微步在线 微步在线薛锋：基于威胁情报的安全智能化

微博在线创始人兼首席执行官冯雪

2008年12月7日，新京报安全一直是攻守力量悬殊的事情。敌众我寡，敌众我暗，利用威胁情报实现自动防御和信息共享是未来网络安全的愿景。那么，自从2015年中国出现第一家专注于威胁情报的创业公司以来，威胁情报发生了哪些变化？情报驱动的安全情报应该走什么道路？本文是微步在线创始人冯雪11月29日在首届网络安全分析与威胁情报会议上的演讲。根据这篇发言，微信官方账号的“安全威胁情报”被速记和修改。

今天，我想和大家谈谈我自己对威胁情报和安全情报发展过程的理解。刚才CNCERT闫主任和金董事长反复提到了威胁情报与自动化的关系，所以今天我主要讲一下威胁情报在自动化和情报中的应用。

首先，我想和大家分享一下我们对安全攻防的一些认识。我们认为，安全攻防的事实是不够公平的。

从时间上看，左边是进攻方即坏人所拥有的时间，右边是防守方即这里的好人的时间。进攻和防守是好人和坏人之间的游戏。

时间上，坏人往往比我们的时间多，因为好人忙，坏人却可以专心做坏事。另外，从应急反应的角度来说，类似电影《拆弹部队》中的场景，当你开始反应的时候，敌人的时间表已经在响了。所以在攻防对抗的过程中，我们好人从一开始就在时间上处于劣势。

还有一点就是工具和资源。左边，还是坏人。我们可以看到，坏人其实比我们好人拥有更多的资源。

在座各位应该都有在安防行业工作十年甚至二十年的同事。想想二十年前我们有什么工具，今天又有什么工具。

答案是，在过去的20年里，我们好人的工具并没有得到很大的改善，但是坏人手里的东西这几年发生了很大的变化，而且成长的非常快。

我觉得，一方面是因为好人花钱买工具，老板会问投入产出比，我们很难回答，因为我们是在防止损失。

坏人不一样。他可以通过购买工具来抢劫银行。这个投入产出比非常容易计算。

大家都知道今年5月的WannaCry。据网上说，攻击代码是俄罗斯人窃取的美国NSA代码，最后朝鲜人利用这个漏洞进行攻击。谁受害最深？

是中国。

所以这是一个奇妙的现象:据说朝鲜人用俄罗斯人从美国人那里偷来的工具横扫了所有中国人，攻防双方在工具和资源上完全不对等。

从数量上看就更不对等了。这里的每个人都可以数一数自己的安全团队的数量。如果一个企业有十个以上的安全团队，那么在国内就是一个比较大的安全团队。在很多公司，甚至是非常重视安全的公司，安全团队都是两三个人，四五个人。一位数很常见。

但是作为一个企业，想上你的人远远不止十个，几十个，几百个，我们在数量上完全不对等。而且，我们这些安全的人，自己扫雪，坏人却跑了，你干完就干别人。所以对于每个企业来说，可能想攻击你的人甚至有几百个甚至更多，所以人力上存在巨大的不对称。

敌人自动化程度很高，数量很大。我们可能只靠几只大牛和几个高手，每只手拿着一个乒乓球拍对抗他们。我们如何与他们作战？而对于敌人来说，机器可以补充更多。所以，我们各方面都是不平等的。

还有一点就是我们发现企业购买了各种工具，但是当事件发生时，企业会发现一些非常必要的东西并没有实际使用。如果你把你的企业比作一个智能城市，你必须安装摄像头才能进入安全设施。

因为不管边境线有多好，但是城市里没有装摄像头，任何一个事件对我们来说都是一个盲点。所以边界不再是我们的问题。如果你没有能力在敌人进来后发现，其实我们做不了很多工作。

最大的挑战是，大多数时候我们不知道我们在和谁玩，也不知道我们的对手是谁。所以很多时候我们企业和对手之间的博弈有点像在玩空。

如果一台机器被骗了，会被格式化为普通病毒，但我们不知道对手会怎么做。如果我们不掌握对手的信息，对手就会处于蒙面状态，对我们了解敌人非常不利。

所以总结一下，安全攻防对抗就是八个字:敌众我寡，敌强我弱。在整个对抗中，我们其实处于非常不利的地位，这也是为什么大家都意识到了安全自动化和情报共享是未来的大方向，这个愿景非常好。

回到我刚才提到的一个问题，你可以反思一下。我在2000年左右开始从事这个行业的时候，我们当时配备了IPS，防火墙，IDS，然后WAF就出现了。我们现在配备的是什么样的装备，进步和进化体现在哪里？

现在我想和大家分享一下威胁情报的演变以及我对它的想法。为什么我们会想到在2015年做威胁情报？

一个很大的原因是安全问题归根结底是数据问题，而且往往是大数据问题，那么如何解决大数据问题呢？

解决办法就是用一个小数据点亮你收集的大数据。什么是小数据？威胁情报是点亮你的海量日志的小数据。

另外，我们终于有了一个有利的点，那就是云计算。

有了云计算，我们可以收集大量流量，收集日志，在攻防中做分析，也就是说坏人不能干涉。就好像我们在街上装了那么多摄像头，小偷无法抹去我们摄像头里的信息。即使他昨天没做什么坏事，通过这条路被拍到，我们也可以存储这个图像。这是第一次网络防御方比攻击方更有优势。

所以在2015年，我们做了最早的产品叫VirusBook，用来分析事件、黑客数据和相关性。这是我们最早想要解决的问题和出发点，因为我们发现事件发生的时候，大家都没有地方去寻找与事件相关的信息，每个人都需要一个专业的平台，所以这是我们开始的一个起点。

今天我们可以看到一个数据:美国被调查的企业有40%在使用智能，20%计划在未来一两年内使用，30%可能暂时不用。为什么这三成不打算用？

大部分原因是你的产品不够成熟，不能被客户直接使用。从2016年到今年，我们已经看到了许多不同形式的威胁情报着陆，最值得注意的是与SOC的结合。

其实SOC的运营有很多漏洞，会出现很多问题，导致甲方的成功案例很少..为什么国内很多SOC项目失败？

这是因为我们大多数计划的社会责任是以投入为导向的，而不是以结果为导向的。建立SoCs后，我们疯狂收集了成百上千种数据，发现都没用。但是现在威胁情报和SOC结合起来了，安全人员可以考虑为什么会收集这个日志，收到之后会有什么帮助，从而节省金钱和时间。其他应用，如利用威胁情报监控整个网络的安全状况，也有基于终端的EDR监控。比如我在终端安装一个探头或者传感器，采集主要行为，做相关性分析。我们的两个产品线，威胁情报平台和威胁情报管理平台，就是为了解决用户不能使用数据的问题，包括没有专业人员用户是否不能使用。

在应急响应方面，一个非常重要的环节是与各种安全设备的联动，包括防火墙和WAF。其实我们都用这些设备打开过各种API，可以自动调用。这是去年和今年包括上半年的主流应用方向。我们认为2018年和未来还有很长的路要走，所以接下来我就来说说我们对智能的理解。

我以亚马逊的智能音箱Echo为例。音箱本来在家里是一个相对次要的位置，没有电视重要。为什么那么多企业抢着推音箱？

因为音箱曾经是播放器，但是现在音箱已经成为了人机交互的最佳界面。比如你可以告诉音箱给我开灯/转空上然后调两次。所以，在家庭的场景中，这种智能的来源其实是我们人类的需求，是我们的大脑。我想到开灯，这是一种智能。

安全场景更加复杂。每个企业有几十甚至几十家厂商的几百个设备，比如A厂商的20个防火墙，B厂商的20个防火墙。如果要操作，需要修改每个操作界面上的配置。这其实是一个非常繁琐和多余的过程，一定会改变的。如果我们有需求，产品的制造商会尽最大努力满足每个人的愿望，因为这是大势所趋。

我给你看一个案例，在实际场景中经常发生。我现在就取样。

当我们辅助用户分析时，如PPT左上角所示，整个过程需要很长时间才能完成，因为涉及到的沟通人员很多，管理和操作的设备也很多。因此，这个过程实际上非常缓慢、复杂和容易出错

在理想环境中，我们可以将其简化为三个步骤。我们在客户端部署相应的设备或安全分析平台或其他智能平台后，客户看到报警后，可以自动点击智能平台发起服务，并传输给智能厂商平台。这里的平台可以自动调用WAF或者防火墙的接口，整个过程可以在一个小时或者30分钟内完成。一是实现了自动化，二是大大提高了企业采购的原有设备的利用率和使用效果。威胁情报不是取代防火墙、SOC或者你现在买的其他产品，而是提高它们的效率。

另外，我想稍微说一下企业使用智能的过程和生产的过程。上面这个工具叫主动防御模型，下面两个工具左边叫情报积累，右边叫钻石模型。

主动防御是指企业如何利用情报主动发现危害我们的攻击，如获取情报、了解情报、在安全监控措施中使用情报；比如网络流量监控、日志监控、终端监控，通过这些流量分析和智能应用流程，包括简单的IOC，包括基于异常行为关联分析的各种结果。发现问题后，触发第三阶段，称为应急。在处理的过程中，情报应该给你提供一些有价值的信息，告诉客户问题出在哪里，让客户确认是否要处理这件事。最后一个阶段是安全加固调整阶段。清除部分木马固然好，但仍有大量攻击不是木马。系统有可能存在漏洞或配置问题。

所以，根据情报，从应用情报，消化情报，应对，最后调整这个系统，其实是一个主动发现企业攻击情况，进行调整的好机会。

我以WannaCry事件为例。我们对WannaCry的保护可以分为几个阶段。在第一阶段，得到WannaCry的IOC信息后，无论是在防火墙还是在日志中，如果你看看有没有人请求解析这个域名，基本上你的编辑器已经获得了WannaCry，所以这是一个很好的检测机制。第二阶段，WannaCry有一个非常独特的东西。我们发现这个域名可以作为交换机使用。一旦在内网设置了域名解析，这个开关即使没有打补丁或者受到WannaCry的攻击，也能让这个机器免疫。

13号我们发布交换机之后，国内应该有很多大企业的终端。事实上，内部网中的这种措施已经阻止了许多主机被感染，因此这种缓解措施极大地抑制了WannaCry的爆发。

最后一个阶段叫做自动联动修复，这是一个还没有出现的相当美好的愿景，但是我们的一些客户现在已经开始尝试了。比如国外的一些自动化运维软件可以用来打补丁。如果在他的网页中检测到WannaCry，我可以告诉他哪个漏斗需要打补丁，他可以立即打补丁。

最理想的情况是他发现自己被攻击，知道自己要打补丁，我们的系统会连接第三方软件来打补丁。这是之前主动防御模式的完美例子。

情报积累，除了买第三方安全公司或者其他单位的情报，我们更应该重视和自己直接相关的情报，因为这个情报和我们最相关，可能也是最有价值的。

大家应该都接触过这两种模式。左边的分为七个步骤，从扫描侦察到制作武器，再到投掷敌方武器，最后是窃取数据。右边的钻石模型可以分析敌人是谁，他有什么能力，他有什么基础设施和工具。

有一个很简单很常见的例子:攻击者查找公司财务人员的联系方式，然后写一封电子邮件，附件是有漏洞的文档，然后搜索财务人员的电子邮件，然后购买一个有office漏洞的木马，然后发送一封伪造的财务电子邮件。财务人员点击打开，漏洞被成功利用。然后在漏洞被成功利用后，第五步安装木马，实现多控多命令的第六步，第七步达到目的。

如果我们看看右边的钻石模型，就会发现你被木马攻击了。黑客制作恶意文档。在运营的分析日志中，你会发现你在IP中访问过黑客的服务器，或者企业中的其他笔记本服务器实际上与这个黑客有过连接，然后你就可以看到别人通过黑客的域名发送的信息。当然，这是一个非常简化和理想的模型。但是这个钻石模型可以帮助我们理清敌人是什么，敌人有什么，敌人想做什么，这些都很重要。如果你单纯的把它当成病毒或者木马，这个分析对我们来说价值不大。

为什么应急响应会给企业网络安全团队带来很好的机遇？如果你能在短时间内发现自己被攻击，并迅速做出反应，那么攻击者不仅能窃取你的信息，还能迅速堵塞漏洞，你还有机会知道这个敌人是谁，他想干什么。

可能在座的很多企业可能都不是很清楚那些想攻击你的人或者几十个人是谁，他们想做什么，他在哪里，他是什么组织，我们大部分时间都没有机会和他们打。当然，这个过程也带来了一些挑战，比如你如何管理你想要积累的信息，我们将在哪里积累信息，或者如何管理。

另外，你和他交手一次之后，你发现他的一些工具，IP，木马，身份，但是他会不断的变化，会有新的工具，新的IP，新的木马，新的身份，所以其实长期追踪就变得很重要了。

最后分享一下微步在线的情况。自成立以来的两年半时间里，我们总共筹集了1亿多元人民币。今年我们完成了B轮融资。主要投资方包括北极光、乳山、高淳资本。高淳资本过去大部分投资都在2C领域，我们是2B领域为数不多的企业之一。

在人员方面，我们有一支70人左右的团队，由最初的几个人组成，包括亚马逊、微软、BAT、美团、JD.COM等R&D实力较强的公司。从市场的角度来看，我们应该是国内唯一入选高德纳威胁情报市场指南的公司，这可以算是市场对我们的一种认可。

在客户方面，我们还为大约200到300家国内企业提供服务，其中40到50家是付费客户，主要集中在金融、能源、互联网和政府行业。此外，我们在今年9月被选为全球500强网络安全公司之一。

这是我们产品的分销。情报公司的产品化能力其实很重要。仅仅提供数据或者IOC并不能解决客户最大的问题。

我们从早期的威胁情报社区起步，现在从早期的查询平台发展到国内最大的威胁情报平台。每天大约有20万或30万条情报被用户提交给我们，每天这个平台上大约有几千个活跃用户。这也是一个不错的威胁情报设施，可以查询分享。

另外，我们有国内最大的免费沙盒系统。这个系统是免费的，无论是上传在线页面还是API。我们也有自己的基于人工智能和大数据的数据追踪和追踪平台。大量的数据是通过API连接的，我们在里面打开了几十个各种API，可以在我们的网站上看到，和大家连接。

此外，我们还开发了可以安装在企业中的平台，如TIP和TIM。我们把微步的智能能力放到平台上。这些平台很大程度上可以解决多个智能和设备管理的联动，这就是所谓的智能。

另外我简单介绍一下我们的黑客画像系统。

与此同时，我们追踪了国内外大约一两百个各种各样的黑客团伙。我们画这些帮派，有点像百度百科或者维基百科。我们可以看到有很多关于黑客的描述，更重要的是，我们在自动跟踪这些团伙的信息，因为我们有大量的模型来发现这些黑客。比如一个曾经黑过你的黑客，明天造了新木马，后天造了新IP，很大程度上和我们分不开。

最重要的是，我们的总部在北京，在上海和深圳也有分公司。我们欢迎对威胁情报和安全分析感兴趣的同事，也需要对威胁情报、安全情报和安全自动化感兴趣的朋友。欢迎大家加入我们的伟大事业。

引用丘吉尔的话，我们觉得威胁情报的整个应用才刚刚开始。虽然国外可能需要四五年，国内可能需要两年多，但这只是开始，充其量只是开始的结束。所以，其实我们还有很长的路要走。希望微步在线能和大家一起，通过和大家的交流，包括服务大家的过程，不断优化和推动威胁情报在中国的发展。