服務眾多安全客戶，「天際友盟」通過構建生態的方式落地威脅情報

威脅情報這一網絡安全技術最早來源於美國，近年傳入國內後也逐步引起眾多安全廠商的重視。

關於“威脅情報”這一技術名詞，Gartner曾給出專業定義。它認為，威脅情報是某種基於證據的知識，包括上下文、機制、標示、含義和能夠執行的建議，可用於資產相關主體對威脅的響應，或為決策提供信息支持。

簡單理解，威脅情報通過對大量相關數據積累和分析，在攻擊發生之前告知企業等防守方需要注意的方向，希望達到防患於未然的效果。在實際落地中，威脅情報常常作為一種較底層的技術，為各類安全產品提升能力。

根據權威研究機構IDC 的調研數據顯示，威脅情報可以顯著降低風險，同時推動安全和運營效率的提高，將企業發現威脅的速度提高10 倍，響應和解決威脅的速度提高63％，並在受到攻擊之前主動識別出22％ 的安全威脅。

當前，國內威脅情報領域的參與者大致分為全棧型廠商和專精型廠商兩類。在專精型廠商中，有公司以威脅情報能力切入，將情報封裝成產品提供給金融、能源等客戶，並且希望在對各種類型安全產品的拓展中，成為較綜合的廠商。而另一類公司則主要輸出情報能力，客戶包括不少其他安全廠商，並希望在此基礎上構建生態。Gartner在《2019 安全威脅情報產品&服務市場指南報告》中指出，“ 網絡安全廠商可以先預打包海量多源機讀情報（支持數百萬甚至數十億的威脅指標），並集成到一個特定設備中進行檢測和防禦，用於擴充現有網絡安全解決方案。”

36氪日前接觸到的「天際友盟」就屬於後者。該公司成立於2015年，一直專注威脅情報領域。在融資表現上，天際友盟在2020年底宣布完成B輪融資，投資方包括真成投資、渤海創富和考拉基金。

在於日前舉辦的TI Inside 威脅情報應用生態協同峰會上，公司CEO楊大路介紹了天際友盟的定位及特點。

其表示，天際友盟從成立開始即保持做威脅情報則必須做生態的道路。公司一直在希望將威脅情報和業界以及客戶共享、交換以及協作。這在具體解決方案上也有所體現，楊大路介紹，公司除自研情報外，還匯聚全球200多個情報來源的數據，每日更新2000萬+熱情報。公司還以Feed的形式輸出明文情報數據。

另外，其還為許多安全產品提供了較為個性的解決方案。具體而言，天際友盟TI Inside還設計出三種典型的情報融合策略，包括處置類集合、分析類集合、EDR集合，針對不同的集合篩選出適用的威脅情報數據，滿足不同類型的安全產品與威脅情報進行高效的融合。按照不同的情報來源和威脅類型，天際友盟的威脅情報市場建立情報卡片體系，在訂閱威脅情報數據時，只需要將感興趣的一張或多張卡片加入至數據下載集合，便可以自由下載使用。目前公司維護包括自有情報、IBM、火絨、網宿等多家優質情報源，包括惡意軟件、C&C節點、數字貨幣、APT情報、惡意網站、病毒木馬等在內的40餘種情報卡片。在客戶數量上，公司當前已有60多家安全廠商客戶。在楊大路看來，這些產品的切入點和合作的思路也契合天際友盟堅持的生態理念。

在會議中，H3C安全攻防實驗室主任梁力文也認為，協同和共享特性決定了TI Inside生態建設需要企業客戶、安全廠商和情報廠商一起努力。基於威脅情報的主動安全和縱深防禦體系共生，縱深防禦是主動安全的落地抓手，二者相輔相成。TI Inside模式能夠實現威脅情報的生產和消費閉環，讓威脅情報有效流動起來，進而拉高企業整體防禦水位，縮短檢測響應週期，提升風險預測能力和分析水平。

奇安信威脅情報中心負責人汪列軍錶示， “內生情報”是威脅情報SaaS化賦能的必備補充，適配無法外聯的封閉組織防護場景，同時應對APT高級威脅也需要內生情報數據和相應的判定能力，也就是除了使用開源和商業的威脅情報數據，也要從自身的安全設備、應急響應及安全分析過程中收集威脅情報。目前，這種既“消費”也“生產”威脅情報的用戶佔比甚至近半。

另外，針對融合TI Inside工業互聯網安全體系的構建，六方雲產品部總經理劉建興認為，靜態、滯後的傳統工業安全技術面對自動化、多樣化、智能化的網絡攻擊已力不從心。採用AI威脅檢測+TI Inside模式，通過威脅檢測、交叉驗證和溯源查詢等方式，將威脅情報能力融入六方雲工業互聯網安全產品，可以挖掘隱藏在工業大數據中的安全風險，較為全面地感知工業生產全生命週期的安全態勢。

顯而易見，不論與會嘉賓的具體觀點如何，威脅情報的價值與意義早已在不斷地市場教育中被認可。即使國內威脅情報公司發展路線各有差異，但通過建立生態的方式，服務諸多安全客戶，是天際友盟一直以來的特點。

本文經授權發布，不代表36氪立場。

如若轉載請註明出處。來源出處：36氪