直击威胁情报两大痛点，奇安信发布“TI INSIDE”

安全牛评

情报分享博弈困境和应用门槛向来是威胁情报“民主化”的两大痛点，近日安全厂商奇安信的“TI INSIDE”计划选择用开放生态建设来帮助业界走出困境。

6月29日，奇安信正式对外发布“TI INSIDE”计划。该计划由奇安信威胁情报中心发起，面向威胁信息交换共享联盟（TIXA联盟）成员及其他生态合作伙伴，开放威胁情报检测能力，旨在降低威胁情报的应用门槛。

加强生态合作，降低情报应用门槛

数字经济的发展和数字化转型的深入、数据资产的不断增大和数字业务的增加，以数据为目标的网络攻击愈演愈烈，商业利益诉求和恐怖破坏目的交织，组织化攻击和网络犯罪交织威胁呈现多样化、未知性态势，政企机构迫切需要建立实战化的攻防能力体系。

“在实战化攻防中，威胁情报正在成为一种必要技术和手段。”奇安信集团总裁吴云坤说。毋庸置疑的是，准确有效的威胁情报能够帮助企业实现对各类威胁的实时检测、主动防御、提前预警、快速响应，实现从被动防御体系向积极防御体系的转变。

中国网络空间安全协会副秘书长张健在致辞中说：

自威胁情报被引入中国后，长期保持着高速发展的良好势头。但在威胁信息的共享和协作层面，仍然存在较为明显的短板，起步较为缓慢。奇安信威胁情报中心发布的“TI INSIDE”计划，是产业内技术合作、联动防御的一次有益的尝试，对加强最终用户的安全建设与检测能力大有裨益，也利于进一步提升行业的整体防御能力基线。

“但在实战化攻防环境下，威胁情报如果没有与内部信息化、业务和安全数据有效结合，情报将是一个空壳，无法落地。”吴云坤强调，“威胁情报不仅需要互联网数据，还要考虑把信息化数据、业务数据和安全数据结合在一起，将信息化技术、人员和流程紧密结合，这对于很多组织机构而言，门槛较高。”

奇安信把威胁情报中心6年来的数据积累、技术、能力、专家，尤其是威胁情报实战经验固化形成平台，以平台化和标准化的方式，服务于客户和生态合作伙伴，能够有效降低威胁情报应用的门槛。

开放三大核心能力，提升威胁检测与响应能力

“TI INSIDE”计划将开放威胁情报核心检测能力、面向安全设备的快速响应能力以及告警日志富化辅助分析能力，帮助客户精准定位内网失陷主机，快速拦截与响应入侵行为，并且为告警日志提供丰富的上下文，实现威胁的全面溯源分析。

“依托威胁情报检测能力，奇安信威胁情报中心已累计首发9个国内外APT组织，监测到的针对国内发动APT 攻击的黑客组织达到42个，其中14个组织近3个月内依然活跃。”奇安信威胁情报中心负责人汪列军在《全球高级持续性威胁（APT）2020年中报告》发布环节表示，“今年上半年，包括海莲花、毒云藤、摩诃草等在内的十数个APT组织，在攻击过程中利用到了疫情话题，受攻击单位超过20个，涉及政府、医疗、科研院所等多个行业。”