杨大路:通过TI Inside模式打造可靠、有效、易用的威胁情报解决方案

2021年6月18日，以“新IN力 御万象”为主题的 TI Inside 威胁情报应用生态协同峰会在北京隆重召开。来自本次会议的主办方天际友盟的CEO——杨大路在现场发表了《TI Inside安全生态与协同》主题演讲，向大家分享了天际友盟是如何看待威胁情报生态协同理念及如何通过TI Inside这一创新模式让威胁情报创造更大的价值。

杨大路谈到，威胁情报如果想要做得更好，那么生态合作就是最佳方式。“生态协同”不仅是天际友盟骨子里一直坚持的价值观，更是一种真正将威胁情报实现共享的信仰，并已深深植入天际友盟的产品理念、技术理念以及对业界所传达的一种态度。在行动方面，我们可以看到，从2015年开始接触威胁情报至今，天际友盟就一直致力于将威胁情报和业界、客户共享。

杨大路认为，相比于大多数网络安全的技术领域，在威胁情报方面我国同西方国家之间的差距并不大，这一成果则应归于TI Inside生态体系中所有成员的共同努力。

天际友盟的探索威胁情报生态协同之路从未中止

关于生态协同合作，杨大路在现场也分享了一些自己的感触。2015-2016年时，西方国家逐步诞生了关于威胁情报的生态联盟、生态合作的模式，但当时不少国内厂商对于生态这一模式普遍持一种并不太认可的态度，感觉这一模式更像是一种口号，而不是那种可以脚踏实地就能做成的事情。不过，他和他的团队却深信这一模式必定可以在国内生根发芽并蓬勃发展，可以帮助各个厂商及用户群体更好的去应对网络攻击并阻止网络犯罪的发生。

在演讲过程中，杨大路带着我们一同回顾了天际友盟在威胁情报生态协同领域的探索过程。首先是2015年天际友盟成立后，为了做威胁情报的生态，参与成立了烽火台威胁情报联盟，这也是国内首个威胁情报联盟。进入2016年，天际友盟开始同大型综合类网络安全厂商展开合作，在一些诸如态势感知等平台中接入了他们的威胁情报能力。当时间到了2018年，天际友盟开始向业界公开了部分免费使用威胁情报的方法。在那之后，天际友盟开始逐步形成了如何将威胁情报同业内各种安全产品相结合的一套方法论。

关于TI Inside，杨大路直言这其实是借鉴了Intel提出的Intel Inside模式。TI Inside于2019年发起到2020年正式发布商业版本，虽然看起来时间不算久，但天际友盟在这期间也经历了大量的探索并做了很多推动这一模式发展的大事。比如广泛开放的同业内公司进行测试或试用的工作，并以此来检验天际友盟的威胁情报数据在各方面的表现，其结果是在各方面的成熟度表现都很理想；再比如为了统一威胁情报标准，天际友盟期间作为协助起草单位与业内诸多厂商共同编写了国内首个威胁情报国家标准（GB/T 36643-2018），这个标准的出台使得开展威胁情报的共享和赋能拥有了依据。诸如此类通过不断努力所取得的这些成果，极大地推动了TI Inside的发展，进而加速了其商业版的诞生。

杨大路随后介绍到，截至目前，已经有超过60家安全公司的安全产品正在使用天际友盟威胁情报解决方案，用以服务于他们的广大客户群体。这是一个值得高兴的阶段性成果。

打造全面、可靠、有效、易用、适用性强的威胁情报解决方案

杨大路指出，天际友盟是威胁情报的分析者、加工者和搬运者，除了自身产品产生的威胁情报之外，还实时汇聚了全球200+情报源，这些数据包括开源数据、商业数据，以及其他从合法渠道获得、再经过加工、分析、整理而成的数据。

当面对这大量的威胁情报数据时，很多产品及用户很难直接去应用这些数据，因此在如何使用这些数据的方法层面，天际友盟也做了不少的创新和尝试。

首先，天际友盟将符合国标的威胁情报进行产出，并通过Feed的形式向厂商输出威胁情报数据。需要特别指出的是，这些数据完全采用明文而非加密的形式所提供，同时还支持在线和离线两种模式，这令网络安全厂商在使用层面变得更加简洁高效。

其次，天际友盟为了保证生态合作伙伴所获取的威胁情报数据拥有强大的可靠性和有效性，专门设计了一套完整的数据信誉评价体系，用以实现对威胁情报的动态跟踪评价，从而避免无效数据、老化数据长期存在于情报库中。

第三，天际友盟针对处置类、分析类、EDR这三种典型应用集合，筛选出各自适用的威胁情报数据，这样一来便可以满足不同的安全产品与威胁情报之间进行快速、有效的融合需求。

第四，前文提到过天际友盟的威胁情报数据源非常广泛，除自身情报源之外还有包括IBM、网宿等多家情报源，天际友盟按照不同的情报来源和威胁类型，建立起一套情报卡片体系，用户可以根据自己的需求，清晰地选择自己所需要的情报数据集合。据介绍，目前这套体系的卡片数量已经超过了40种。

在一系列创新之下，令TI Inside生态中的威胁情报具有全面、可靠、有效、易用、适用性强等一系列特征，那么对于厂商、用户而言就有着很强的实用价值和意义。

说到这里时，杨大路特别强调，未来天际友盟会一直坚持明文不加密的模式，并且会持续致力于让威胁情报用起来更简单，实现“即插即用”般的效果。

“只靠一个厂商或几个厂商很难去覆盖所有的安全场景，我们非常希望能够充分发挥生态内每一家公司的独特性和优势，通过他们的创造力将威胁情报用出‘花’来，让威胁情报可以呈现出更丰富的价值，可以适用于更多的应用场景，从而去真正的解决客户需求多样性的问题。”杨大路在演讲的最后特别强调道。

通过调动生态中厂商各自不同的能力优势，让威胁情报价值最大化的TI Inside模式，相信会如天际友盟所坚信的那样，一定会实现威胁情报源、威胁情报供应商、网络安全厂商和企业用户的生态“聚变”，从而推动行业开启一个以TI Inside为核心的主动安全防御新时代。