【IT168评论】随着全球网络攻防对抗的日益激烈，攻击方的攻击手段不断升级，0day漏洞的利用频繁，勒索软件、数据窃取和隐私泄密等攻击事件层出不穷，成为防守方必须警惕的“隐形陷阱”。在实战较量中，防守方一旦出现滞后则可能带来严重的安全风险。风险驱动之下，企业安全运营对于威胁情报（TI）的需求愈发迫切。

　　一方面，整个行业的安全建设思路发生了翻天覆地的变化。传统的防火墙、入侵防御系统（IPS）等防御手段，在面对如高级持续性威胁（APT）、勒索软件等新兴威胁时显得力不从心。威胁的演进速度和手法的高明程度，促使企业必须转变传统思维，加强威胁情报的应用，以提升自身的安全防御能力。

　　另一方面，企业的安全建设意识与监管要求密切相关。随着国家各层级攻防演练的常态化，通过模拟黑客攻击的方式，让众多企业意识到原有防御措施的不足，开始重视实战化的情报能力和威胁检测。

　　在此背景下，企业对于威胁情报产品和服务的需求持续增长，低估威胁情报的价值或未能正确应用威胁情报，将难以防御迫在眉睫以及潜在的威胁。据Gartner预测，2024年全球威胁情报支出将达到21.7%的年增长率，到2028年预计支出将达到46亿美元。这一数据充分表明，威胁情报市场已经进入成熟主流阶段，并持续稳定增长。

　　▲微步技术合伙人、微步情报局负责人 樊兴华

　　NGTIP赋能企业威胁和风险的高效运营

　　作为威胁情报的代表厂商，微步在线自2015年起便涉足威胁情报领域，不断推陈出新。公司先后推出了X情报社区（国内最活跃的威胁情报社区）、云API产品、互联网安全接入服务产品OneDNS、威胁感知平台TDP、本地情报管理平台TIP、威胁防御系统OneSIG、S云沙箱、终端安全管理平台OneSEC等。

　　近期，微步在线更是创新性提出下一代威胁情报（NGTI）能力，并发布“下一代威胁情报平台NGTIP”，持续引领行业发展潮流。何为NGTI？微步情报局负责人樊兴华解释道，“相比于扩展威胁情报（XTI），微步的NGTI更专注于威胁本身，尤其是漏洞情报和态势情报。”

　　NGTI依托于大数据分析、大模型、知识图谱等技术，深度融合蜜罐、告警日志、漏洞库、全网公开安全事件等各类威胁数据，建立各类威胁实体（攻击IP、C&C、漏洞、黑客组织、病毒木马等）实时和立体的监测能力，通过更丰富、实时、立体的下一代威胁情报能力，赋能企业威胁和风险的高效运营。

　　下一代威胁情报平台NGTIP定位为“企业威胁和风险运营的情报中心”，以高质量精准的“威胁情报、漏洞情报、态势情报”三重情报为核心，进一步将企业安全左移，把关注视角从“威胁”到“风险”前置，帮助企业解决漏洞运营、安全态势感知、威胁情报告警噪音难题，实现更高效、主动、全面的安全防御。

　　该平台的设计理念围绕“场景化”展开，旨在通过内置的多种情报应用场景和分析策略，实现威胁情报的开箱即用，从而简化企业的安全运营流程。NGTIP在关注威胁的同时，更加注重“风险”管理，致力于协助企业高效地缓解真实威胁带来的潜在风险，识别和优先处理那些可能造成最大损害的风险点。

　　樊兴华指出，“企业修复漏洞的成本很高，需要花费大量的时间和精力。因此，NGTIP不仅关注威胁的发现和检测，还进一步帮助企业进行风险排序，确定哪些漏洞应该优先修复，促使企业能够集中资源处理高风险问题，从而减少潜在的安全损失。”

　　不同于传统的单向查询和消费模式，NGTIP平台从情报的查询、分析、生产、共享，到后续的处置和狩猎，形成了一个闭环，实现了情报的全生命周期管理。这种闭环管理确保了情报的持续更新和优化，使企业能够持续适应和应对不断变化的威胁环境。

　　此外，NGTIP强调从机读到人读的全方位信息处理能力。该平台不仅能够自动收集和处理大量的机读数据，还能将这些数据转化为对决策者有用的人读信息。通过内外部威胁信息的挖掘和订阅，NGTIP为企业的资源投入和安全建设方向提供科学的决策依据。

　　三重情报，NGTIP重塑企业安全防线

　　下一代威胁情报平台NGTIP通过“威胁情报、漏洞情报和态势情报”三大核心能力，不仅强化了告警降噪效果，还提升了漏洞运营效率，增强了风险感知能力。这些创新功能使NGTIP成为国内首 创真正意义上的漏洞情报产品，以及全网汇聚、实时感知威胁、高效缓解风险的态势情报平台。

　　一、威胁情报

　　针对告警噪音严重的问题，微步下一代威胁情报平台NGTIP上线了IP信誉2.0，对IP情报全新升级，从单一维度升级为具备深度、广度、活跃度的三维IP画像，通过自动化攻击识别和更全面的证据信息，大幅提升了对网络攻击的识别和处置效率，同时强化了告警降噪效果，网络攻击告警降噪比例达到80%以上。

　　深度上，原本一维的漏洞利用、扫描等属性，丰富后可查看IP背后的攻击路径、攻击应用、反连地址等深度攻击链信息，从而更好判定IP攻击目的。

　　广度上，基于微步全网部署量最大的蜜罐HFish集群的1.2万多个节点，每天探测日志信息上亿，全球累计跟踪平均2000多万活跃攻击IP，可精准掌握测绘、僵尸网络、蠕虫、爬虫等不同IP。

　　活跃度上，全新IP情报提供IP蜜罐出现频率、时间维度等信息，可支撑判断该IP是否为针对性攻击，最终整体从三个维度对IP进行更丰富立体的分析。

　　二、漏洞情报

　　针对0day未知漏洞难防，漏洞告警“噪音”大，漏洞风险评估难，漏洞信息不完整，漏洞修复无从下手及漏洞影响产品梳理难等问题，下一代威胁情报平台NGTIP提供从漏洞获取-发现-评估-处置-验证闭环的全流程漏洞运营，也是国内首款真正意义上可闭环的漏洞情报产品。

　　微步在线针对未公开漏洞向白帽子推出了奖金丰厚的“0day奖励计划”，先后收录了数百个0day，进一步丰富了NGTIP平台的漏洞情报库，确保企业能够及时了解和应对最新的安全威胁。同时，NGTIP的漏洞情报能力依托于微步在线的X情报社区，能够获取高价值的漏洞情报，为企业提供最前沿的安全洞察。

　　樊兴华认为，“将威胁情报纳入评级体系能够更有效地反映漏洞的实际风险。”因此，NGTIP采用了微步在线VPT（漏洞评估模型），这种方法不仅考虑漏洞的技术特征，还考虑漏洞被利用的实际情况，如活跃度和严重性，大幅提升企业漏洞修复效率高达95%。

　　通过强大的漏洞收集和自动化处理能力，NGTIP建立了业内极具规模的漏洞情报库。其中10%以上的漏洞早于官方漏洞库80天以上，可以为企业提供更全面、更及时的漏洞情报。NGTIP通过微步安全大模型XGPT解决了漏洞情报与资产版本匹配的行业难题，极大地提高了漏洞情报的准确性和实用性。

　　樊兴华透露道，“微步的漏洞收录工作始于2022年，至今已有三年时间。我们主要关注那些高危漏洞，即那些能够直接对系统造成威胁的漏洞。除了常用的CNNVD漏洞库外，我们还与其他官方漏洞库进行合作，收录更多的国内漏洞信息。”

　　三、态势情报

　　针对外部最新攻击技战法获取难、行业安全事件感知难、缺少知识库积累的问题，下一代威胁情报平台NGTIP在行业率先推出态势情报。基于全网测绘、推特等社交媒体及自有数千渠道等公开数据采集，结合微步情报局的研究成果、各类应急事件等，全面覆盖了潜在的威胁信息。

　　情报更新速度呈现小时级，确保企业能够及时获取最新的威胁数据。通过NGTIP态势情报，企业不仅可以快速获取最新APT、勒索以及数据泄露等安全事件，还能实时掌握最新黑客组织画像信息，行业威胁态势。

　　同时，NGTIP利用XGPT大模型进行知识抽取，实现自动化和高效的处理。基于XGPT自动化处理提取的攻击工具、攻击手法及攻击IoC情报，企业可进行快速排查及检测防御，也可针对性订阅与自身相关的重点行业、黑客组织、攻击工具，建立企业自己的重点风险画像，有针对性地加强安全防御。

　　NGTIP从各种来源抽取非结构化数据，包括IP地址、域名等节点信息，并将其存储在图数据库中，从而构建了一套网络安全的知识图谱。樊兴华在采访中提到，“威胁知识图谱是一个基础，它会不断地自动更新，以反映最新的信息。通过图谱，我们可以解决用户在不同场景下的各种需求和问题。”

　　结语

　　微步在线始终坚持“TI+AI”的核心战略，以精准数据和先进算法为基石，不断精进产品实战能力和用户体验，从而在安全GPT领域保持领先地位。通过下一代威胁情报能力，NGTIP正助力企业构建更为坚固的安全防线。展望未来，微步在线将携手各界共同应对网络安全挑战，共创安全、可信的数字世界。