至少10年前，随着高级持续性威胁（APT）和定向攻击被大家广泛重视，威胁情报利用和共享的重要性也随之被各界普遍认同。因为在网络空间的非对称战争中，防守方如果想要获得制胜先机，就必须依赖情报共享，来最大程度降低防守成本，并指数级提升攻击者的成本。

然而，各国推进情报共享的进程却并不平坦，网络安全领域各处都留存下“信息共享倡议”的残骸。即便是美国发展多年的ISAC（信息共享和分析中心）体系，在其国内也是饱受质疑。

在今年的RSAC大会上，全球最重要的情报共享组织之一网络威胁联盟（Cyber Threat Alliance）的CEO  Michael Daniel  发表了《错误的假设：为什么情报共享失败》的主题演讲，从一个情报共享实践老兵的角度给出了自己的答案。

情报共享成攻防对抗制胜“密钥”

三大误解制约发展进程

在Daniel看来，情报共享之所以会挫折不断，是因为在这个领域一直存在3个错误的假设：

1.认为网络威胁情报是一种纯粹的技术数据

而实际中，情报当前的发展已经脱离文件、IP、域名信誉的阶段很久了，从情报价值角度看，更重要的是恶意属性背后的业务风险、缓解措施、攻击意图、技战术手法、组织能力和背景等信息，而单纯的黑白判定在安全运营中能发挥的价值非常低。这点在情报圈内也许觉得清楚明白，但在更广阔的市场看，对不同层次的战术、作战、战略情报的呈现内容和价值有了解的人还并不多。

2.认为所有组织都应该共享这些数据

现实的困难会造成这个假设不成立：首先很多企业没有情报分析、生产能力，也就难以提供相关自身行业、网络的情报；其次不同行业业务（或地域、企业规模）不同，因此威胁相关性和需求也不同，彼此共享能得到的价值很不确定；再次从使用角度看，如果情报是为了支撑决策，那么一个企业真正做的安全决策其实很少，那么是否支撑了这些决策的情报信息才是企业比较优势的所在。

3.认为组织间建立共享通道后，共享就会很容易

实际上高质量的情报共享还需要更多保障：信任、金钱、时间和关注。首先，需要相信共享的接收方可以妥善的处理情报，这种信任必须随着时间推移不断增加；其次，免费的情报也许不错，但不够好，难以解决问题。只有保证通过资金的投入来确保回报，才能保障有足够的价值；最后，共享活动是需要有稳定的人力投入，并获得关注，否则难以为续。

360助力突围情报共享困局

护航数字时代的腾飞中国

随着全球数字化转型的加速，以大数据、人工智能、5G等为代表的新型数字技术，让传统业务的原有流程、环境以及架构体系完成迭代升级。与此同时，安全威胁无处不在、无孔不入。其中，高级持续性威胁（APT）由于具备定向性、长期持续、隐蔽潜伏等攻击特点，安全人员运用传统的检测手段无法辨别和发现，情报共享更加显得尤为重要。

作为数字经济的守护者，360政企安全集团基于15年攻防实战经验及230亿安全研发投入，打造出以360安全大脑为核心的数字安全能力体系，有效的解决了情报共享的难题。

首先，360政企安全集团认识到传统的威胁情报平台（TIP）仅是做威胁情报的汇聚和消费，并不足以支撑关键基础设施的防护。因此，其提出了情报基础设施解决方案，希望针对城市、行业及大型企业，能够协助建立情报分析和生产能力和共享标准，并提供运营支撑，从而可以促进形成国家、城市、行业的情报共享生态，提高网络弹性，以应对数字时代的新威胁与大挑战。

其次，针对国内大部分场景还局限在为IP、域名、URL、HASH等战术情报做检测的情况，360政企安全集团提出了智能情报的概念，希望让市场了解情报除了可以让检测更及时外，还可以让运营更高效、决策更智慧，并据此提供了更丰富的情报种类；同时也在情报中倾注更多精力去提供完善的上下文信息，让情报消费者对威胁可以有更详尽的了解，以支撑报警排序和事件处置的运营决策。

结合以上解决方案所产出的关联威胁情报，不仅可以对攻击方进行组织画像和溯源；利用威胁情报构建的攻击知识库，还能够实现对APT攻击的智能化攻击意图推理及样本变种自动化跟踪。在信息共享和事件应急场景下，根据威胁情报反映的互联网安全态势，更是有助于预判后续可能的安全风险，使得响应网络威胁的速度更快，高效塑立了“预防、抵御、恢复、适应”的网络弹性。

这套流程让360政企安全集团目前已累计发现CIA 、海莲花、摩诃草、美人鱼等境外APT组织40余个，以“看见”网络攻击、威胁的能力，严守国家第一道网络安全防线。

值得一提的是，从当前国内推进情报共享的进展来看，已经实施的相关举措和时代对于这一辈中国网安人的希冀相比，依旧显得远远不够；从情报共享生态对国家网络空间战略的价值来看，为应对数字时代更多有组织的专业网络犯罪团伙，针对情报共享的投入也亟待提升。只有有效建立国家、行业、城市不同层次，互成体系的情报共享机制，才能进一步形成具备足够纵深、高度韧性的安全能力，为数字时代的腾飞中国保驾护航。