自从今年RSA之后，在过去一年吵得如火如荼的威胁情报终于开始落地，在今年的风向标会议上威胁情报已经不再是陌生的概念，对于行业的价值逐渐凸现出来，一直致力于探索安全行业的安全牛此前举行威胁情报解决方案峰会。

　　▲
　　五家安全公司分别介绍了各自对威胁情报的理解和相应解决方案，其中包括了势头正猛的互联网安全企业、国外老牌IT企业、资深安全咨询企业、专注威胁情报的初创企业、知名白帽子创立的安全企业，介绍了这么多企业的背景，是想说明，出于不同企业的视角，对威胁情报有着各自不同的理解和应用。
　　安全牛主编李少鹏在开场白中表示，威胁情报是目前最为火爆的安全防护技术，但它的落地和应用在国内并未全面成熟，为此安全牛定向邀请了在威胁情报的技术、落地及应用方面非常优秀的几家公司来作演讲。
　　带拐上阵的主持人
　　从基础数据到威胁情报
　　首先登场的是360的宫一鸣和韩永刚组合。宫一鸣认为，数据都是有价值的，关键是如何看到价值，如何发挥价值，而他们做的主要工作就是从海量数据中挖掘整理有用的基础数据，他将此戏称为“搬砖”，威胁情报正是建立在这样一块块砖头似的基础数据之上。他通过几个实际案例，介绍了基础数据在分析攻击者中的作用，主要是针对域名以及域名算法的数据研究分析，可以看到攻击的来龙去脉和蛛丝马迹，甚至可以预测攻击者的下一步动作。
　　360 网络安全研究院院长 宫一鸣
　　如果说宫一鸣所做的工作是在“搬砖”，韩永刚所介绍的就是基础数据落地的过程，就是如何将这些基础数据汇集、处理，产生有用的威胁情报，真正地应用到客户那里。如帮助执法部门进行一些网络案件的侦破，对APT攻击的追踪和发现。韩永刚认为，对安全事件，以前能做到的是发现和响应，现在有了威胁情报，还能够做到取证、拓展、溯源。做到这些，依靠的还是对基础情报的处理能力，情报是从数据中来，最后还要回到数据中去，威胁情报最终回到客户侧才能发挥它的作用。
　　360天眼实验室负责人 韩永刚
　　威胁情报共用和协同防御
　　来自IBM的刘璐莹重点介绍IBM在威胁情报方面的工作。她首先介绍了IBM安全团队的建设，从80年代开始，IBM就进入主机安全领域，在2006年以后，通过一系列收购，正式组建了X-Force安全团队，这也是IBM的主要来源。作为一个专业的安全研究机构，X-Force的主要工作是监控和评估瞬息万变的威胁形势、研究新的攻击技术和的保护方案、培训客户和公众。
　　IBM中国区安全技术高级工程师刘璐莹
　　刘璐莹介绍，通过IBM全球12家SOC中心托管的4000多个客户，IBM每天可以收到多达150亿个事件。通过这些事件所收集的真实数据，整理、提炼、发现最新的安全动态。不仅有超过9万个漏洞的数据库，还有86万个恶意的IP，以及大量关于域名分析，共计分析超过 250 亿个网页和图像。
　　X-Force Exchange平台
　　而这些数据可以通过X-Force Exchange平台来获得分享，刘璐莹表示，IBM在威胁情报的重要的思路就是分享，X-Force Exchange是一个开放的、可操作的、社交的情报平台，它把X-Force多年的积累开放给公众。同时这也是一个可操作的平台，支持业界通用的模式，可以进行信息交换和产品集成。
　　用威胁情报数字化评估安全
　　谷安天下的赵毅在会上介绍基于威胁情报的新应用——“安全值”产品，用五分钟即可量化企业安全风险。赵毅表示，虽然在数据的技术上不是很擅长，但谷安天下是做风险管理出身的，所以用威胁情报来做风险管理是强项。威胁情报体现在安全值上，就是一种整合资源的能力，通过专业的视角，发现未知风险，对风险进行量化。
　　赵毅表示，谷安关注威胁情报领域已经有两年的时间，行业内有很多优秀的数据资源，而威胁情报的本质就是数据。如何把数据用好，产生价值，是安全值想要解决的问题。安全值一共整合了100多个威胁情报数据资源，利用大数据挖掘分析方法，对实时情报数据进行风险分析，量化计算风险，提升用户的风险管理能力。
　　安全值的差距分析
　　通过具体案例，赵毅演示了安全值在行业中的应用，通过安全值的评估，用户可以看到自身的问题，行业的安全基线，自己与行业的差距。
　　攻陷指标不等于威胁情报
　　微步在线的CEO薛峰介绍，微步在线2015年6月成立，当时国内对威胁情报的具体实践还处于起步阶段，微步在线应该是国内第一家专门做威胁情报的公司。目前对威胁情报业界还是处于一种百家争鸣、百花齐放的状态，这是个很好的环境。
　　薛峰表示，微步在线是一个专注于做数据的公司，对威胁情报来说，最核心的就是数据和数据分析，分析之后从中提炼出有价值的信息。
　　微步在线对Xcode事件的分析
　　通过对Xcode事件的全新分析展示，以及对一个境外攻击的溯源分析，薛峰展示了公司在威胁情报上的能力。薛峰认为，威胁情报离不开数据，单纯数据量的多少并没有意义，数据的多样性和时效性，以及分析能力才是更重要的。把数据进行有效的关联和展示，慢慢形成一个故事是非常有意思的事，它能体现出威胁情报的真正价值，对应急响应来说，仅仅看病毒和代码价值非常有限。
　　薛峰还展示了微步在线的IOC、威胁分析平台和高级入侵事件检测服务，同时他认为“威胁情报+”会是将来的一种形态，安全厂商、安全产品之间应该是互相促进、互相结合的关系，例如当扫描器、防火墙对接了某种类型的威胁情报，可以变得更好、更智能。
　　白帽汇视角的威胁情报
　　知名“白帽子”赵武分享了他对威胁情报的思考。他认为，众人皆知的不能叫威胁情报，因为信息安全本质就是信息不对称。真正的威胁情报一定是你不知道的，或者你之前没听说过的。比如白帽汇确实掌握了很多情报，但是从目前来看根本不敢对外宣称，可能引起行业的轩然大波。但不能说不代表没有遭受攻击。
　　白帽汇视角的威胁情报
　　赵武介绍，白帽汇去年8月份成立，团队主要来自于360和华为，专注于做安全大数据和企业威胁情报，发布了《Redis crackit 报告》和《fortinet 后门报告》。之所以成立白帽汇，是因为尽管安全公司越来越努力，但是网络攻击却越来越多，受害者每天都在增加。这是一个很尴尬的境地。实验室里设想的攻击并不适用于现实，攻击者绕开你的安全边界进行攻击。
　　赵武认为目前的主要安全威胁有：企业未知的隐形资产、Nday攻击(黑客买白帽账号批量攻击)、外部数据威胁。面对这些威胁，安全公司在和黑客的对抗中经常落后，因为安全公司至今很难进行友好的联动，但是黑产的互动非常紧密，有着很好的分工合作。
　　白帽汇创始人赵武
　　所以，赵武强调，要放弃防护的思维，主动出击，通过对黑产的情报监控、对黑产的打击、对黑客画像、对黑产的反制，把战火烧到敌人的阵营。