為什麼要搞1000萬黑客特工情報獎勵計劃

讓我們來看看威脅情報的「黑客特工」的真實生活吧！

一名高級特工偷偷潛入了一個黑產團伙，為了獲取有價值的情報信息，他日夜堅守在時刻存在危險的一線，甚至要偽裝成為黑產共同行動，在每一個行動中發現蛛絲馬跡，最後將這些信息匯總分析成有價值的情報傳回總部。

這也許是網路安全、威脅情報領域最真實的寫照，這些特工們將更多的計算機網路、雲端和千千萬萬的演算法模型構建出來的超級大腦，實時監控和監測那些不法分子的入侵，獲取有價值的信息和情報，將這些團伙一網打盡。

目前的網路安全正在向數據化、雲端化、實戰化的方向發展，對於企業而言，有效的入侵檢測是不可或缺的能力，建立全面可持續的威脅監控，及時掌握來自網路的未知威脅情報，是企業安全戰略中的關鍵一環。雷鋒網雷鋒網

為更進一步了解威脅情報行業的發展及技術突破，雷鋒網和微步在線CEO薛鋒聊了聊，並讓他為我們深度解讀威脅情報（特工）領域（真實生活）的發展狀態。

威脅情報的「神秘面紗」

很多企業，甚至是安全廠商認為威脅情報是一個很抽象、很神秘的概念，但是威脅情報在網路安全市場卻並不陌生。威脅情報針對威脅者利用惡意軟體、漏洞，收集用於評估和檢測的數據，這些情報數據能夠讓安全團隊更快地響應攻擊和緊急威脅，幫助企業優化漏洞修復，制定安全防控策略。

「我經常用這個比喻，威脅情報就像 AI 技術，當我們談這樣一個抽象的技術時，其實很難理解它到底有什麼用，或是如何落地的，因為它是一個底層技術。但是如果我們將這技術應用在一個系統中，告訴客戶可以實現什麼樣的功能，他們就很容易理解。」?薛鋒表示。

其實無論是威脅情報，還是 AI、大數據分析，這些技術都能派生出其獨立產品，並改變行業生態。威脅情報也會滲入到很多安全產品中，如WAF、IDS、SOC等，最終在後台「施展拳腳」。

一個典型的例子就是 CrowdStrike 公司，這家終端公司的背後有強大的威脅情報平台作為支撐，他們會將威脅情報轉化為一個終端或是一套軟體呈現給客戶，幫助用戶解決安全問題，情報能力與呈現給公司的產品落地場景不太一樣。

在威脅情報的應用中，用戶拿到的是威脅情報廠商分析之後的結果和信息，而不是製造和研究情報的能力模型，相比於內部的核心演算法，用戶更在乎的是威脅情報的結果，至於底層分析的引擎，用戶不關心。雖然用戶看不到實際的威脅情報，但是在他們購買並使用產品之後威脅情報的「使命」就已經開始，這也是威脅情報保持「神秘面紗」的重要原因之一。

但是，對於有些行業的公司來說，很看重自身核心業務的數據安全，根據微步在線的經驗，薛鋒將其分為兩種情況。「在威脅情報項目落地時，一種是比較理想化的場景，用戶的環境和數據與微步在線的雲端進行連接，這種情況的前提就是用戶的數據敏感度不高，並且充分信任我們的環境。另一種情況就是客戶的數據我們不能對接，此時就需要一種落地的方式，將前端的處理方式在用戶的環境里落地，將獲取的信息情報單向推送給用戶。」

很多涉及到信息安全的產品後台都有多個開關，允許用戶去調配，設定用戶與產品之間有多大程度的聯通，是單向還是雙向，是充分還是一半，這是需要向用戶公開的。以微步在線為例，在雲端上傳的用戶信息，都要有用戶的審核，需要在用戶知情的情況下進行，這是對用戶信息與隱私的尊重，更是在開展威脅情報落地中不容忽視的一點。

1000萬獎勵計劃

在開展威脅情報服務中存在一個巨大的「黑戶」——黑產，為了能夠更好地在雲端進行安全防護，與這些「心腹大患」對抗，微步在線在「2019網路安全分析與情報大會」現場向社會發起了1000萬情報獎勵計劃。

薛鋒坦言稱：「全國每天有那麼多生產在活動，受騙的人遠比我們想像中的要多，但是我們微步在線本身沒有那麼多人，所以我們希望一些技術人員可以將掌握的有價值的情報信息展現出來。」

這個獎勵計劃本質上是一種有償的情報共享行為，利用眾人的智慧，共同「圍剿」黑產。薛鋒表示，這個獎勵計劃實行匿名制度，在不觸碰用戶隱私的情況下挖出黑產們的不合法行為。

「有的情報可能要幾十塊錢，有的則要幾萬塊，我們根據用戶給我們東西的價值去決定獎勵的金額。目前這個計劃已經上線了一個星期，但是第一天就已經收到了十幾個用戶提交的線索，其中包括IP、木馬情報和境外團伙等。從整體上來看，雖然這個計劃是面向全社會，但是最終參與者一般都是技術人員，一方面其他人可能對這個並不感興趣，另一方面他們手裡並不掌握這一方面的線索。」

在薛鋒看來，這個計劃能夠吸引到一批技術人員是一件值得高興的事情，這讓威脅情報「更接地氣兒」，他稱看到了情報威脅領域內存在的活力、熱情和希望。

「在網路安全中存在問題有很多，解決辦法有很多，遇到的困難也會很多；發動群眾的智慧，進行眾包是一個比較省力的辦法。但是沒有人願意無償地花那麼多心思去做，因而需要一個平台，一種全新的方式把這個機制撬動起來，以推動情報共享。」

實際上，在情報共享方面，微步在線早就與很多大型公司、安全廠商有所行動。去年 7 月，中國互聯網協會成立威脅情報共享工作組，微步在線作為組長單位；此外，微步在線還與平安、萬能鑰匙 wifi、奇安信、數字觀星，以及上海的一些單位共同成立了一個威脅情報共享聯盟，共享情報信息。

「但其實這些共享平台的直接共享性還是有一定的難度。一方面，任何數據共享都需要去衡量付出和收穫的比例，如果無法衡量的話，每個成員機構都會只考慮自身利益而忘記顧全大局。另一方面，怎麼轉化十個情報跟一個情報的重要性比例？這其中存在著公平問題、動機問題，都是很難解決的。」

雖然這些問題沒有一個完美的解決方案，但這些聯盟也已經開展了很多的工作，比如中國互聯網協會的威脅情報共享工作組，成員單位之間有統一標準、統一介面、統一語言，雖然還遠達不到很多人期望或者理想的狀態，但實則已在推動整個行業的發展。

「賦能」國內威脅情報

威脅情報的發展離不開社會的關注，最近國內推出了等保2.0，其中首次出現了對「威脅情報檢測系統」和「威脅情報庫」的要求。在薛鋒看來，威脅情報檢測系統進入等保合規里並提出新的要求，這是等保2.0擁抱新技術的一個標誌，也是威脅情報行業在國內逐步走向標準化、正規化和法制化的開端。

威脅情報在國內起步較晚，在國內，很少有人願意花錢去買這樣的服務，但是仍舊有很多安全廠商持續去做。薛鋒稱，對於微步在線而言，不僅要在技術上保持持續更迭，還要不斷探索商業化道路，研究產品的落地形態，深挖用戶需求。

「威脅情報需要考慮的是最終到用戶的手裡的東西，是否能夠解決用戶的需求。否則情報再厲害，如果不能滿足用戶所需，也不會體現價值。隨著OneDNS正式落地，在業務落地方面的場景和產品化的能力上還要做更多的持續改進和提升。」

目前，微步在線主要是對已有演算法和模型的應用，將這些技術應用到網路安全中，薛鋒表示微步要與AI相結合，更好地實現業務場景的展示。在提到微步在線如何保持威脅情報競爭力時，薛鋒指出了四個方面：

第一個是數據化，很多東西是數據化沉澱的結果，這些是別人不能輕易超越的東西；

第二個是模型化，在實踐中摸索和打磨出來的模型是別人短時間內追趕不上；

第三個就是產品化，模型的提升永無止境，而產品化是產生競爭差異的關鍵點，這一點跟數據化一樣重要；

第四個就是人才的培養，在威脅情報領域不僅要對技術，包括機器學習和深度學習有所掌握，還要理解安全行業的業務，綜合性人才的培養是保持競爭力重要因素。

面對國內市場的現狀，薛鋒看到了威脅情報在國內網路安全市場發展的可行性和發展空間，而威脅情報的重要性也在全球化網路環境中以越來越清晰的態勢展呈現出來。對於企業而言，把握好威脅情報，對企業網路安全和社會網路安全都將具有重大意義。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！