威胁情报在安全分析中的角色：从IOC到AI的进化

“威胁情报--从IOC命中到安全分析的‘催化剂’是华泰证券安全总监张嵩在ThreatBook首届网络安全分析与情报大会上的演讲内容，主要探讨了威胁情报在网络安全分析中的作用，以及从IOC（Indicator of Compromise）到安全分析效率提升的过程。” 在这篇演讲中，张嵩首先提到了他在AWS大会上初次接触威胁情报，以及金融行业在此领域的早期实践。他分享了从依赖预设的IOC告警（如NGFW和网络审计盒子内置的威胁分类）到逐步自主搭建和研发安全分析产品的历程。这一过程中，他们经历了从1.0阶段的被动响应，即基于设备内置IOC的告警，到2.0阶段的懵懂探索，手动查询多种信誉和PDNS服务，再到3.0阶段的深入分析，包括研究RSA会议的关键概念、Gartner的TI报告、SANS的安全分析调查，以及通过红蓝对抗演习不断提升分析能力。 张嵩指出，随着对Security Analytics的不断探索，他们开始利用多源威胁情报API，不再单纯依赖IOC作为告警指标，而是将其视为提升分析效率的催化剂。他们运用机器学习（ML）和其他AI技术，分析EDR数据，对出站目标进行黑白灰分级，并构建企业自己的情报库，以期降低MTTD（Mean Time to Detect，平均检测时间）和MTTR（Mean Time to Respond，平均响应时间），提高安全事件的响应速度和效果。 演讲还揭示了单一来源IOC的局限性，强调了威胁情报来源的质量、生成能力和效率的重要性。未来趋势方面，张嵩畅想了威胁情报应用的多元化，包括购买、整合不同来源的情报，以及构建API经济，以提升整体网络安全态势感知和防御能力。 这篇演讲深入浅出地介绍了威胁情报在网络安全分析中的演变过程和关键作用，为企业安全团队提供了宝贵的经验和启示，提醒他们在面对APT（Advanced Persistent Threat，高级持续性威胁）等复杂安全挑战时，应不断升级和优化威胁情报的使用策略。