威脅情報（Threat Intelligence），是指通過(guò)網(wǎng)絡(luò )測繪、大數據等方式獲取收集的漏洞、攻擊行為等威脅知識的集合及可操作性建議，可用于還原已發(fā)生的攻擊、預測未來(lái)可能發(fā)生的攻擊、輔助用戶(hù)選擇更合適的應急響應策略。

（一）國際政府積極引導，標準成果多樣發(fā)展，產(chǎn)業(yè)格局初步形成

以美國為代表的網(wǎng)絡(luò )強國高度重視威脅情報技術(shù)的發(fā)展。政策方面，美國出臺多份政府令等文件引導建立威脅情報共享機制，成立多個(gè)專(zhuān)門(mén)機構促進(jìn)政企間、行業(yè)間的威脅情報共享與分析利用，實(shí)施三期愛(ài)因斯坦計劃，建有高水平的態(tài)勢感知系統。標準方面，各國積極制定威脅情報標準，國外成熟的威脅情報標準有網(wǎng)絡(luò )可觀(guān)察表達式（CyboX）、指標信息的可信自動(dòng)化交換（TAXII）、技術(shù)和通用知識（ATT&CK）等。其中，ATT&CK是2019年RSA大會(huì )和Gartner安全與威脅管理會(huì )議的關(guān)注熱點(diǎn)，更結構化地描述網(wǎng)絡(luò )攻擊手法，支撐智能化學(xué)習攻擊知識。國際威脅情報標準趨向于構建更細粒度、更易共享的知識模型和框架。產(chǎn)業(yè)方面，威脅情報共享是應對復雜網(wǎng)絡(luò )威脅形勢、完善傳統安全防護系統的重要手段之一，國外著(zhù)名安全廠(chǎng)商FireEye、CrowdStrike、Flashpoint、Symantec、IBM等推出了威脅情報服務(wù)和解決方案，建設有X-Force Exchange等多個(gè)威脅情報共享平臺。

（二）我國政府積極布局，標準成果同步跟進(jìn)，產(chǎn)業(yè)生態(tài)有待提升

我國十分重視威脅情報發(fā)展，政策方面，習近平總書(shū)記在2016年419講話(huà)中提出“建立政府和企業(yè)網(wǎng)絡(luò )安全信息共享機制”，《網(wǎng)絡(luò )安全法》要求有關(guān)部門(mén)、網(wǎng)絡(luò )運營(yíng)者、研究機構、網(wǎng)絡(luò )安全服務(wù)機構等之間共享網(wǎng)絡(luò )安全信息，“等保2.0”中部署威脅情報檢測系統是合規的必需，工信部等十部門(mén)聯(lián)合發(fā)布的《加強工業(yè)互聯(lián)網(wǎng)安全工作的指導意見(jiàn)》中提出要建設安全威脅信息庫等基礎資源庫，但新政策引導下的威脅情報技術(shù)應用尚處在起步階段。標準方面，2018年我國發(fā)布威脅情報國家標準《信息安全技術(shù) 網(wǎng)絡(luò )安全威脅信息格式規范》(GB/T 36643-2018)，與國際最新標準相比，對攻擊的描述不夠細化，難以支撐智能化分析。產(chǎn)業(yè)方面，奇安信、奇虎360、微步在線(xiàn)、安天等廠(chǎng)商積極投入到威脅情報相關(guān)產(chǎn)品的研發(fā)和生態(tài)建設中，建成多個(gè)頗具影響力的威脅情報共享分析平臺，對外提供威脅情報服務(wù)，但情報收集與分析能力較國際水平存在差距，情報共享存在壁壘。此外，我國通過(guò)政企合作建有國家級網(wǎng)絡(luò )空間威脅情報大數據共享開(kāi)放平臺CNTIC，當前面臨多渠道威脅情報難以充分匯聚等問(wèn)題。

當前，網(wǎng)絡(luò )安全風(fēng)險不斷向工業(yè)領(lǐng)域轉移，工業(yè)互聯(lián)網(wǎng)正在成為網(wǎng)絡(luò )安全的主戰場(chǎng)。傳統被動(dòng)式的防御手段以及針對單點(diǎn)的攻擊取證與溯源技術(shù)難以應對高級持續性威脅（APT）、新型高危漏洞等復雜安全威脅。利用威脅情報技術(shù)能夠收集整合分散的攻擊與安全事件信息，支撐選擇響應策略，支持智能化攻擊追蹤溯源，實(shí)現大規模網(wǎng)絡(luò )攻擊的防護與對抗，進(jìn)而構建融合聯(lián)動(dòng)的工業(yè)互聯(lián)網(wǎng)安全防護體系。

一是威脅情報賦能工業(yè)互聯(lián)網(wǎng)安全事件管理與響應。按照威脅情報標準對安全信息與安全事件進(jìn)行記錄，便于信息共享、關(guān)聯(lián)分析以及事件響應。根據威脅情報反映的工業(yè)互聯(lián)網(wǎng)安全態(tài)勢，有助于預判后續可能的安全風(fēng)險，使得響應網(wǎng)絡(luò )威脅的速度更快，準確度更高，防范能力更強。

二是威脅情報支持工業(yè)互聯(lián)網(wǎng)攻擊分析與溯源。威脅情報技術(shù)可用于分析攻擊手法還原攻擊路徑。結合關(guān)聯(lián)威脅情報，可以對攻擊方進(jìn)行組織畫(huà)像和溯源，利用威脅情報構建攻擊知識庫，能夠實(shí)現對APT攻擊的智能化攻擊意圖推理及樣本變種自動(dòng)化跟蹤。最新威脅情報框架ATT&CK支持引入知識圖譜等AI技術(shù)，支撐工業(yè)互聯(lián)網(wǎng)攻擊智能分析。

三是威脅情報支撐工業(yè)互聯(lián)網(wǎng)安全防護體系建設。主動(dòng)防御方面，利用威脅情報制定和組織攻擊計劃，能規避可能的防御手段。被動(dòng)防御方面，基于威脅情報研究攻擊路線(xiàn)，可探索應對抗檢測手段的新方法。在工業(yè)互聯(lián)網(wǎng)設備層，集成威脅情報快速識別攻擊行為的優(yōu)勢，能實(shí)現工業(yè)互聯(lián)網(wǎng)設備輕量化攻擊檢測。對工業(yè)互聯(lián)網(wǎng)企業(yè)，可利用威脅情報模擬攻擊，測試和評估其防護系統的檢測和防御效果，指導制定安全增強方案。

在工業(yè)互聯(lián)網(wǎng)應用威脅情報技術(shù)面臨收集、共享、分析以及利用等方面的挑戰。

一是工業(yè)互聯(lián)網(wǎng)對象海量異構，威脅情報收集難度升級。當前威脅情報主要來(lái)自網(wǎng)絡(luò )爬蟲(chóng)、針對特定屬性漏洞掃描以及共享交換。而網(wǎng)絡(luò )爬蟲(chóng)和漏洞掃描不能滿(mǎn)足威脅情報對于準確性、可靠性和實(shí)時(shí)性的高要求。加上工業(yè)互聯(lián)網(wǎng)邊緣連接對象海量異構，相較于傳統互聯(lián)網(wǎng)威脅情報收集難度升級。

二是威脅情報共享不足，難以支撐關(guān)聯(lián)事件的分析。當前工業(yè)互聯(lián)網(wǎng)威脅情報共享機制尚未成熟，企業(yè)間、行業(yè)間的威脅數據未形成標準格式的威脅情報，加上共享渠道尚未打通，威脅信息難以交互同步。加上不同組織間存在利益競爭，很難將各自掌握的威脅情報信息和研究成果完全分享。

三是工業(yè)互聯(lián)網(wǎng)威脅情報利用不足，基于情報的防御和響應機制有待完善。勒索病毒在工業(yè)系統的泛濫表明傳統互聯(lián)網(wǎng)安全威脅也能對工業(yè)系統造成影響。 “永恒之藍”爆發(fā)兩年多以后，工業(yè)主機仍然頻頻遭受該勒索病毒攻擊，可見(jiàn)當前工業(yè)系統尚未做好對威脅情報的利用。

來(lái)源：工業(yè)信息安全產(chǎn)業(yè)發(fā)展聯(lián)盟