網康侯漢書指出：隨著以APT為典型代表的新型威脅和攻擊不斷增長，如今想要保證自己安全，不僅需要武器，還需要情報，對于安全而言，這個情報就是威脅情報。根據Gartner權威解釋：威脅情報是針對一個已經存在或正在顯露的威脅或危害資產的行為，基于證據知識的，包含情境、機制、影響和應對建議的，用語幫助解決威脅或危害進行決策的知識。正所謂：看得見，才安全，這也是威脅情報意義所在。有了威脅情報，某種意義上講等于有了一雙“慧眼”，幫助您看清“黑客”所有動作。現在流行的安全體系已經從過去靠城墻防御變成塔防和立體防御。真正意義上塔防，就做到實時應對到來的威脅，這個時候威脅情報作用顯得尤為重要，幫助用戶做到知己知彼。

　　今年的9.3大閱兵，我們看到雷達方隊的名稱里第一次加上了“預警”二字，這表明雷達兵已經從傳統的保障性兵種躍升為戰略力量，預警監視系統已成為國家戰略威懾的重要力量，是未來戰爭中奪取戰略主動權的重要保障。在軍事領域如此，在網絡安全領域亦是如此。簡單類比下，下一代防火墻的兩個核心安全能力，就是“雷達+CT”，其中雷達是指通過全網可視化能力實現預見風險和分析，CT是指深度的應用層檢測能力。那么風險預見預知的基礎是什么?就是威脅情報。威脅情報可以理解為一條條安全線索的組合，通過它們可以還原已經發生過的攻擊，并預測將來可能發生的攻擊。基于威脅情報的整合，可以勾畫出攻擊者的畫像，做到知己知彼，百戰不殆，從而深度分析并發現真正有價值的攻擊事件，防患于未然。

　　網康的威脅情報生產能力與應用能力

　　網康不是互聯網企業，對互聯網企業對安全情報的理解沒有發言權。單就安全企業而言，安全防護能力從“個體或單個組織”的防護，轉變為“威脅情報驅動”的信息共享和集體協作方式，是應對以未知威脅為代表的下一代網絡安全威脅的必由之路。

　　目前，網康已經推出下一代網絡威脅感知系統——“慧眼云”，它是國內首個失陷主機檢測系統。慧眼云，通過對網絡中行為日志、安全日志、流量日志等進行實時、快速、持續的關聯分析，結合網康威脅情報系統，實時檢測到網絡中存在的問題系統，并通過溯源取證，部署防御措施，從而提高安全防護能力。

　　基于威脅情報的整合，慧眼云可以勾畫出攻擊者的畫像，預測將來可能發生的攻擊。涉及主機類型、連接方向、源地址、目的地址等屬性的情境分析，則能夠自適應的建模出客戶當前業務下的安全威脅模型，從而更有針對性的發現網絡中存在的異常。慧眼云還支持幾秒內完成幾十T的數據搜索，讓安全人員可以進行快速的事件定位和回溯。

　　威脅情報可以跟各類安全產品進行聯動，比如下一代防火墻，網康通過云端威脅情報，提高NGFW持續監測和分析能力，為用戶打造更好的縱深防御體系。同時，在業內可以實現共享機制，包括政府、服務機構，安全服務提供商，真正讓情報轉起來，形成一個生態系統。整個威脅情報生態系統聯動，能夠更好為用戶提供更有價值的安全產品，使得威脅情報價值較大化。

　　威脅情報應用的未來

　　脫節的安全措施和部門之間的相互孤立現狀，使得威脅情報難以在公司當中被有效利用。如果無法將威脅情報轉換為可行動性的策略，所有威脅情報都只是一份數據而已，沒有任何實際意義。如果，分析人員無法快速在公司決策支持工具中利用這些威脅情報，那么這些“數據”將無法讓公司避免成為攻擊目標。

　　首先，目前威脅情報碰到問題主要來源于技術孤島和缺乏有效合作渠道。例如一個IT公司，事件響應者、運營經理，網絡分析師等不同職位的人都有不同視角，他們之間對于分險的理解和管理都不一樣，如何打破這類技術壁壘和孤島，更好利用威脅情報變得尤為重要。否則威脅情報只能局限于各自手中，無法發揮更大作用。

　　其次，利益相關者經常受到情報分發范圍限制。例如，在許多情況下，因為公司需要保護敏感信息，情報共享只是局限于極少數人手中。但是事實上，在事件發生前，我們難以分辨哪些人需要知道某份重要情報，在這樣情況之下，威脅情報常常發揮不了作用。

　　攻擊者對于威脅情報的應對策略

　　威脅情報的基礎之一是大數據分析，而大數據可信性的威脅之一是偽造或可以制造的數據，錯誤的數據往往會導致錯誤的結論。若數據應用場景明確，就可能有人利用制造數據，營造某種“假象”，誘導分析者得出對其有利的結論。由于虛假信息往往隱藏于大量信息中，使得人們無法鑒別真偽，從而做出錯誤判斷。例如，對于APT攻擊，攻擊者經常將DDoS攻擊作為煙幕彈，持續向目標主機發送大量SYN包，而實際上攻擊者可以利用用戶在調整防護策略時的疏漏執行掛馬等更有針對性的攻擊，最終目的是竊取更有價值的用戶信息而非打癱用戶主機。這類似踢球里的假動作，攻擊者通過假情報的傳遞，影響防護者的決策，這是未來的挑戰。