威脅信息藍皮報告的七大關鍵點

張如旭

2021年12月3日，中國信息通信研究院安全研究所聯合北京微步在線科技有限公司共同研究編制了《2020年網絡安全威脅信息研究報告（2021年）》。報告內容豐富，共分為威脅信息產業研究、2020年威脅研究、行業落地研究和產業發展探討等4個方面，宏觀與微觀并舉，既著眼當前，也放眼于未來，是一篇詳實、豐富的威脅信息產業研究報告。

作為本次《2020年網絡安全威脅信息研究報告（2021年）》的共同研究編制者，微步在線希望廣大讀者不僅能從報告中獲取所需信息，更能在閱讀報告后全面認識、深入了解中國威脅信息產業。因此，微步在線提煉出報告中七大關鍵點，旨在幫助讀者快速掌握報告重點內容。

快速理解“威脅信息”

網絡安全威脅信息即威脅情報，研究對象是威脅，包含已知的和即將出現的未知網絡威脅。綜合國內外相關研究，信通院和微步在線歸納分析了多方定義后認為，網絡安全威脅信息的核心內涵如下：

第一，網絡安全威脅信息來源于對既往網絡安全威脅的研究、歸納、總結，并作用于已知網絡威脅或即將出現的未知網絡威脅；

第二，網絡安全威脅信息的價值是為受相關網絡威脅影響的企業或對象提供可機讀或人讀的戰術戰略信息并輔助其決策，因此網絡安全威脅信息需要包含背景、機制以及指標等能夠輔助決策的各項內容。

簡而言之，網絡安全威脅信息是為研究網絡威脅而提取出的、用于發現威脅、認識威脅和追蹤威脅的信息數據。

威脅信息用于網絡安全防護的優勢

信通院和微步在線認為，根據PPDR安全防護模型理論，威脅信息的網絡安全防護優勢主要體現在如下幾個方面。

檢測方面：網絡安全威脅信息能輔助用戶對相關資產、風險、攻擊面進行排查，從而讓用戶快速了解網絡當前受攻擊情況。

防御方面：采取主動防御措施，對網絡威脅進行精準打擊。威脅信息提供的惡意IP地址、域名/網站、惡意軟件hash值等失陷指標（Indicators of Compromise，IOC）能夠直接用于網絡安全系統和設備進行防護。

響應方面：網絡安全威脅信息能夠幫助提供更完善的安全事件響應方案。

預測方面：構建安全預警機制，不斷收集有關新型網絡威脅的信息數據，根據當前網絡環境的薄弱環節有效預測可能的威脅，以幫助企業更好地應對未知威脅。

綜上，網絡安全威脅信息的使用將有效提升報警準確性，降低無效報警數量，極大減輕安全運營人員工作壓力，使其聚焦于真實威脅，提升工作效率。對政府部門、企事業單位、社會組織等用戶機構的網絡安全建設和運營具有重要意義。

威脅信息的價值體現在哪些方面

經過多方研究，信通院和微步在線認為，網絡安全威脅信息目前主要應用于企業網絡安全防護、公共安全防護、國家安全防護等領域，相應的應用價值主要體現在提升企業主動防御能力、助力打擊網絡犯罪行為以及保護國家網絡空間安全三方面。

首先，威脅信息能夠提升企業對網絡威脅的感知能力，讓企業的安全防護由被動轉向主動。

其次，威脅信息能實現對網絡犯罪的調查分析和記錄留存，網絡犯罪的信息共享、防范和預警，能有效打擊網絡犯罪、改善網絡環境，助力維護網絡空間的公共安全。

最后，威脅信息能輔助指導相關行業的網絡安全防護工作，從而保障各行業關鍵基礎設施安全性、核心數據安全性和核心業務連續性，從而保護國家安全。

2020年國內外網絡威脅態勢

經過一整年的觀測，信通院和微步在線觀察到，2020年國內外網絡安全態勢較以往更為嚴峻。在PC端一直都有活躍表現的勒索軟件在2020年全年呈激增態勢，并造成嚴重危害。勒索軟件開始利用基于暗網的云基礎設施進行數據的分批次泄露，以此威脅被勒索組織，迫使其盡快交付贖金。隨著世界范圍內移動設備感染率的上升，IoT設備被感染的可能性也大大增加。

黑客對供應鏈、VPN、漏洞等常見攻擊面的興趣仍然在持續，并且開始出現偽裝成Zoom、Slack等通信工具客戶端進行攻擊的現象。此外，黑客及黑產組織在暗網上持續活動，并被監測到存在利用暗網買賣泄露數據、云基礎設施等行為。在2020年，被曝光的APT攻擊事件有數百起，40余個國家和地區遭受了不同程度的APT攻擊。

此外，2020年的新冠肺炎疫情對網絡環境也產生了一定影響，尤其在網絡攻擊方面，與新冠肺炎疫情相關的攻擊數量大幅度上升，攻擊手段更加多樣，醫療行業受此影響較大，移動辦公相關的信息基礎設施和遠程通信工具是受攻擊的重災區，新冠肺炎疫情及冠狀病毒相關的話題成為攻擊者偏好的誘餌。

威脅信息的重點落地方向有哪些

立足我國具體國情和網絡安全需求，目前國內威脅信息應用落地有以下幾個方向可供參考。

一是結合檢測技術。在安全產品研發階段，將威脅信息與流量分析、終端檢測技術相結合，落地為基于網絡安全威脅信息的檢測響應類產品，部署在用戶機構對應的網絡環境中。

二是建立共享機制。對于分支部門較多的用戶機構，建立本地威脅信息管理平臺，構建網絡威脅信息庫和威脅信息共享機制，提高網絡威脅挖掘研發和應用能力。

三是聯動安全設備。聯動其他網絡安全設備，如IDS/防火墻、日志大數據平臺等，與現有處置知識庫以及工單系統構建閉環處置流程，提升用戶機構網絡安全的整體檢測響應能力。

威脅信息的重點落地行業

威脅信息的落地行業非常廣泛，金融、互聯網、智能制造、政府事業單位、地產、醫療及教育等行業都有不同程度的覆蓋。針對本報告面向的行業及需求，微步在線提供了工業和信息化相關行業中頭部代表性企業中的落地應用案例，最終中國信通院選入了電子信息制造商、基礎電信企業、網絡視頻平臺和云計算服務商共4個典型應用案例。

在這些案例中，威脅信息或與防火墻、大數據平臺、ELK日志系統等企業網絡安全系統、設備有效聯動，或賦能威脅感知設備，發現內部威脅、檢測外部威脅和識別資產風險，展現了威脅信息盤活企業網絡安全運營的良好效果，提升了案例中企業整體網絡安全水平。

推動威脅信息落地發展

《網絡安全法》《數據安全法》《關基條例》等法律法規的陸續出臺，進一步明確了網絡安全對于國家安全的重要性，彰顯了我國守護網絡空間安全的決心。隨著等保2.0對信息系統網絡安全威脅信息能力提出具體、明確的要求，威脅信息建設勢在必行。中國信通院認為，政府部門、企事業單位、社會組織等機構作為威脅信息的最終用戶，要強化安全主體責任意識，完善安全性自我評估制度，健全內部安全防御體系。

一是政策和市場雙驅動。用戶機構根據自身業務實際需求和面臨的主要安全威脅，對照國家政策法規、標準等相關要求明確網絡安全建設目標、重點內容和保障措施，結合網絡安全威脅信息的覆蓋度、準確度、可用性、可擴展性及專業度等多方面因素綜合評估產品性能、政策合規和市場需求雙輪驅動，規劃設計可落地的網絡安全防御體系構建方案。

二是嚴格規范威脅信息選用標準。網絡安全威脅信息源選擇方面，堅持威脅信息數量與質量并重，保障信息豐富全面的同時，避免大量低置信度信息淹沒嚴重安全事件。多源威脅信息選擇方面，提升不同來源威脅信息的差異性，通過網絡威脅信息管理系統整合多源威脅信息，優化威脅信息準確性和覆蓋面。

三是融入安全體系加快落地部署。應加快推進威脅信息體系落地部署，充分利用已有安全能力，聯動已有安全系統和設備，將事件響應、自動化編排與威脅信息系統進行結合，切實將威脅信息能力融入現有安全架構中，建設威脅信息檢測系統、威脅信息庫、威脅信息本地管理平臺、威脅信息在線查詢平臺等系統，充分利用威脅信息改善安全運營工作，筑牢網絡安全防御體系。