为什么要搞1000万黑客特工情报奖励计划 | 专访微步在线CEO薛锋

让我们来看看威胁情报“黑客特工”的真实生活吧！

一名高级特工偷偷潜入了一个黑产团伙，为了获取有价值的情报信息，他日夜坚守在时刻存在危险的一线，甚至要伪装成为黑产共同行动，在每一个行动中发现蛛丝马迹，最后将这些信息汇总分析成有价值的情报传回总部。

这也许是网络安全、威胁情报领域最真实的写照，这些特工们将更多的计算机网络、云端和千千万万的算法模型构建出来的超级大脑，实时监控和监测那些不法分子的入侵，获取有价值的信息和情报，将这些团伙一网打尽。

目前的网络安全正在向数据化、云端化、实战化的方向发展，对于企业而言，有效的入侵检测是不可或缺的能力，建立全面可持续的威胁监控，及时掌握来自网络的未知威胁情报，是企业安全战略中的关键一环。

为更进一步了解威胁情报行业的发展及技术突破，和微步在线CEO薛锋聊了聊，并让他为我们深度解读威胁情报（特工）领域（真实生活）的发展状态。

威胁情报的“神秘面纱”

很多企业，甚至是安全厂商认为威胁情报是一个很抽象、很神秘的概念，但是威胁情报在网络安全市场却并不陌生。威胁情报针对威胁者利用恶意软件、漏洞，收集用于评估和检测的数据，这些情报数据能够让安全团队更快地响应攻击和紧急威胁，帮助企业优化漏洞修复，制定安全防控策略。

“我经常用这个比喻，威胁情报就像 AI技术，当我们谈这样一个抽象的技术时，其实很难理解它到底有什么用，或是如何落地的，因为它是一个底层技术。但是如果我们将这技术应用在一个系统中，告诉客户可以实现什么样的功能，他们就很容易理解。”薛锋表示。

其实无论是威胁情报，还是AI、大数据分析，这些技术都能派生出其独立产品，并改变行业生态。威胁情报也会渗入到很多安全产品中，如WAF、IDS、SOC等，最终在后台“施展拳脚”。

一个典型的例子就是 CrowdStrike公司，这家终端公司的背后有强大的威胁情报平台作为支撑，他们会将威胁情报转化为一个终端或是一套软件呈现给客户，帮助用户解决安全问题，情报能力与呈现给公司的产品落地场景不太一样。

在威胁情报的应用中，用户拿到的是威胁情报厂商分析之后的结果和信息，而不是制造和研究情报的能力模型，相比于内部的核心算法，用户更在乎的是威胁情报的结果，至于底层分析的引擎，用户不关心。虽然用户看不到实际的威胁情报，但是在他们购买并使用产品之后威胁情报的“使命”就已经开始，这也是威胁情报保持“神秘面纱”的重要原因之一。

但是，对于有些行业的公司来说，很看重自身核心业务的数据安全，根据微步在线的经验，薛锋将其分为两种情况。“在威胁情报项目落地时，一种是比较理想化的场景，用户的环境和数据与微步在线的云端进行连接，这种情况的前提就是用户的数据敏感度不高，并且充分信任我们的环境。另一种情况就是客户的数据我们不能对接，此时就需要一种落地的方式，将前端的处理方式在用户的环境里落地，将获取的信息情报单向推送给用户。”

很多涉及到信息安全的产品后台都有多个开关，允许用户去调配，设定用户与产品之间有多大程度的联通，是单向还是双向，是充分还是一半，这是需要向用户公开的。以微步在线为例，在云端上传的用户信息，都要有用户的审核，需要在用户知情的情况下进行，这是对用户信息与隐私的尊重，更是在开展威胁情报落地中不容忽视的一点。

1000万奖励计划

在开展威胁情报服务中存在一个巨大的“黑户”——黑产，为了能够更好地在云端进行安全防护，与这些“心腹大患”对抗，微步在线在“2019网络安全分析与情报大会”现场向社会发起了1000万情报奖励计划。

薛锋坦言称：“全国每天有那么多生产在活动，受骗的人远比我们想象中的要多，但是我们微步在线本身没有那么多人，所以我们希望一些技术人员可以将掌握的有价值的情报信息展现出来。”

这个奖励计划本质上是一种有偿的情报共享行为，利用众人的智慧，共同“围剿”黑产。薛锋表示，这个奖励计划实行匿名制度，在不触碰用户隐私的情况下挖出黑产们的不合法行为。

“有的情报可能要几十块钱，有的则要几万块，我们根据用户给我们东西的价值去决定奖励的金额。目前这个计划已经上线了一个星期，但是第一天就已经收到了十几个用户提交的线索，其中包括IP、木马情报和境外团伙等。从整体上来看，虽然这个计划是面向全社会，但是最终参与者一般都是技术人员，一方面其他人可能对这个并不感兴趣，另一方面他们手里并不掌握这一方面的线索。”

在薛锋看来，这个计划能够吸引到一批技术人员是一件值得高兴的事情，这让威胁情报“更接地气儿”，他称看到了情报威胁领域内存在的活力、热情和希望。

“在网络安全中存在问题有很多，解决办法有很多，遇到的困难也会很多；发动群众的智慧，进行众包是一个比较省力的办法。但是没有人愿意无偿地花那么多心思去做，因而需要一个平台，一种全新的方式把这个机制撬动起来，以推动情报共享。”

实际上，在情报共享方面，微步在线早就与很多大型公司、安全厂商有所行动。去年 7月，中国互联网协会成立威胁情报共享工作组，微步在线作为组长单位；此外，微步在线还与平安、万能钥匙wifi、奇安信、数字观星，以及上海的一些单位共同成立了一个威胁情报共享联盟，共享情报信息。

“但其实这些共享平台的直接共享性还是有一定的难度。一方面，任何数据共享都需要去衡量付出和收获的比例，如果无法衡量的话，每个成员机构都会只考虑自身利益而忘记顾全大局。另一方面，怎么转化十个情报跟一个情报的重要性比例？这其中存在着公平问题、动机问题，都是很难解决的。”

虽然这些问题没有一个完美的解决方案，但这些联盟也已经开展了很多的工作，比如中国互联网协会的威胁情报共享工作组，成员单位之间有统一标准、统一接口、统一语言，虽然还远达不到很多人期望或者理想的状态，但实则已在推动整个行业的发展。

“赋能”国内威胁情报

威胁情报的发展离不开社会的关注，最近国内推出了等保2.0，其中首次出现了对“威胁情报检测系统”和“威胁情报库”的要求。在薛锋看来，威胁情报检测系统进入等保合规里并提出新的要求，这是等保2.0拥抱新技术的一个标志，也是威胁情报行业在国内逐步走向标准化、正规化和法制化的开端。

威胁情报在国内起步较晚，在国内，很少有人愿意花钱去买这样的服务，但是仍旧有很多安全厂商持续去做。薛锋称，对于微步在线而言，不仅要在技术上保持持续更迭，还要不断探索商业化道路，研究产品的落地形态，深挖用户需求。

“威胁情报需要考虑的是最终到用户的手里的东西，是否能够解决用户的需求。否则情报再厉害，如果不能满足用户所需，也不会体现价值。随着OneDNS正式落地，在业务落地方面的场景和产品化的能力上还要做更多的持续改进和提升。”

目前，微步在线主要是对已有算法和模型的应用，将这些技术应用到网络安全中，薛锋表示微步要与AI相结合，更好地实现业务场景的展示。在提到微步在线如何保持威胁情报竞争力时，薛锋指出了四个方面：

第一个是数据化，很多东西是数据化沉淀的结果，这些是别人不能轻易超越的东西；

第二个是模型化，在实践中摸索和打磨出来的模型是别人短时间内追赶不上；

第三个就是产品化，模型的提升永无止境，而产品化是产生竞争差异的关键点，这一点跟数据化一样重要；

第四个就是人才的培养，在威胁情报领域不仅要对技术，包括机器学习和深度学习有所掌握，还要理解安全行业的业务，综合性人才的培养是保持竞争力重要因素。

面对国内市场的现状，薛锋看到了威胁情报在国内网络安全市场发展的可行性和发展空间，而威胁情报的重要性也在全球化网络环境中以越来越清晰的态势展呈现出来。对于企业而言，把握好威胁情报，对企业网络安全和社会网络安全都将具有重大意义。