物联网、工业互联网、万物互联的飞速发展正在加速全面数字化世界的到来，虚拟空间与物理世界正在被打通。来源于虚拟世界的黑客攻击足与将其破坏性延伸至现实世界转成物理的伤害，直接危害政治安全、国防安全、关键基础设施安全、工业生产安全、金融安全、社会安全甚至公民的人身安全。

随着网络安全风险的不断升级，网络安全攻防对抗的对手也早已不再是曾经的"小蟊贼"，高智商的网络犯罪组织、网络恐怖主义分子和国家级黑客组织这样的 "大玩家"们在纷纷入局，成组织、成建制，有战术、有布局的"正规军"们凭借着较高的"战术修养"和攻击资源在网络空间中虎踞一方，从国防核电到电力交通能源等关键领域都成为了这些组织攻击的靶心。 "看不见"威胁全貌、缺乏应对威胁之良策，赫然成为数字时代下的致命一环。

在这样的背景下，8月13日，"威胁情报驱动的安全能力建设论坛"正式在第八届互联网安全大会ISC 2020揭幕，资深网络安全专家、360高级威胁研究院副院长宋申雷，神州网云CEO、重大活动网络安保组网络安全专家、网信办网络安全和信息化专家委员会专家、烽火台威胁情报联盟联合创始人宋超，360网络安全研究院安全分析工程师张在峰，北京天际友盟信息技术有限公司技术总监刘广坤，360企业安全集团高级产品总监高祎玮5位威胁情报领域资深专家就当下严峻的网络安全威胁态势，和如何用威胁情报驱动安全能力建设的话题展开了深入的探讨。

传统防御已难御敌

威胁情报是狩猎APT攻击的重要武器

论坛伊始，资深网络安全专家、360高级威胁研究院副院长宋申雷率先结合360基于高级威胁情报能力狩猎APT组织案例，分享了360威胁情报金字塔建设的经验和思考。宋申雷谈到，网络世界中的安全威胁无时无刻都在变化，而高级持续性威胁(APT)目前已经成为政府和企业不可忽视的重要威胁。由于APT具有定向性、长期持续、隐蔽潜伏的攻击特点，使得安全人员运用传统的检测手段无法辨别和发现APT攻击，而借助海量的安全数据、先进的机器学习技术和经验丰富的专家团队产生的高级威胁情报进行威胁狩猎，已经成为安全人员发现APT攻击真正有效方法。

宋申雷表示，传统被动式的防御手段以及针对单点的攻击取证与溯源技术已经无力应对高级持续性威胁(APT)和新型高危漏洞等复杂的安全威胁。未来，威胁情报的作用会进一步被放大。结合关联威胁情报，可以对攻击方进行组织画像和溯源，利用威胁情报构建攻击知识库，能够实现对APT攻击的智能化攻击意图推理及样本变种自动化跟踪。在信息共享和事件应急场景下，根据威胁情报反映的互联网安全态势，有助于预判后续可能的安全风险，使得响应网络威胁的速度更快。

威胁情报应用的关键价值在于协同、共享、生态

数据标签化是锁定威胁源的重要手段之一

针对威胁情报能力的建设问题，神州网云CEO、重大活动网络安保组网络安全专家、网信办网络安全和信息化专家委员会专家、烽火台威胁情报联盟联合创始人宋超认为，目前网络安全公司每天收集的报警信息量级在上百万个日志事件和数十万个指标的数据,对于威胁情报分析师而言，已经无法完成每天的分析工作，必须自动进行数据收集和处理及分类，使用元数据报警标签、人工标签、第三方威胁信息标签对其进行标识，形成画像，精确识别每个网络安全事件的全方位信息。

安全研究团队应该基于威胁同源关联分析模型，需对威胁情报中心进行优化，内置威胁同源关联分析算法，以支撑相关分析工作。基于情报的威胁同源关联分析技术核心在于对威胁源的标签化画像。对看似不同源的多个安全威胁，通过画像标签的深度关联，来挖掘和判断其之间的关联关系，实现不同威胁线索的串联。对每一次高级威胁攻击的攻击链条的每个环节打上威胁标签、行业标签，提取IOC指标发现关联关系，进行针对性的防御。

以更科学透明的IOC评估机制

提升威胁情报IOC的应用水平

360网络安全研究院安全分析工程师张在峰则分享了360在威胁情报中IOC评估工作中的实践方法。张在峰提到，在威胁情报的使用过程中，威胁情报IOC的定量评估是衡量威胁情报质量的关键。因此评估威胁情报的IOC质量对于IOC的提供方和使用方来说都有非常重要的现实意义。