安全防御：数据与情报需唯“真”是问

近日安全领域一大新闻就是创立于2010年的Norse Corp濒临倒闭边缘。也许大家没有听过这家公司的名字，但是大多数从业者一定见过酷炫无比的“地图炮”。曾几何时，我们可以盯着屏幕在Norse的网站上看“全球黑客大战”的直播。这家公司也在几年间成为了全球的威胁情报公司，然而这一切都幻灭了，原因则是这家公司用来呈现和分析以及产出报告使用的数据可能都是假的。

据揭露，Norse的数据来源为部署在全球数十万的代理，蜜罐等传感器，但是他们将这些传感器收集来的数据当做真实发生的攻击呈现在他们的报告和其他商用产品中。这无疑对我们判断全球网络安全态势产生了影响。

Fortinet旗下的FortiGuard实验室把从全球收集的数据以可视化的形式呈现出来。如图所示，根据攻击严重程度用颜色区分，由于攻击过多，地图上只显示收集来的万分之一的数据。

如今已经是动态安全时代，传统设备和方案都是静态的，很难对抗持续变化和升级的攻击手段。威胁情报正好是以动态的手段来对抗攻击者。在整个防御过程中，威胁情报会不断地被收集、丰富、分析、再收集形成一个闭环。APT的泛滥带来的现状就是系统被攻击和攻陷已经是常态，在这种新常态下，我们必须要提升检测和应急响应能力，而这个能力就是要由威胁情报来驱动的。APT的高级和隐蔽性使得可以轻易穿越传统安全防线，因此对高级威胁，我们使用的检测手段也不能只是签名，必须要依靠行为检测进行分析，交付给用户可执行和操作的分析结果，由此可见在持续的攻防较量中这个能力是很重要的。因此在威胁情报未来在安全保护方面肯定要起到越来越重要的作用。