TI Inside 威胁情报生态初探

业界
4年前

 收录于话题

#数世咨询1

#TI Inside1

#威胁情报生态1

#威胁情报1

#天际友盟1

在一定封闭的空间内,阳光、水、空气,一定种类和数量的生命体,经过一段时间的“失控”发展,形成稳定的活动状态,这个状态就是一个生态。

网络安全产业中,威胁情报已经成为阳光、水、空气一样的生产要素,必不可少。但是围绕威胁情报,构建一个生态,可行吗?

▶ 威胁情报生态的可行性与必要性

对于勒索软件、1day漏洞等较大范围针对多目标的犯罪行为,攻击者的手段和资源越来越趋于“一次性”,但是不同目标间会有攻击触发上的时间差,针对同一目标的APT攻击也会有规律性的侦查行为,会暴露出攻击者行为上的习惯。除了列举的这两类威胁,在多个威胁场景下,威胁情报的价值都能够得到充分体现。

因此,无论是被动的边界防护类产品,还是主动的威胁检测与响应产品,亦或是攻防演练场景中的团队攻防,都需要威胁情报做为直接或间接的支持。这里的痛点是,威胁情报需要有很强的时效性和准确性。仅靠各家安全企业自己,很难全面、及时、准确掌握所需的威胁情报。

另一方面,各家安全企业都有各自的特长,也有自己的外部情报来源,更重要的,安全企业多种类的安全产品,自身就具备内生情报的生产能力。如果行业内多家安全企业能够将情报数据高效协同互通有无,威胁情报的覆盖面、时效性和准确性能够得到有效提升,安全产品及攻防团队的检测、防护成效可以得到更大程度的支持与保障。

从这几个角度来说,围绕威胁情报的生态建设是必要的、可行的。

近日,在TI Inside威胁情报应用生态协同峰会上,天际友盟提出了Inside(核心)、Insight(洞察)、Intelligence(智能/情报)、Innovation(创新)以及Industry(产业)五大核心元素,希望构建以威胁情报为核心的赋能型安全生态。这是怎样的一种生态,在这个生态中,天际友盟的生态位是怎样的呢?

▶ 情报生态中的生态位:好的位置=好的价值

什么是生态位?生态中的某一物种,对生态中其他关联物种能够持续相互作用并相互受益,实现稳态共生的最佳位置。

这个“位”,一定是占据资源最少,对生态伙伴正向作用最大,让生态各方能够稳定受益,甚至共生进化的状态。

因此,好的位置就等于好的价值。

在TI Inside生态中,天际友盟有四个生态位。

第1个生态位:“搬运”

很多有情报需求的企业,并不适合自建团队或力量,做威胁情报的收集汇总工作。需要一个“搬运工”帮其做好情报的搬运、汇聚与整合。天际友盟汇聚的全球200+情报源,每日能够提供2000万+热情报的更新,情报搬运工的身份清晰直接。几乎不占用生态资源,但是能为整个生态持续提供高时效的威胁情报。

001.png

第2个生态位:“加工”

天际友盟并不仅仅局限于简单的搬运。各方情报汇聚后,并不是直接就能使用,需要将多来源新鲜情报统一格式,将重复的情报去重,将过期的情报更新过滤,将错误的情报纠错。总之经过格式调整、去重、去冲突、更新等手段后,将情报初步“净化”,筛选出对生态伙伴真正有价值的情报。

第3个生态位:“赋能”

情报经过初步加工后,还需要根据情报需求方的不同场景,进行场景化适配。一个方向是向纵深赋能。例如针对安全企业,分别提供明文数据、情报库集成、产品集成、大型解决方案等不同程度的情报赋能,由浅入深形成纵深。另一个方向是向广度赋能,除了安全厂商,还可以向云厂商、互联网企业提供数字品牌保护,以及未来更多的面向咨询公司、律所、知识产权保护、市场营销公司等提供更多场景化的情报服务。这些都是情报在不同场景下的“赋能”形式。

第4个生态位:“共生”

TI Inside中,各合作伙伴除了是情报接受方,同时也是情报生产方和提供方。

各合作伙伴能够对生态提供重要的情报补充——众多安全设备发现的安全威胁转变而来的情报。这些情报交换返回给天际友盟这样的“搬运工”,经过上述加工、赋能后,再次反哺给众多合作伙伴。由此形成良性循环,生态各方和谐共生。

综上,通过上述威胁情报生态中的各个生态位,天际友盟与各合作伙伴共同组成了开放的赋能型威胁情报生态。

▶ 生态生命力的关键:主动进化

每一个生态,都会在一定时期形成稳态。稳态下的生态空间,如果是封闭的,这个稳态就会持续足够长的时间,但是如果有外来物种进入,这个稳态就有可能被打破。因此,生态的稳态,并非绝对状态,而是相对状态。

面对可能发生的生态变化,保持生态生命力的关键:主动进化。

天际友盟的做法是:

1.不封闭。接受、甚至主动扩大生态的开放性。例如,始终欢迎生态合作伙伴加入,主动采用明文情报、Feed订阅、数据卡片等方式,不人为增加门槛而是尽量降低使用门槛,目的就是保持生态的开放性。“失控”是主动保持生态进化的唯一方式。

2.不竞争。合作伙伴做的安全产品,天际友盟不做,无论是防火墙还是TDR(威胁检测与响应),以及更多生态伙伴的安全产品,天际友盟都不涉及。情报的目的是赋能,而不是内卷。当生态伙伴做大的时候,整个生态的生命力都会更强。

3.不做蜂后。蜂群的群体智慧,并不来源于蜂后,蜂巢中的每一只卵都有成为新蜂后的潜能。当威胁情报生态中出现更多“天际友盟”时,说明生态中需要更多的“赋能型生态位”为整个生态提供情报的汇聚、加工和赋能。这恰恰是整个生态更加旺盛的表现。

002.png

作为先行者,天际友盟确实看到了威胁情报生态的生命力。通过构建场景化的赋能型生态,天际友盟已经协同联动了60+专业安全厂商,共同最大化发挥威胁情报的价值。

相信与这些生态合作伙伴一起,TI Inside威胁情报生态会帮助更多用户发挥情报的价值,发挥安全的价值。