刘志诚：从数据生产要素看数字化安全——威胁情报和态势感知的生态观

最近接到腾讯、奇安信的邀请，谈一下威胁情报，加上上个月微步和FreeBuf，这个主题已经涉及了4次，前两次以安全运营为标的，我主要讲了安全运营的化繁为简，从还原论到系统论的思维升级的问题。腾讯是威胁情报新品发布会，奇安信是网络安全与数据生态大会，让我开始思考数据生产要素在网络安全行业的价值，以及对网络安全产业的影响，存在的创新与机会。

去年底“数据20条”的发布，在数据产权、数据流通、数据保护、数据应用等方面澄清了误区、达成了共识、明晰了政策依据，为各级政府和各行业在数字经济中发挥数据的价值，创新引领数字化转型奠定了基础。网络安全行业不应仅是数字经济中数据生产要素的安全保障者，也应是积极应用、发挥数据生产要素在网络安全产业的价值，实现网络安全产业数字化突破。

数据驱动安全的口号已经喊了很多年，从早期基于安全日志的第一代安全运营平台SOC，到结合日志与网络流量实现关联分析的第二代安全运营的安全事件与响应管理平台（SIEM），再到结合了终端检测响应（EDR）、网络检测响应（NDR）的第三代安全运营的扩展检测与响应平台（XDR），目的都是从检测、监测、日志、流量中寻找有价值的数据，实现对威胁攻击的发现和识别，实现安全事件的从事后到事中的处置，保障系统和数据的安全。

从事件驱动的安全过渡到风险驱动的安全，越来越多的企业开始关注风险数据的收集，近些年威胁暴露面管理和安全资产管理日趋热门，对资产的安全属性关注，突破了传统资产的内涵与外延的变革，从财务、运维视角增加安全视角的维度，更关注资产的多态性，资产可以是软硬件，也可以是算法、数据，涵盖了数字化、算力、算法、数据的范畴，资产同样是多元的，既可能是采购的资产也可能是自主开发或引用的开源资产。资产从静态的变成动态的，资产的生命周期管理带来新的挑战。资产的脆弱性，漏洞是安全关注的数据源，但不同于简单的漏洞管理，漏洞和资产、威胁的关联关系，也是风险数据源关注的重点。

图一、安全数据源

无论是资产、流量、日志，其关注的风险、事件的发现、预警，依赖的数据均是企业内部的数据源，然后威胁和脆弱性以及事件的模型其中包含的知识或数据，需要依赖于外部数据源，这个外部数据就是我们日常讨论的威胁情报，针对攻击者的相关信息，无论是黑客还是高级可持续威胁（APT）组织，以及组织的攻击方式、手段、掌握的漏洞、武器皆是威胁的数据要素。当然，威胁并非全部来自外部，员工的误操作和恶意行为也是重要的威胁数据源，相对于外部威胁的明确性，内部威胁需要依赖账号、行为、审计的内部监测分析预警系统才能识别与发现。

资产的脆弱性一个典型应用就是漏洞库，无论是美国的CVE还是中国的NVD，同样是资产公开漏洞的数据，当然，安全组织掌握的0DAY，企业内部测试的漏洞，作为未公开的漏洞，也是脆弱性的数据。

资产和脆弱性的内涵不仅是软硬件和配置，同样包含流程，逻辑以及人的因素，只不过更多的关注在软硬件层面，威胁如何利用资产的脆弱性，以及威胁如何突破体系化的防御机制，通过一系列的脆弱性利用，实现系统的破坏和数据的盗取或破坏，是一个系统工程，ATT&CK梳理的攻击技术和攻击向量，为攻击的数字化重现奠定了基础，通过APT组织攻击向量的重放，实现内部威胁狩猎（TH），是安全事件关联分析的监测方式之一，突破传统单点检测的漏报和误报，避免机器学习关联分析的数据风暴，也是一条可以尝试的路径。

数字化的本质是从管理支撑的信息系统到业务作业系统，网络安全的数字化不仅是网络安全设备、工具、流程、操作依托于人工处理结果的信息化录入，而是工具、流程、操作的自动化与智能化基础上的数字化处置。数字化的核心是算力、算法、数据的体系化构建，安全数字化在于突破攻防为核心的检测、监测、预警、响应的功能化思维，实现数据生产要素化、算法智能化和自动化、算力专业化和标准化。

数据是土地、人力、技术、资本之后的第五大生产要素，带来生产力和生产关系的巨大变革，网络安全在数字化时代同样面对数据生产要素介入生产力的巨大机会，从数据驱动安全到网络安全数据要素化，是一场网络安全行业的革命。

网络安全的数据生产要素是风险和事件，风险包含资产脆弱性、威胁，围绕着风险和事件的数据采集，包含检测、监测的记录，以及信息系统的日志，网络流量在模型基础上的数据分析与模式匹配的结果。

图二、数据生产要素

传统的威胁情报包括几个层面的数据，一是脆弱性数据，以系统漏洞的方式存在各种漏洞库，体现在各种漏洞检测系统、工具平台和攻防平台中。一是威胁数据，包含各类域名、IP地址、APT组织黑客和攻击特征、攻击武器、攻击向量等相关信息，各类威胁情报平台提供相关数据。威胁和脆弱性是风险相关的数据，对于安全事件的相关数据如何抽象为情报，是安全自动化红队建设关注的话题，APT组织的攻击向量是一种模式，真实安全事件在ATT&CK模型下通过序列化的漏洞与武器利用的自动化建模和回放攻击，是把事件数据应用于攻防演练的关键应用。

安全事件数据化是企业攻击事件的抽象与攻击向量重建，涉及到企业商业秘密、合规风险，以及安全声誉的问题，如何做到脱敏基础上数据交换，发挥安全事件的威胁情报价值，是未来威胁情报需要关注的主题。

威胁情报服务是企业安全数据的外部数据源，在信息不对称背景下为企业提供公共的脆弱性以及威胁相关的信息，如果仅作为外部数据源为企业提供服务，威胁情报的来源和质量将面对考验，基于公共信息的分析和建模，而难以应用企业的安全数据，难以实现威胁情报跨企业的共享，威胁情报的价值受限。而解决企业安全数据向威胁情报的反向输入，在保障企业安全声誉、商业秘密、合规风险的前提下，实现安全数据的流通或交易，对威胁情报行业具有重要的价值。

数据生产要素包含三种模式，数据资源、数据资产、数据资本，相对于传统威胁情报而言，企业需求的威胁情报属于数据资源的范畴，通过资源的利用，参与安全保障的防御机制中，发挥安全保障的职能作用。在数据脱敏的基础上，企业风险和安全事件的反向输出，提升威胁情报服务商产品的质量和价值，创造威胁情报的核心价值，企业输送的风险和事件建模数据以及威胁情报数据库是威胁情报服务商的数据资产，为威胁情报服务商持续创造价值。

安全的攻防对抗，双方的信息不对称是成败的胜负手，而作为政府、行业的公共层面，如何实现集体的安全防御建立起公共的网络安全防御机制，安全数据生产要素的价值显而易见，在威胁情报机制的基础上，实现安全数据资本化，建立安全数据生产要素的交换机制，促进网络安全数据的合法有序流动，无论是威胁情报服务厂商的核心竞争力增长，还是安全企业利用网络安全数据进行模型的训练和产品的优化，都会整体上促进网络安全行业的整体发展水平。

数据生产要素的战略定位促进了各行业数据生产要素的讨论与整合，数据交易所如雨后春笋般蜂拥而至，但如何建立标准化、格式化、可评价、可衡量、可定价的数据集，从而落地数据的流通和交易，并未有统一的意见和方案。网络安全作为数字化时代和数字经济的关键保障措施，行业的迅猛发展和行业数字化的未来充满了想象力。威胁情报作为数据驱动安全的外部数据源，在推动企业安全保障措施落地的同时，发挥企业网络安全风险和事件建模基础上的反向输入，既是威胁情报的数据源，也是企业在数据生产要素资产化方面的有益尝试。网络安全数据生产要素，在产业发展的基础上，可以率先进入数据生产要素市场，通过威胁情报数据的交易，实现网络安全数据生产要素化。

数字经济的发展推动数字化时代的高歌猛进，而网络安全作为数字化的安全保障手段，其重要性日益凸显。同时，网络安全的数字化也是数据驱动安全的进一步升级，如何发挥数据生产要素在网络安全产业中的价值，需要持续的创新和探索，在威胁情报的单向服务基础上，解决企业后顾之忧的双向网络安全数据交换，是一个值得探索的道路。相信，不久的将来，网络安全数据交易会成为数据生产要素基础上的数据流通与交易的先行者。