威胁情报多场景下的实战技术落地

威胁情报作为一种非常有效的检测赋能技术，自2014年开始流行，经过了十年的发展，技术日趋成熟，应用场景日益丰富。6月6日北京网络安全大会威胁情报技术论坛在北京国家会议中心召开。数世咨询合伙人刘宸宇作为本论坛主持人表示：据数世咨询观察，威胁情报近年来呈现数据化、要素化的趋势，在AI大模型出现后，对于情报处置的泛化能力也越来越凸显。作为整个安全生态中很重要的基础要素，威胁情报在用户网络安全体系中的基础地位也越来越重要。

图 数世咨询合伙人 刘宸宇

中国信息安全测评中心梁智溢的主题演讲围绕“威胁情报情报的共享和协同”展开。他表示：目前APT网络活动呈现高级别和持续性、波及广和影响大，以及单一视角的现状，威胁狩猎是通过一块拼图看到事件全貌的过程，而威胁情报共享可以从及时性、准确性方面给企业提供更好的研判思路。安全行业应该尽可能地在一定范围内开展情报共享和技术共享，协同验证，共筑网络安全防线。

图 中国信息安全测评中心 梁智溢

“数据泄露是‘事后’安全，核心是‘监控’和‘处置’”。零零信安CEO 王宇指出，大量的暗网玩家涌向了深网和明网，由于技术瓶颈变低，非法数据买卖越来越猖狂，但同时也为威胁情报提供了宝贵的来源。对于需要更高重视度的LOG数据泄露而言，除采用双因素认证方式外，还可针对已知泄露的大量数据进行清洗，并作为威胁情报源，将可能涉及泄露的用户关停，用户再次登录时必须重新认证。而对于影响内容和范围巨大的非结构化数据，同时可采用AI技术使数据处理效率提高近百倍。 

图 零零信安CEO王宇

传统的威胁情报狩猎存在覆盖率低、部署难、滞后性、效率低等多种问题，部分APT组织还会针对网络安全设备漏洞进行攻击。知道创宇APT威胁情报团队负责人代皓表示:除基础的测绘数据外，还可以通过定向测绘、主动测绘的手段，掌握多个资产与新IP域名的明确关联信息，可实现APT威胁狩猎的追踪，做到高效率、低依赖获取威胁情报，并在攻击者进行攻击之前掌握其资产。将威胁情报与网络空间测绘技术相结合，帮助用户有效抵御网络风险，提高资产管理、攻击面发现，以及漏洞事件应急响应等能力。 

图 知道创宇APT威胁情报团队负责人代皓

现代网络结构的变化，给传统威胁检测带来了新的挑战。北京派网软件有限公司CEO孙朝晖聚焦于多分支网络的威胁情报前置检测的实际问题和应用经验，强调了在分布式网络环境中，威胁情报是有效应对分支潜在安全问题的必需能力，并从技术实践角度讲解如何有效地部署和利用威胁情报来增强各分支节点的安全性。 

图 北京派网软件有限公司CEO孙朝晖

奇安信威胁情报中心负责人汪列军在会上介绍了AI技术在威胁检测与分类、恶意代码分析、情报收集处理、漏洞挖掘分析及信息整合、应急响应等方面的能力，并介绍了AI技术在奇安信的威胁情报运营中的应用实践。值得注意的是，大模型技术虽然可以极大提升安全分析和威胁情报的运营效率，但在实践过程中，仍需要警惕存在依赖特定输入和可能出现的误导性输出等风险问题，应该正确且有效的利用AI技术来增强而非替代人工分析，以实现更高效的网络安全防护。 

图 奇安信威胁情报中心负责人汪列军

信息技术飞速发展，网络环境日益复杂，网络威胁态势也呈现出多样化、复杂化的特点。勒索软件、物联网安全等问题层出不穷，人才储备不足，企业成本受限等问题，给企业带来了前所未有的挑战。因此，加强网络威胁情报技术的研究与应用，在威胁情报应用及威胁发现中，集合多种类AI技术及应用，提升网络安全防护能力，已成为当前亟待解决的重要课题。