关键点和认知误区有哪些？行业需要关注哪些因素？对于这些问题，微步在线全国渠道技术负责人李霂荣在国际信息系统安全认证联盟 (ISC)² 西南本地官方分会云讲坛做了关于威胁情报的线上分享。现公开分享全文，期待大家进一步交流探讨。

国内威胁情报行业驶上高速路

2015年，威胁情报在国内正式起步。2019年5月，《网络安全等级保护标准2.0版》正式颁布，首次出现对于威胁情报的要求，明确在二、三、四级测评中，增加“威胁情报检测系统”。短短四年的时间，威胁情报作为一项新技术，受到了国家层面的认可。2020年8月，商务部、科技部调整发布《中国禁止出口限制出口技术条目》，新增“高性能检测技术”，其中包括“威胁情报生成技术”。至此，威胁情报也正式成为了一项国家级的关键技术。

行业应用上，越来越多的企业开始利用威胁情报辅助安全战略决策。从微步在线目前覆盖的服务客户来看，银行、证券、金融、高科技及能源、政府等都在广泛使用威胁情报，威胁情报的价值已逐渐被认同与接受。据Gartner 预测，到 2022 年，20％的大型企业将使用商业威胁情报服务来为其安全策略提供信息。

威胁情报的常见使用误区有哪些

绝大多数的安全从业者都已经意识到，单纯依靠防御来保护企业安全的效用在递减，通过威胁情报提高检测与响应的能力，越早发现威胁，采取行动，对于企业的损失就越小。但在实际的应用过程中，很多企业对威胁情报的理解和使用都存在不同程度的误区。

误区一，用上威胁情报以后，产生的告警越多越好。这里要纠正一下，基于威胁情报的一些场景，它产生的告警其实并不是越多越好，而应该是越精准越好。一味追求大量的威胁告警，缓解企业对于安全的焦虑，好比一个人太渴想要喝水，却打开了消防水带的开关解渴。后果就是，安全分析师根本看不过来，也没法确定告警的优先级，或者去调查所有警报，只是浪费时间而已。

如果企业想看到更多的告警，用 IPS，WAF 就可以。威胁情报的目的之一，应该是减少误报，将真正有威胁的告警展示出来，而不是追求告警的数量。而且，实际的企业生产运营过程中，真正有威胁的、对维护企业安全有帮助的安全告警只占约1%，剩下99%的告警都是无关紧要的“无效告警”。

误区二，威胁情报数量越多越好。目前国内外对于“正确”的威胁情报数量还没有一个权威的定义，所以号称“几亿”“几十亿”情报数量，听着很多，但不见得是对的。事实上，威胁情报并不是做得越多越好，应该是帮助越大越好，情报的价值在于帮助企业做更准确的检出。企业只需将所有的产品放到真实的环境进行测试，就能看出哪个产品的检出效果最好。

误区三，威胁情报要明文数据。目前国内部分厂商表示自身是明文内置威胁情报，导致大家觉得威胁情报就得明文交付。事实上是这样吗？让我们回到使用威胁情报的“初心”：威胁情报只存在一种用途，那就是解决企业的安全问题。所以，企业在利用威胁情报的过程中，企业本身只需关注威胁情报的能力即可，将威胁情报的管理、收录、更新等等直接交给威胁情报供应商，无所谓明文或密文。只要情报精准，就可以体现情报的价值。

如果说传统的安全防护，重点在保护自身的安全，以“知己”为重点进行防御，那基于威胁情报的安全防护不仅具备“防御”能力，而且更“知彼”，能够对攻击者进行全面精准的描述，包括攻击者恶意样本、攻击者IP，远控域名，TTPs 战略战术等全方位信息。对于市面上已有的态势感知，SOC、SIEM、NDR、EDR 等产品，威胁情报都能进行赋能，实现更加高效的威胁检测与响应。

以态势感知为例，传统的态势感知会收集很多的告警信息，涵盖终端的病毒查杀日志，如多少台主机中了何种病毒等，但不同的信息之间缺乏关联性，对于企业安全人员来说，无法提供有效的结论，需要人工进行大量分析，耗时耗力。如果采用威胁情报结合态势感知，对其收集到的网络与终端告警进行关联分析，则能高效地检出全方位的安全事件以及相关信息，省时省力。

防护、响应、溯源……威胁情报的多种应用方式

除了能够赋能不同的安全产品，威胁情报在防护、响应、溯源等不同领域也有重要的应用价值。

比如在防护领域。早在几年前，Palo Alto 就已利用威胁情报做了很多防护层面的方案，例如它的检测未知威胁的野火云沙箱（WildFire）、URL Filtering、2020年发布的 DNS Security 以及 AutoFocus。这些都使用了威胁情报相关的赋能，来帮助企业做事件的判断与告警。

在国内，微步在线的 OneDNS 产品也能在防护层面起到很好的作用，在提供基础 DNS 解析服务基础上，还具备安全增值的能力，能够帮助企业拦截钓鱼、勒索、挖矿等反连问题。企业使用 OneDNS 进行上网解析时，当有恶意地址的请求出现，OneDNS 将会进行实时阻断，并通知相关管理人员。目前，微步在线是少有的能够将情报能力与 DNS 解析服务进行结合的安全厂商，已经在金融、地产、医疗、教育等不同的行业深耕布局。

在响应领域，通过威胁情报能够掌握威胁事件对应的家族、目的、相应的危害度，感染后的现象，并提供处置建议。以微步在线的威胁感知平台 TDP 产品为例，它只需利用特征分析，流量载荷研判，即可发现网络失陷主机，自动化识别目的性黑客的攻击意图，及时进行自动阻断，或联动第三方安全设备，打通处置流程，帮助企业实现快速响应。

威胁情报在溯源领域中，主要是通过威胁情报追踪 IP、域名，发现攻击者留下的痕迹，从而分析出攻击者的 TTPs 战略战术及过程，一旦攻击者的 TTPs 档案建立，攻击者的行为就很容易被追踪到。而这样的效果是很难通过 SIEM、SOC 等一般的安全产品短期内实现的。

网络威胁情报会不断更新，因为网络攻击者每天都会发现新的漏洞，采取新的手段，进行更精准地攻击。面对攻击者的“道高一尺”，企业安全人员如果愿意主动进行情报共享，就能够大大提高每家企业对于网络攻击的防护能力。这也是威胁情报的网络效应。在微步在线的X社区，我们有百万情报共享奖励计划，希望大家能够为威胁情报贡献一份力量，只要大家共享越多情报，威胁情报就会越强大。