【安全牛CS】威胁情报峰会

三、安全值-5分钟量化企业安全风险

 —— 谷安天下安全值产品总监 赵毅

 

安全值是怎么来的？

 

谷安天下是一家信息安全咨询公司，借助“威胁情报”这一前沿技术，打造了一款产品，通过这款产品可以实现五分钟量化企业的信息安全风险。

    

我们关注威胁情报这个领域已经有两年的时间，通过调研发现，国内国外有非常优秀的数据资源，威胁情报的本质就是数据。但数据的纬度是不同的，因此如何把数据用好，是我们想要解决的问题。数据分析和处理或者是机器学习，不是谷安的长项，但我们可以基于威胁情报生成一些信息，并形成产品。威胁情报有了，但它的价值何在，如何使用这才是我们在做的事情。

 

信息安全领域，好多技术聚焦在攻防对抗、应急响应、事件处理和漏洞挖掘等方面。但谷安想解决的是上层应用，即用数据威胁情报做风险管理。这方面谷安天下就非常专业了，我们本身就是做IT风险的，所以建立一个比较好的风险评估模型，把数据玩好，还可以输入到SIM、SOC，发挥我们咨询顾问的优势，从风险评估管理这个角度来做解决方案，这就是安全值的思路。

四、攻陷指标(IOC)不等于威胁情报

 -- 微步在线创始人兼CEO 薛锋

 

微步在线应该是国内第一家专门做威胁情报的公司，去年6月份成立的时候，国内对威胁情报的实践几乎没有，大家对这个概念还是处在学习和观望的阶段。即便到了今天，大家还是对威胁情报的理解有一些不同，但这种百家争鸣、百花齐放的环境是非常好的。我们的定位是一个专注于做数据的公司，我们做威胁情报最核心的就是两个东西，一是数据，第二个就是对数据的分析，分析之后提炼出来有价值的东西。

    

Norse的可视化做得非常好，但它的失败是在比较重要的威胁情报事件里做了很多严重的误判。所以威胁情报公司还是应该比较严谨的。比方说索尼影业被黑，说这不是朝鲜干的，是伊朗干的，如果连续有几次这样的事件离关门就差不远了。

    

做威胁情报分析是一件很苦逼的事情，但对于我们做的人来说是很有乐趣的。我们做网络安全真的不止是漏洞，也不止是病毒，对这些东西的进行有效的关联和展示才是最有意思的。因为只有把这些东西串到一块才是一个故事，如果只看病毒，只看代码，是没有价值的，或者说价值非常有限，尤其是对做应急响应来说。

 

作为比较年轻的公司，在威胁情报方面有哪些实践和应用，其中我挑第一个和第三个单独说一下。第一个事情是在咱们这个圈里面非常有名，去年9月份的Xcode事件。有人设法控制了全国大部分的iPhone，但是我看到一个有趣的现象，很多安全厂商，友商在做各种不同的分析，有人做病毒功能的分析，有人分析有多少APP被感染，有人分析背后的作者是谁，形成了百花齐放的局面。

五、白帽汇视角的威胁情报

 —— 白帽汇创始人兼CEO 赵武

 

业内威胁情报已经说了很久，去年阿里也提威胁情报，但它起码分两块，为什么会出现这种现象呢？我想起一个段子，别人问马云，说王石经常去爬珠峰是为了思考一个问题，你怎么看？马云说其实这个问题我坐在马桶上也能思考。

 

我再讲一个很有意思的现象，很能阐述我说的威胁情报跟现有威胁情报的区别。某一个公司，这是真实的案例，他们配合国际上的一些法制法规，招到一个很牛的技术，那个技术天天帮别人写代码，去找这个部门，搞了一个月，弄出一两个后门，高兴得不得了。后来那个部门招了一个美女，这个美女什么都没有，就坐在旁边说：“大哥，这是后门的特征，你能不能给我整一些？”那个美女一个星期整了十多个。

 

我想说的意思是，威胁情报有两块来源，第一块来源是实验室分析出来的，他们很酷，我真的觉得很酷，因为我们做不到。但是从另外一个角度来说，有些情报未必看数据才看得出来。我发现一种现象，我建一个群，我不分析数据，我就吼一声，就有人出来说“这事情我知道”。这种情况其实对我触发很大，我们公司叫白帽汇，我们做的思维可能跟实验室的思维不一样。