随着网络攻击技术的更新迭代，政企机构面临着愈加严峻的网络威胁和挑战，如何有效检测未知的网络威胁成为网络安全行业各方的共同着眼点。

在此背景下，网络安全威胁信息（英文为Threat Intelligence ，即威胁情报）正在重构安全防护体系，帮助政企机构更好的“知己”“知彼”，实现较为精准的动态防御，为政企机构数字化转型安全建设提供全新路径和手段，受到了业界的广泛关注和认可。 

为了进一步提升广大政企机构的网络安全实战能力，近日中国信息通信研究院安全研究所联合北京微步在线科技有限公司共同研究编制了《2020年网络安全威胁信息研究报告（2021年）》（以下简称“报告”），对网络安全威胁信息的产业发展现状和趋势进行了梳理，并结合行业案例分享了威胁信息的应用落地情况。

报告指出，威胁信息的本质是知识，如何在具体场景将知识落地并取得成效，是在各行业开展网络安全威胁信息应用的核心问题。

立足我国具体国情和网络安全需求，目前国内威胁信息应用落地有以下三个方向可供参考。

落地方向一：结合检测技术 在安全产品研发阶段，将威胁信息与流量分析、终端检测技术相结合，落地为基于网络安全威胁信息的检测响应类产品，部署在用户机构对应的网络环境中。 在这一方向上，第三方云服务是威胁信息落地的重要场景之一。

随着越来越多的政企业务向公有云、政务云迁移，云端已成为黑客、黑产团伙的又一攻击目标。

作为云服务提供商，需要提升云端整体的安全检测与分析能力，在海量的攻击中识别真实威胁，并对暴露资产进行全面梳理，提升云服务提供商对租户的安全运营能力，帮助租户应对安全威胁，并满足合规要求。 以某云计算服务商为例，针对公有云和政务云两个服务场景，均部署了微步在线具备威胁信息能力的威胁感知设备，以便更好地发现内部威胁、检测外部威胁、识别资产风险。

来源：中国信通院

图：云计算服务商威胁信息管理部署

对于公有云，该云服务商依托威胁信息进行失陷主机检测、定位以及取证分析，完成处置闭环。 

首先，在公有云网络出口位置部署具备威胁信息能力的威胁感知设备，并旁路镜像接入出站方向流量及内部DNS日志；其次，利用威胁信息发现内部失陷主机，并对失陷主机内网渗透路径、数据窃取等行为进行描绘。 对于政务云，该云服务商依托威胁信息，覆盖各租户的外部攻击感知、内部失陷威胁、资产风险梳理需求。 

首先，在政务云网络出口位置部署具备威胁信息能力的威胁感知设备，并在旁路镜像接入出入站双向流量；其次，利用威胁信息、行为规则、机器学习、沙箱等技术，对外部攻击、内部失陷、内网横移、加密、数据窃取等全攻击链威胁进行检测，并将敏感行为、告警结合威胁信息进行智能聚合完整还原攻击路线，描绘黑客画像。 此外，利用旁路监听，对租户应用系统暴露的服务、域名、端口、IP，以及管理后台、弱密码、API接口等资产风险进行全面梳理；最后，通过安全运营平台，对各租户的威胁事件和资产风险进行分离和独立呈现，为各租户提供安全增值服务。

落地方向二：建立共享机制 对于分支部门较多的用户机构，建立本地威胁信息管理平台，构建网络威胁信息库和威胁信息共享机制，提高网络威胁挖掘研发和应用能力。 共享机制的建立，既包括总部和各分支机构子公司的信息共享，也包括企业不同部门之间的协同研判，能够让企业对威胁信息进行深入分析，为企业提供准确的、可读的、有指导性的分析结果，研判报警的真实性、攻击者意图以及对应的风险等级，并且获得攻击者和恶意样本的详尽信息，充分发挥威胁情报的真正价值，为安全决策做全面支撑。 以某网络视频平台为例，除了不断加剧的网络黑客攻击之外，新的业务形态也带来了新型风险，如：撞库盗号、盗播盗看、营销活动“薅羊毛”、刷量刷人气、支付场景下的欺诈等行为，对该视频平台的稳定运营带来了很大的冲击。 

为了填补自身安全体系的攻击事件提取能力，提高网络攻击检测响应效能和业务风控能力，该网络视频平台部署了微步在线的威胁信息管理平台，并形成共享的威胁信息库，具体落地方案如下： 一方面，通过流量镜像实时检测可能的威胁，加强对未知威胁的发现和识别，并结合现有处置制度进行工单流转，形成高效的运营处置闭环，预防和及时处理各类网络风险安全事件。 

另一方面，威胁信息管理平台与日志系统、业务风控系统对接联动，将专业机构的威胁信息和风控等业务相关的威胁信息聚合。

利用威胁信息共享机制，威胁信息管理平台能够过滤筛选海量日志，以高质量的威胁信息数据支持相关的风险防控工作，赋能业务风控形成多维度分析因子，提升平台异常风险用户识别精准度，避免出现大面积封禁造成用户无法访问平台的现象，对于该视频平台安全风控团队及时掌安全态势并做出正确响应具有重要价值。

来源：中国信通院图：网络视频平台威胁信息管理部署

落地方向三：联动安全设备 联动其他网络安全设备，如IDS／防火墙、日志大数据平台等，与现有处置知识库与工单系统构建闭环处置流程，提升用户机构网络安全的整体检测响应能力。 事实上，对于很多应对高级威胁已经乏力的传统安全产品来说，与威胁信息的联动，能够实现数据的分享与交换，形成基于威胁情报的感知能力，进一步提升企业的整体安全防护能力，解决来自各种安全设备的海量安全告警问题。 

近年来，电子信息制造业已成为我国国民经济的重要支柱产业，并逐渐呈现国际化趋势。

由于存储了高价值知识产权与先进设计文件或数据的主机或服务器，容易成为黑客攻击目标。

同时，电子信息制造商往往在全球有多个办公区域，员工多、终端多，网络架构复杂，开展网络安全防护工作有一定难度。 为了应对未知的高级威胁，某电子信息制造商在企业网络内部部署了微步在线的威胁信息管理平台，并与现有防火墙对接，建立了闭环协作运营机制。 一方面，结合防火墙中网络出站访问日志，碰撞威胁信息管理平台中高质量IOC失陷指标（域名、IP），将确定的恶意域名回传给防火墙。
防火墙将收到的恶意域名添加黑名单并自动进行拦截与告警，弥补防火墙的内网失陷威胁检测能力。 

另一方面，利用威胁信息管理平台的联动能力，定期与威胁信息云进行数据同步和更新，确保失陷威胁发现和威胁拦截的准确性和及时性，实现防火墙对外连恶意通信的自动化阻断。

来源：中国信通院图：电子信息制造商威胁信息管理部署 

与电子信息制造业面临着类似问题的还有电信企业。由于承载了海量公民个人信息以及网络流量信息，电信企业很容易成为攻击者窃取数据的重点攻击目标。 以某电信企业为例，为了实现企业网络威胁检测能力的全覆盖，提升高级威胁发现识别能力，利用微步在线威胁信息赋能的威胁感知设备，对云租户网络、企业自用网络、企业办公网的出入站全流量进行检测，将告警日志统一接入大数据平台。 

同时，与现有处置预案知识库与工单系统联动，形成高效的运营处置闭环，提升了对网络威胁的检测和响应能力，为业务的稳定连续增加了一道防线。

来源：中国信通院图：基础电信企业威胁信息管理部署

结语 如今，攻击者对国家政府部门、关键信息基础设施、关键行业机密的攻击越来越猖獗，网络空间已成为国家安全的又一重要角力场。

金融、能源、电力、通信、交通等行业的关键信息基础设施一旦遭到攻击，可能导致交通中断、金融紊乱、电力瘫痪等严重后果，对国家安全具有极大的破坏力与杀伤力；核电、军工、高校、科技等领域的研发核心数据如果被窃取，可能会造成国家和企业机密泄露，后患无穷。 网络安全威胁信息能够检测与阻止内外威胁，增加黑客入侵成本，降低入侵速度，提升主动防御能力，确保组织提前做好准备，应对攻击，避免机密和数据泄露及资产损失，保护国家关键信息基础设施稳定安全运行。

因此，网络安全威胁信息的应用落地对政企机构的网络安全建设和运营具有重要意义。 作为国内首个“威胁信息”权威报告，《2020年网络安全威胁信息研究报告（2021年）》系统梳理了四大行业的典型应用场景，以详实的案例分析，为国内广大政企机构应用落地威胁信息提供了参考和指南。