解读 | 奇安信缘何做到了国内威胁情报头名？

buzhy

　　2018年11月21日，国内知名安全媒体安全牛发布了《中国网络安全细分领域矩阵图(Matrix2018.11)》。其中，北京奇安信科技有限公司(360企业安全集团)在威胁情报领域一骑绝尘，领跑国内市场。

图：威胁情报矩阵

影响该矩阵的关键指标包括三个：影响力、规模以及技术与创新。根据安全牛的解释，影响力主要是指品牌知名度、行业口碑、市场地位等;规模主要是指营业收入、人员数量、利润等;技术创新力主要是指研发投入、产品化能力、技术定位等。从该矩阵图中可以明显看到，奇安信在这三个指标上，都处于绝对领先的位置。

奇安信旗下补天威胁情报的发展状况

根据Gartner对威胁情报的定义，威胁情报是某种基于证据的知识，包括上下文、机制、标示、含义和能够执行的建议，这些知识与资产所面临已有的或酝酿中的威胁或危害相关，可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持。

自从威胁情报的出现以来，就受到各大网络安全厂商、资本市场以及行业客户的热烈追捧，被视为改变攻防不平衡对抗的重要一环。早在补天天眼实验成立之初，就尝试利用海量互联网安全大数据的优势，输出恶意代码和安全事件分析响应能力。奇安信也因此成为国内首批涉足威胁情报领域的安全厂商之一。

2015年，威胁情报在中国市场崭露头角。为了推动威胁情报的发展，奇安信旗下补天威胁情报中心正式发布并商用，同时上线了国内第一个云端威胁情报分析查询平台，为安全人员提供情报检索和分析支持。奇安信旗下补天威胁情报中心是国内首个正式商用的威胁情报中心，从而一举确立了奇安信在国内威胁情报领域的领先地位。

领先的威胁情报能力

鉴于威胁情报在检测与响应方面起到的巨大作用，国内出现了一波威胁情报的热潮。各大供应商和风险投资公司蜂拥而至，各种类型的威胁情报产品层出不穷，霎时间这个细分领域显得十分热闹。

据安全牛调研显示，国内威胁情报的交付方式主要有四种：第一，将IOC下发到各种软、硬件安全产品中，更新升级产品;第二，结合传统的评估、测试、应急等服务内容，形成完整的安全服务包;第三，提供面向专业安全技术人员的搜索、分析平台;第四，搭建威胁情报平台，为“大数据安全分析平台”或“态势感知”平台作支撑，和内部数据进行关联分析。

但从实际情况来看，包括国外在内，不论采用哪种交付模式，仍然存在大量的客户并不“买账”。由于威胁情报对于时效性和行业性要求很高，有专家针对开源威胁情报的研究发现，75%的恶意IP情报持续时间在5天内，平均每天6668个新增IP IOC(部分外部采集源)，随着时间的推移，IP往往会在黑白之间动态变化。另外，针对金融行业的威胁情报如果放在电信行业，可能就并不适用了。

正是由于这些原因，威胁情报对供应商的产品化能力和定制化能力要求都很高，很多时候厂商集成的威胁情报服务并不能发挥该有的效果，甚至会产生大量噪声，增加安全人员的负担。

相较而言，奇安信旗下补天威胁情报的优势就在于以下几点：（以下对产品及技术的阐述都需要梳理）

第一，自身百亿级别的PE样本收集能力。全量数据的收集能力和快速的数据处理能力使得奇安信旗下补天在威胁情报的生产环节就快人一步，最大程度保证了威胁情报的实效性。

第二，产品化能力非常强。截至目前，奇安信已经发布了Alpha威胁分析平台、威胁情报系统平台——TIP、监管行业威胁情报平台——威胁雷达、高级威胁情报分析服务、云端SaaS API等多个威胁情报产品，并且能够为不同客户提供定制化的行业解决方案，交付成功率居业内领先地位。

第三，体系化协同作战。目前，奇安信旗下补天智慧防火墙、EDR、NGSOC、态势感知、云安全、虚拟化安全等核心安全产品和服务均集成了威胁情报能力，机读情报可以快速下发到各个安全设备中，形成威胁情报驱动的联动防御体系。

第四，领先的APT发现能力。基于威胁情报，奇安信还有着独步国内的APT组织发现与追踪能力。据统计，360累计监测到38个境内外APT组织，是中国发布APT报告最多的厂商，包括海莲花、蓝宝菇、毒云藤等都是360首先发现并命名的APT组织。

基于海量的互联网及安全大数据、利用机器学习和安全研究双引擎驱动，奇安信旗下补天平台可以提供全方位的威胁情报能力，其中包括战术情报、作战情报和战略情报，供安全产品、安全运营/事件响应团队、CSO各层面使用，完善对关键威胁的检测、分析/响应和预警、预防能力。

2018年10月，由中国电子技术标准化研究院牵头制定的中国首个威胁情报标准正式发布，填补了国内在此方面的空白，奇安信作为国内威胁情报领域的领军企业，深度参与了该标准的起草和制订。该标准从可观测数据、攻击指标、安全事件、攻击活动、威胁主体、攻击目标、攻击方法、应对措施等八个组件进行描述，并将这些组件划分为对象、方法和事件三个域，最终构建出一个完整的网络安全威胁信息表达模型，，旨在实现各组织间网络安全威胁信息的共享和利用，并支持网络安全威胁管理和应用的自动化。该标准的制定对推动威胁情报的共享、交换以及设备之间的联动防御将会起到非常大的推动作用。

奇安信也会再接再厉，向业界输出更加优秀的威胁情报能力