WOT2016邓焕：利用开源工具整合威胁情报数据资源

威胁情报已成为当下安全圈一个炙手可热的话题。如今网络架构在改变，攻击者的技术也越来越复杂，而如何有效的防范及发现攻击已成为一个比较棘手的问题，威胁情报的出现已成为缓解网络攻击的一个新方向。

在今日举行的WOT2016企业安全技术峰会上，来自北京白帽汇科技有限公司的联合创始人&CSO邓焕给大家带来了针对威胁情报和开源工具的演讲，讨论了如何收集以及整合公共资源上的威胁情报资源。演讲结束，记者采访了邓焕，他表示：“在威胁情报的利用中，需要更多的结合企业自身的实际情况，对威胁情报数据进行优化处理，然后数据才能被落地使用。”

【嘉宾简介】

邓焕，北京白帽汇科技有限公司联合创始人&CSO，原360补天漏洞平台的技术负责人。目前主要负责安全研究、威胁分析，以及白帽汇产品方向等工作。

威胁情报的那些事儿

威胁情报是众所周知的目前最为火爆的安全防护技术，但其落地和应用目前在国内并未全面成熟。提到威胁情报，邓老师表示，首先要明白什么是情报?情报即是线索。众人皆知的不能叫威胁情报，因为信息安全最核心的本质就是信息不对称，这些不对称的信息，我们可以理解它对于企业来说都是威胁情报的范畴。

那么，什么是威胁情报呢?据Gartner定义，威胁情报是基于证据的知识，包括上下文、机制、指标、隐含和可操作的建议，针对一个现存的或新兴的威胁，可用于做出相应决定的知识。

我们为什么需要威胁情报?威胁情报到底有哪些作用?邓焕表示，其作用主要体现在三方面：一是，实现安全分析及事件响应;二是，还原已经发生的攻击;三是，预测未发生的攻击。但是对于企业来说威胁情报也并不是万能的，在使用情报的同时，我们需要保证基础防护的存在，这里我理解情报它实其是也是传统防护的一个补充提升。

通过开源工具整合威胁情报数据源

如何获得威胁情报数据源?对此，他表示可以通过开源工具整合威胁情报数据源，并在演讲中与大家分享了众多的开源工具，主要有：

他表示，这些与威胁情报相关的开源项目相对较成熟，开源的威胁情报数据源可以下载使用，但是不能直接使用，因为这些开源的情报数据中夹杂着大量误报信息。需要根据企业的自身的业务方向，对威胁情报数据进行优化处理，然后数据才能被落地使用。这里举个例子，比如你是电商，可能更多的是关心人员情报。比如：羊毛党所使用的工具手法，会关心恶意邮箱信息等。

安徒生企业威胁感知平台

作为专注于做安全大数据和企业威胁情报的创业公司，白帽汇通过提供尖端的安全技术，高性价比的产品和服务，来帮助客户应对业务运行中可能出现的网络信息安全问题, “不被入侵，不被脱库”。该公司主要提供的产品与服务包含：企业威胁情报监控系统EWSIS、威胁情报平台、NOSEC大数据协作平台以及近期发布的企业威胁感知平台——安徒生。

据邓焕介绍，其中NOSEC大数据协作平台主要与白帽对接，白帽子可以利用这个平台上的安全工具与数据资产检索工具，其可帮助白帽子更快速更全面更深入的发现目标可能存在的安全隐患。该平台可全面收集分析互联网中的资产信息，并将数据进行关联分析，从高层次的视角来分析数据。

而白帽汇的新品安徒生企业威胁感知平台更多贴切于企业，会从外部视角、内部视角进行对接，实时梳理出企业资产管理难的问题。因为很多大企业资产成千台，可能会疏忽掉很多东西，不知道哪些资产具体是否在线，这个平台通过外部的发现，以及通过agent，流量的方式去实时的发现企业的资产信息，然后对这些资产进行梳理，实时的展现给用户，再把它实时地跟威胁检测进行对接。换句话说，该平台用于帮助企业及时发并现解决网络漏洞，数据泄漏，外部威胁情报等可能被攻击的安全风险。其主要功能如下：

智能全面的资产识别：通过全网资产检索，主动爬虫，流量分析，客户端插件，服务端插件等多种引擎自动化全面地提取企业的资产信息。有效解决孤岛资产的老大难问题。

完整体系的漏洞监控：安徒生配备了多种漏洞扫描引擎，覆盖网络漏洞监控，系统漏洞监控，Web网站漏洞监控，App移动应用漏洞监控等，在黑客攻击之前进行有效修复。

外部威胁情报：通过白帽汇广泛的情报基础，帮助企业监控外部非漏洞的威胁情报，如Github数据泄漏，社工库撞库攻击，钓鱼攻击等。形成整体防护，避免安全漏洞变成公关事件。

谈及未来白帽汇的发展规划，邓焕表示：“白帽汇规划了一个很大的产品架构图，把它全部实现并不是那么容易，因为每个单独的小点他都可以足以支撑一家公司的生存。未来白帽汇将朝着基于机器学习以及安全模型方面进行数据分析，从内部的数据分析入手，把产品更好的完善。”

写在最后

采访最后，记者问及邓焕关于企业是否必须有CSO这个问题。他认为，CSO仅仅是一个称呼。目前越来越多的人意识到网络安全的重要性，而国家也一直在强调加强网络信息安全。作为一个企业必须要有自己的安全人员，或者安全产品，未必是CSO。即使是一个小企业，也应该有相应的安全防护，最好能匹配相关的安全人员，定期的培训提高员工安全意识。在大公司，CSO可能更多偏向于方向的指引，以及把内部的安全体系建设落地，甚至是对安全以及前沿技术的探讨。把最新的安全理念，以及怎样确保企业内部安全的信息传达给企业内部的人员，从而实现整个企业的安全防护。