作为一种底层网络安全技术,威胁情报的应用和落地一直受到关注。
简单理解,威胁情报通过对大量相关数据积累和分析,在攻击发生之前告知企业等防守方需要注意的方向,希望达到防患于未然的效果。在实际落地中,威胁情报常常作为一种较底层的技术,为各类安全产品提升能力。
这一网络安全技术最早来源于美国,近年传入国内后也逐步引起众多安全厂商的重视。
当前,国内威胁情报领域的参与者大致分为全栈型厂商和专精型厂商两类。在专精型厂商中,有公司以威胁情报能力切入,将情报封装成产品提供给金融、能源等客户,并且希望在对各种类型安全产品的拓展中,成为较综合的厂商。而另一类公司则主要输出情报能力,客户包括不少其他安全厂商,并希望在此基础上构建生态。
36氪持续关注的「天际友盟」属于后者。该公司成立于2015年,一直专注威胁情报领域。日前,天际友盟也出版了《网络威胁情报指南》一书,书中就威胁情报的基础定义,以及行业应用等方面进行了介绍。也值此时点,36氪也对公司c++EO杨大路进行了采访,了解其对国内威胁情报领域的看法,以及天际友盟之后的业务经营规划。
首先,谈及在此时出版书籍的原因。杨大路介绍,虽然威胁情报已经从国外传入中国不短时间,但国内一直缺乏体系化的书籍或知识呈现。而随着国内安全市场发展,天际友盟发现威胁情报这一技术的推进速度也超出了公司的预期,但威胁情报这一理念对不少人而言还需要持续了解、学习,希望这本书的出版可以帮助更多人从更多维度了解威胁情报。
在威胁情报的概念之外,厂商如何通过这种底层技术给上层应用提供能力也是业内关心的一点。在这个方面,天际友盟当前的重点探索之一是"数字风险防护"。
在天际友盟的定义中,"数字风险防护"是指通过持续自动化地监测互联网+存量数据和流量数据,及时帮助企业发现存在的钓鱼欺诈、非法使用品牌标识及其他侵犯知识产权的行为,并通过高效地处置下线措施,实现对网络欺诈和品牌滥用的打击。
杨大路认为,天际友盟之所以能做数字风险防护,也和其一直以来选择的威胁情报合作路线相关。他觉得,情报不流通是没有价值的,所以天际友盟主要输出情报能力,为包括安全厂商在内的客户提供价值,构建生态,其早前重点参与建设的"烽火台安全威胁情报联盟"就是一个体现。
杨大路也坦言,早期此类理念会受到不少投资方和厂商的质疑,但经过几年发展,由于厂商在相关能力上受到竞争,以及考虑投入产出比的机制,再加上天际友盟一直强调不会去做与各类安全厂商存在竞争关系的产品,所以行业也逐步接受了天际友盟的业务路线。在具体数据上,如今已有数十家安全公司采用天际友盟的威胁情报能力。
天际友盟从2018年开始做数字风险防护,并在2019年进行了商业化。杨大路介绍,当时不少客户看到天际友盟在做威胁情报,所以也顺而对其提出打击诈骗的需求,而天际友盟在梳理完客户诉求后,认为自己可以从业务层面解决此类问题。
具体而言,天际友盟在开展威胁情报业务时,会和全世界各种各样的服务商、监管机构产生联系,这成为了提供数字风险防护服务的基础。"比如,假设某个公司被攻击,我们追踪到黑客的初始来源是香港的运营商,但之后黑客可能又跑去了其他地方,再通过这一中间地最后定位到某个其他地方。这个过程需要和中间很多的服务商、运营商有交流和合作,不然你追不到他(黑客)。"杨大路举例。
在他看来,这即和天际友盟构建生态的思路结合,"如果没能和全世界的服务商交朋友,是做不到这件事的。"具体拆解,和全球服务商之间的合作涉及到时区、语言等具象配合,另外就此类业务达成合作也需要多年的信任培养。杨大路觉得,天际友盟在近六年的时间中持续和各个服务商进行合作积累,才覆盖了一张全球性质的网络以解决数字风险防护的问题,这也是公司在这一业务上的最大壁垒。在这一点之外,他还强调SaaS化的轻量级产品理念,和团队自身从甲方需求出发的思路,也是做好这块业务的关键。
在具体的商业化效果上,杨大路表示,现在数字风险防护的收入增长迅速,今年预计能达到数千万的收入目标。同时其也觉得数字风险防护会是公司未来发展的重点之一,"公司当前重视数字风险防护业务的进展,也希望通过对威胁情报理念的不断普及,让更多客户了解到数字风险防护业务能帮助其解决的问题。"杨大路总结表示。