威胁情报驱动的安全智能化：CSO大会薛峰分享

在CSO大会上，薛峰分享了关于基于威胁情报的安全智能化的重要议题。当前网络安全面临的挑战主要包括专业团队的资源有限性，如人力、时间和自动化程度不足，导致在面对高度准备和移动的攻击时，响应速度受限。此外，组织内部的可见性和对资产和攻击的了解不足也构成了一大难题。 威胁情报作为一种关键的解决方案被提出，它不仅是概念上的理解，更是转化为实际的数据驱动策略。从2015年开始，威胁情报的发展经历了几个阶段：首先是威胁检测与响应平台的建立，通过收集和分析威胁事件、黑客团伙、工具和手段等信息，形成对威胁的初步认知。接着，威胁情报云和各类安全设备如网络流量分析(NTA)和端点检测与响应(EDR)的应用，帮助企业落地威胁情报，提供应急响应服务和情报驱动的安全运营中心(iSOC)。 进入2017年，威胁情报开始驱动安全智能化，包括自动化、智能化和可视化功能。在检测和响应场景中，威胁情报数据的利用不仅提升了安全效率，还优化了设备之间的联动，例如自动化流程与设备间的互动，可以自动处理告警，触发服务请求，生成分析报告，并根据分析结果调整设备配置。 薛峰将威胁情报比喻为安全领域的"Echo"，强调了其在安全分析中的核心作用。通过设备之间的实时通信，如告警通知、沟通协调、服务请求、样本共享等，形成了一个完整的闭环，使得安全人员、厂商和设备能够无缝协作。这种智能的互动不仅提高了响应速度，还提升了现有设备的投资回报率。 基于威胁情报的安全智能化已经成为网络安全防御的新趋势，它通过整合数据、自动化工具和人为分析，增强了组织的安全可见性和响应能力，从而更好地对抗不断演变的网络威胁。随着技术的不断发展，威胁情报在未来将继续扮演推动安全智能化的关键角色。