网康侯汉书指出：随着以APT为典型代表的新型威胁和攻击不断增长，如今想要保证自己安全，不仅需要武器，还需要情报，对于安全而言，这个情报就是威胁情报。根据Gartner权威解释：威胁情报是针对一个已经存在或正在显露的威胁或危害资产的行为，基于证据知识的，包含情境、机制、影响和应对建议的，用语帮助解决威胁或危害进行决策的知识。正所谓：看得见，才安全，这也是威胁情报意义所在。有了威胁情报，某种意义上讲等于有了一双“慧眼”，帮助您看清“黑客”所有动作。现在流行的安全体系已经从过去靠城墙防御变成塔防和立体防御。真正意义上塔防，就做到实时应对到来的威胁，这个时候威胁情报作用显得尤为重要，帮助用户做到知己知彼。

　　今年的9.3大阅兵，我们看到雷达方队的名称里第一次加上了“预警”二字，这表明雷达兵已经从传统的保障性兵种跃升为战略力量，预警监视系统已成为国家战略威慑的重要力量，是未来战争中夺取战略主动权的重要保障。在军事领域如此，在网络安全领域亦是如此。简单类比下，下一代防火墙的两个核心安全能力，就是“雷达+CT”，其中雷达是指通过全网可视化能力实现预见风险和分析，CT是指深度的应用层检测能力。那么风险预见预知的基础是什么?就是威胁情报。威胁情报可以理解为一条条安全线索的组合，通过它们可以还原已经发生过的攻击，并预测将来可能发生的攻击。基于威胁情报的整合，可以勾画出攻击者的画像，做到知己知彼，百战不殆，从而深度分析并发现真正有价值的攻击事件，防患于未然。

　　网康的威胁情报生产能力与应用能力

　　网康不是互联网企业，对互联网企业对安全情报的理解没有发言权。单就安全企业而言，安全防护能力从“个体或单个组织”的防护，转变为“威胁情报驱动”的信息共享和集体协作方式，是应对以未知威胁为代表的下一代网络安全威胁的必由之路。

　　目前，网康已经推出下一代网络威胁感知系统——“慧眼云”，它是国内首个失陷主机检测系统。慧眼云，通过对网络中行为日志、安全日志、流量日志等进行实时、快速、持续的关联分析，结合网康威胁情报系统，实时检测到网络中存在的问题系统，并通过溯源取证，部署防御措施，从而提高安全防护能力。

　　基于威胁情报的整合，慧眼云可以勾画出攻击者的画像，预测将来可能发生的攻击。涉及主机类型、连接方向、源地址、目的地址等属性的情境分析，则能够自适应的建模出客户当前业务下的安全威胁模型，从而更有针对性的发现网络中存在的异常。慧眼云还支持几秒内完成几十T的数据搜索，让安全人员可以进行快速的事件定位和回溯。

　　威胁情报可以跟各类安全产品进行联动，比如下一代防火墙，网康通过云端威胁情报，提高NGFW持续监测和分析能力，为用户打造更好的纵深防御体系。同时，在业内可以实现共享机制，包括政府、服务机构，安全服务提供商，真正让情报转起来，形成一个生态系统。整个威胁情报生态系统联动，能够更好为用户提供更有价值的安全产品，使得威胁情报价值最大化。

　　威胁情报应用的未来

　　脱节的安全措施和部门之间的相互孤立现状，使得威胁情报难以在公司当中被有效利用。如果无法将威胁情报转换为可行动性的策略，所有威胁情报都只是一份数据而已，没有任何实际意义。如果，分析人员无法快速在公司决策支持工具中利用这些威胁情报，那么这些“数据”将无法让公司避免成为攻击目标。

　　首先，目前威胁情报碰到问题主要来源于技术孤岛和缺乏有效合作渠道。例如一个IT公司，事件响应者、运营经理，网络分析师等不同职位的人都有不同视角，他们之间对于分险的理解和管理都不一样，如何打破这类技术壁垒和孤岛，更好利用威胁情报变得尤为重要。否则威胁情报只能局限于各自手中，无法发挥更大作用。

　　其次，利益相关者经常受到情报分发范围限制。例如，在许多情况下，因为公司需要保护敏感信息，情报共享只是局限于极少数人手中。但是事实上，在事件发生前，我们难以分辨哪些人需要知道某份重要情报，在这样情况之下，威胁情报常常发挥不了作用。

　　攻击者对于威胁情报的应对策略

　　威胁情报的基础之一是大数据分析，而大数据可信性的威胁之一是伪造或可以制造的数据，错误的数据往往会导致错误的结论。若数据应用场景明确，就可能有人利用制造数据，营造某种“假象”，诱导分析者得出对其有利的结论。由于虚假信息往往隐藏于大量信息中，使得人们无法鉴别真伪，从而做出错误判断。例如，对于APT攻击，攻击者经常将DDoS攻击作为烟幕弹，持续向目标主机发送大量SYN包，而实际上攻击者可以利用用户在调整防护策略时的疏漏执行挂马等更有针对性的攻击，最终目的是窃取更有价值的用户信息而非打瘫用户主机。这类似踢球里的假动作，攻击者通过假情报的传递，影响防护者的决策，这是未来的挑战。