安全從來不是一成不變，但當我們聽慣了各種“下一代安全”時，難道就真的覺得“老三樣”不行了？事實上，防火墻、入侵檢測、防病毒這些老三樣們仍然占據著安全市場的出貨量主力。所以，市場一次又一次的告訴我們，它們依然有價值！

只不過，它們在變。

如果把這些安全設備、軟件比喻為手和腳的話，那么變的是什么，是不是缺少點什么？對的，“大腦”！在360網神看來，安全產品該由規則驅動轉向威脅情報驅動，進而來說，數據則是安全的大腦，有了它才能讓手和腳更聰明、靈活。

威脅情報驅動如何讓安全“手腳腦并用”

過去基于簽名與特征碼來進行檢測與攔截的防御體系不足以應對復雜多變的安全態勢，已經成為共識。如果回想下我們看過的很多古裝片中的場景，當把守城門的衙役拿著“罪犯”畫像欲對其進城實施逮捕時，很多時候無濟于事，因為他們檢查的對象往往進行了喬裝打扮。

回到現實網絡安全環境中也一樣，很多時候黑客把惡意樣本投遞到企業的內網中去，現在的防御體系大多對這個文件落地的一刻進行攔截和檢測，但這種檢測能力非常有限，因為惡意樣本也會“喬裝打扮”。對這時的防御體系來說，能檢測得到就檢測，檢測不到就算了。

以上可以看作它們是以規則驅動的安全產品，顯然這個防御等級并不高，并且看起來也有點“傻”。這時，安全要做的是什么？即使入網的那一瞬間沒攔住，也要對它密切監控。

如果說過去完全依賴于規則下發進行的響應已經力不從心，那么未來的安全靠什么？

360網神的答案是“威脅情報”。

360網神近日發布了基于大數據安全分析和威脅情報的新一代安全產品，360企業安全集團總裁吳云坤表示，“360憑借多年積累的安全大數據，對最新威脅方式進行追蹤，形成了持續更新的威脅情報，并將威脅情報應用于安全產品中，開發出了一系列威脅情報驅動的新一代安全產品。”

360網神把威脅情報能力賦予了三大產品，包括新一代威脅感知系統（360天眼）、新一代終端安全系統（360天擎）和新一代智慧防火墻（360天堤）。注意，無論是天眼、天擎還是天堤，他們并不是橫空出世的新產品，而是被賦予了大數據和威脅情報的“芯”。

威脅情報如何發揮作用？吳云坤舉例，某金融機構智能打印機被黑，威脅情報會告訴你這個木馬帶來的攻擊鏈條是什么，它的響應動作不是在智能終端上把這個木馬殺掉就結束了，而是要看和它相連的其他主要業務系統有沒有感染。并且，它也有可能因中招的木馬不一樣做出不一樣的響應動作。“有的是保存現場進行調查、有的是要殺掉這個木馬、還有可能停止另外一個進程。”

有沒有發現，威脅情報驅動的安全產品之間是聯動的，也就是說在處理一個攻擊行為時安全防御體系是展開協作的，它們協作的基礎是數據和情報，情報可能希望先做一個終端的保護、再做一個防火墻的策略、再回到大數據中心進行分析檢測、或者做其他下一步的動作，應對攻擊安全產品之間不再是孤立的。

所以，設備+情報，一個手腳腦并用的的安全體系真正發揮作用了。

如何獲取威脅情報并實現自動化響應

既然情報這么重要，如何獲取情報并讓它發揮價值也是考驗安全提供商的重要能力。吳云坤強調，這要考驗大數據采集能力，很多企業在做規劃過程中都提到一個問題，要把數據留存。這種留存不是過去的告警留存，事實上過去的IDS、防火墻、反病毒全是流程的告警數據，這顯然不夠，而是需要全量數據的采集和存儲能力。情報要發揮作用，要留存的包括終端、網絡、甚至是資產等原始數據，甚至到業務級的。

如果要衡量威脅情報驅動的安全防御體系是否發揮最大價值，要依賴兩個條件，一是數據能不能收下來、二是情報的響應能不能由設備完成。

吳云坤指出，360網神推出由規則驅動轉向威脅情報驅動的新一代安全產品解決了三件事情：

第一解決了高級威脅的檢測與響應問題，所有的終端產品、防火墻支持全量數據采集，不僅僅是告警、還采集各類的行為，包括網絡方面的流量、快照、日志等。

第二能夠基于威脅情報做出自動化響應，如果說用1元錢衡量情報，那么10元錢是檢測、100甚至1000元則是做響應。所以后面的事情更重要，360描繪的威脅情報驅動的新一代安全產品前面強調的是威脅情報、后面則是安全基礎設施，安全基礎實施以情報驅動，少一個都不行。為了基于威脅情報做出自動化響應，360已經完成對底下很多基礎設施包括防火墻、防病毒的改造。

三是為后續的各類安全數據的分析和挖掘提供數據基礎，甚至是非安全的事情。

“今天360的防病毒、防火墻和天眼的大數據運營系統形成了威脅感知的業務閉環，未來無論是我們的無線安全、移動安全，包括云安全等所有的產品概念都會這樣：數據要采回來、和情報進行結合、結合之后做響應。” 吳云坤說。

據介紹，360的威脅情報來自三個方面：一是360自己的全球海量數據挖掘生成的威脅情報；二是通過交換方式或購買的商業威脅情報；三是內部威脅情報，也就是用戶自己產生的情報。

細致入微的數據分析能力

通過對傳統安全產品的改造，360網神把防火墻、防病毒等變成了觸感豐富的“皮膚”，反饋了豐富的數據，再加上基于大數據的威脅感知系統，360反過來把安全基礎設施變成了可以被驅動的手和腳。的確，360網神構建了一個閉環、靈活和智能的安全防御框架。

但不得不說，威脅情報驅動是一種分析技術，360是否又做的細致入微呢？

吳云坤把數據分析技術分為兩類，一是用“顯微鏡”看一個單點數據，比如一個樣本、一個URL、一個DNS、一個行為、一個流量等，二是用“天文望遠鏡”看數據與數據之間的關聯關系。

過去，所有的人都在研究第一類數據，把它看細，但數據大了之后更重要的是彼此之間的關聯。以美國反恐為例，過去是把電話解密，要看細、研究的越透越好?，F在不是，它看誰之間打過電話、研究人之間的關聯關系，最后定位出誰是恐怖份子，而不是花大量成本解密通話內容。所以，研究數據之間的關聯關系可以找到很多異常。

做安全的公司都知道機器學習，但對于很多傳統安全公司來說，根本沒有做機器學習或剛開始起步。為什么？因為對于他們來說，不缺攻防專家，但沒有數據科學家。

360不同，吳云坤說，360是一家互聯網公司，數據科學家在做互聯網業務時已經有了，包括起初做QVM引擎搞搜索的人。對于數據分析和機器學習，360有天然的基因。數據從存儲、分析、挖掘到得到情報的過程，360有領先的技術能力，例如5000億/秒的查詢次數，很多跟安全無關跟大數據技術積累有關，但反過來又作用于安全。

所以，有了支撐威脅情報分析的大數據技術，加上以威脅情報驅動的安全基礎設施，360網神為“老三樣”賦予了思考的能力。