企业动态

据国际权威咨询机构Gartner统计，2019年使用商业威胁情报的组织比例接近10%，这比2017年不到1%的比例提升相当明显。而到2022年，将有20% 的大型企业会使用商业威胁情报。如果加上开源威胁情报，这一比例将会更高。

但威胁情报能力建设绝非一蹴而就。作为北京2022年冬奥会和冬残奥会网络安全服务和杀毒软件官方赞助商，奇安信旗下拥有国内首个商用的威胁情报中心，始终致力于帮助政企客户构建威胁情报运营闭环，降低威胁情报应用门槛，让威胁情报的生产、共享以及应用全生命周期的运营，都以奥运的标准更快一步。

回顾2020年，奇安信威胁情报中心成绩斐然：

1.技术研发：发布QOWL猫头鹰反病毒引擎、QTDE威胁情报检测引擎SDK，RAS高级威胁检测引擎，大幅提升威胁的发现能力；

2.安全运行：提出“情报内生”理念，将安全能力下沉到客户侧，构成企业自身的威胁情生产和应用能力；

3.生态合作：发布“TI INSIDE计划”，赋能生态合作伙伴，提升整个行业防御基线；

4.威胁狩猎：帮助国家部委、政企客户处置近百起境外APT攻击事件；

5.市场拓展：荣获IDC、Forrester、人民银行等多家咨询机构和行业客户的高度认可。

在年底的一系列重大安全事件中，奇安信威胁情报中心表现抢眼。在FireEye红队武器库泄露事件中，第一时间收集拓展了全面的失陷情报（IOC）数据；SolarWinds软件供应链攻击事件中，在全球范围内率先发布了基于DNS数据解码的攻击影响面研究成果，被业界争相引用。

 率先提出“情报内生”理念   情报生产快一步

经过数年的发展，威胁情报在高级威胁检测与响应、APT组织追踪中起到的作用已经难以替代。但到目前为止，不论政企机构是连接云端的威胁情报，还是部署本地的威胁情报平台，其本质上都主要以消费外部商业威胁情报数据为主。

根据SANS调研的数据显示，超过60%的企业并不具备基于本地数据生产威胁情报的能力。

2020年1月3日，奇安信在奇智威胁情报峰会上，正式提出了“情报内生”的理念。

奇安信集团总裁吴云坤在会上表示，面对组织化的网络攻击手段，没有打不透的墙，信息化系统需要内生安全体系保障，基于数据驱动安全的理念，建立起能力导向的网络安全体系。

作为积极防御的关键，威胁情报在网络安全体系的建设中发挥着重要作用。威胁情报驱动的威胁运营是一个运行闭环，要嵌入到信息化流程中并作用于积极防御，建立自身的情报生产和消费能力，挖掘出潜在和未知威胁，并及时有效的弥补防御弱点。

图 奇安信集团总裁吴云坤

发布“TI INSIDE”计划情报    生态合作快一步

情报内生固然是威胁情报的必由之路。但在实战化攻防环境下，对于很多组织机构而言，门槛较高。

6月29日，奇安信正式发布“TI INSIDE计划”，把威胁情报中心多年来的数据积累、技术、能力、专家，尤其是威胁情报实战经验固化形成开发SDK，服务于行业客户和生态合作伙伴，从而有效降低用户侧威胁情报消费门槛，让威胁情报应用的行业生态合作也快一步。

今年4月，奇安信威胁情报中心研发的QOWL反病毒引擎正式亮相，并集成于奇安信天擎终端安全管理产品中，在蔓灵花等多个境外APT组织针对国内的攻击活动中，QOWL引擎起到了至关重要的作用。

国际杀毒软件评测机构Virus Bulletin公布的2020.4月VB100测评结果显示，搭载QOWL等反病毒引擎的天擎，以零误报、100%多样化样本检出率通过VB100测试，标志着奇安信正式加入全球顶级反病毒厂商俱乐部。

同月，奇安信威胁情报中心又正式推出了威胁情报检测引擎QTDE，能够基于奇安信威胁情报中心统一的威胁情报分发机制，将最新的威胁情报数据实时下发至各安全设备，极大提高了产品的核心威胁检测能力。

为了进一步满足安全分析师需求，在今年实网攻防演习期间，威胁情报中心还发布了阿瑞斯武器库实战化平台。阿瑞斯源自古希腊战神之名，意在整合攻击手法、工具、样本等，帮助安全人员战无不胜。

值得注意的是，在今年人民银行金融业网络安全态势感知与信息共享平台项目评估期间，奇安信威胁情报质量在17家威胁情报供应商中脱颖而出，综合排名第一。

在实际环境中表现，奇安信威胁情报检测准确率可达99.99%，同时提供完整全面的上下文信息实现对事件处置的强大支持，覆盖从传统僵木蠕到APT攻击的威胁全光谱。

凭借威胁情报精准检测和安全运营能力，奇安信以10.2%的市场份额，获IDC安全分析和威胁情报国内市场第一。

截至目前，奇安信威胁情报中心已累计首发9个国内外APT组织，监测到的针对国内发动APT 攻击的黑客组织达到44个，全年发布安全分析文章超过80篇，其中APT相关的超过35篇，稳居国内第一，世界前列。

2021年，网络空间的暗战仍将继续，奇安信威胁情报依旧在路上。