威脅情報在國內已經發(fā)展了幾個年頭，但在明眼人看來，和國際的差距卻越來越大。從市場空間看，國內情報市場在全球市場的占比，遠小于 NGFW、IDPS、EPP等產品；從使用場景看，國內最成熟的還是威脅檢測，而從歐美看，報警分級、威脅狩獵、事件響應、安全預警、投資策略，情報已經在更廣闊的空間內發(fā)揮越來越大的價值。作為國內威脅情報中的一份子，期望能和同行、同事攜手，推動國內市場進入一個新階段：智能情報。

為了便于區(qū)分，把情報利用能力分解成3個階段：信譽情報、富化情報、智能情報。如果考慮到關基防護、APT對抗需要的彈性防御能力構建，對應到情報方向還需要提供本地化的情報分析和生產能力（情報基礎設施），這就是另一個更大的話題了。

當前國內的情報應用，基本上停留在信譽情報、富化情報的階段?？缭降街悄芮閳箅A段，就需要解決三個關鍵難點：

1. 場景化的情報生產運營
   在通常批量化情報生產過程中，情報運營偏重的是現象，而非本質，這樣對使用情報分析研判實際風險是不夠的。譬如僅從一個傳感器收到報警數據，了解某個IP發(fā)出的Web攻擊相關Payload，但不清楚對方的實際意圖：資產測繪、惡意掃描、良性掃描、蠕蟲感染、定向攻擊等等，這種情況下即使有上下文信息，也無法推斷企業(yè)面臨的真實風險，并針對必要的事件做出響應。因此情報需要的不僅是上下文，而且應該是及時、清晰 、可指導行動的上下文，以便在應對安全挑戰(zhàn)時做出快速、明智的決策并采取有效的行動。

2. 場景化分析知識模型
   當前安全運營的痛點之一是普遍缺失具備分析和響應專業(yè)知識的安全專家，大多數情況下，即使提供了分析決策所需要的信息和知識，往往也難以保障在實際運營中解決問題。因此需要考慮針對不同的場景，不但提供相應的情報內容，還能提供分析的知識模型。如何把分析專家、響應專家腦中的知識分解成不同場景的分析模型，固化到標準產品中，是國內安全企業(yè)真正追趕國際水平最大的挑戰(zhàn)。

3. 自動化分析
   具備了不同場景化分析需要的多維度的情報信息，以及對應的分析知識模型，剩下的就是通過什么樣的產品形式，使其可以集成到實際的安全運營過程中。無論是云端SaaS服務，或者本地化平臺功能，都需要提供一定形式的高速、自動化分析能力，以應對每日的海量報警日志數據，這步的關鍵是能力和既有安全產品間的協同聯動，讓人和機器更好地合作，以提升整體效率。

   智能情報，將是情報在國內市場提供更大價值的里程碑。通過前期的預研和客戶驗證，我們越發(fā)清楚地認識到：只有智能情報，才能讓檢測更及時、響應更高效、決策更智慧。

   年終之際，透露當前團隊做的一部分工作內容。我們還在不斷前行，相信前路有更多發(fā)現、更多驚喜，這探索的旅程也許是人生中最難忘的經歷，不懈的努力就是照亮前路的那束光。