不久前，360网神曾经以“芯动力 新未来”为主题，举办过一次威胁情报驱动的安全产品发布会，推出了新一代威胁感知系统、新一代终端安全系统和新一代大数据智慧防火墙。

看起来确实够新，以致于要连说三遍“新一代”。日前，佩刀客接到邀请，到360大厦参与了对360企业安全集团总裁吴云坤的专访，再次得以从更加深入的层次和更加全面的角度，审视360企业安全集团的产品和战略演进。

检测响应 威胁情报

与之前的某次会面一样，吴云坤的话题仍是从“检测与响应”和“威胁情报”开始，这也是自今年RSA大会之后各方显著提及的两大热门名词。

360企业安全集团总裁吴云坤

首先来说“检测与响应”。对做安全的人士来说，这几乎是大家十几年来一直在做的事情，为什么还要格外提出这个词呢?主要是因为一些高级威胁的出现，过去围墙式的防御模式，对于此类高级威胁来说，已经捉襟见肘。很多企业可能还没意识到，然而不知道并不代表没有发生，它可能只是处于潜伏中，随时都可能从沉睡中苏醒过来反噬一口。

至于“威胁情报”，它的产生其实正是应对如上所说的高级威胁应运而生的，它改变了过去传统的基于漏洞或是基于规则的防护，能够动态、即时地解决新的风险和威胁。

然而，威胁情报的enable必须建立在如下的条件下：

其一，大数据的采集能力。譬如，今天有线报表明有人会来攻击，但假若没有内网数据，用户根本不会知道是不是在内网发生，因此第一个要解决的问题是威胁情报要发生作用，做好数据的留存，这种留存不是过去的告警留存，而是终端的、网络的，甚至是资产的乃至企业级的各种原始数据。

其二，全量数据的采集和存储的能力。数据留存下来以后，威胁情报就开始发挥作用，而它要发挥作用，就必须拥有全量数据的采集和存储能力，这个的背景实际上就是大数据技术。

其三，基于威胁情报做检测。过去的响应动作都是人工的，而威胁情报的特点是基于它来做响应，这就需要一些安全基础设施发挥作用，并且是自动化的处理，它不是设备联动，而是对所有接受情报的设备，它都能遵循情报完成一些动作，自动化或者半自动化地加以响应。

吴云坤指出，检测响应是第一个关键点的变化，第二个则是威胁情报。不过威胁情报好用与否，取决于数据能否收下来以及情报响应能否由设备来完成。

他表示，360推出的威胁情报驱动的产品，解决了三个问题：首先是高级威胁的检测与响应问题，这也是最主要的目标;其次，它要能够计划于威胁情报做出自动化响应;最后，它与大数据的结合，能够达到实时性防护和检测，能够真正发挥作用。

因为卓越 所以不同

天眼、天擎、天堤之类的产品过去就有了，那么它们与此前有什么不同呢?

360网神副总裁张聪表示，终端安全发展到现在，仅仅被终端安全软件检测出来是不够的。像以前的杀毒和防火墙做得拦截，然后把告警发送出来的模式，其实只有一次机会，就只有在有害文件落地的一刻，或者在攻击网络链接发起的一刻，它能够做一次检测，但是这种检测能力其实是非常有限的。

360要做的，是不再考虑在那一瞬间的拦截和检测，而是对之进行全程的控制，即便起初无法拦截，但是依旧可以进行密切监控，并快速找寻其马脚，检测机制就可以进行报警。

与过去相比，这是一个倒置的过程，但是它真正实现了质的变化，对企业安全来说意义重大。

吴云坤进一步指出，新产品能够将终端响应的数据统统拿回来，譬如快照数据、日志数据等等。以前在文件落地的时候，能检测到当然是好事一桩，然而检测不到也没办法，原有的机制决定了这一点。

在新的机制下，用户借助360产品的情报，能够查出一年前中招的点，譬如某样本被最新情报验证是恶意样本，通过一年来的数据关联，用户可以了解到有关该样本的一切。

此外，以前所有的响应动作，就是杀毒有告警，然后做处置，这是一个正常的响应动作，它完全依赖于规则下发时候产生的问题。现在发生了改变，情报报告说发现了一个高级威胁文件，用户要做的就是停止进程，但别杀这个文件，这是情报会告诉用户的响应动作。

举例而言，目前有A木马和B木马，情报做的响应动作可能会有所不同，比如对A木马要杀掉，还要停止其他某个进程，对B木马还要杀除它可能释放的其他进程。诸如此类的响应动作，是360新产品的关键点之一，它和过去基于规则的匹配完全不一样。

溯本追源 迎接改变

显然，在这种新的模式下，威胁情报的获取成为最重要的因素。

吴云坤表示，360自身就有强大的威胁情报产生能力，通过大数据，360时时刻刻都能获得大量的威胁情报，并通过四万多台机器存储和分析这些安全数据，产生情报。

他告诉我们，360在云端具有万亿级的效率，能够把客户本地进行存储、分析和计算，支持的查询次数是5000亿/每秒，能够在研究数据之间进行充分的查询，譬如通过各种关联关系找到异常状况。类似这样的情况对360来说，也是一种数据分析的能力，还包括思维的转换，这也是真正的大数据会生长出来的“果实”。

360在看细节数据方面的能力，也非常强大。无论是沙箱，还是动态的、静态的，或是包括这个过程中涉及到像URL之类的，360云端都有云查的响应库。最新产品里增加的是数据与数据之间关联性的问题，这也就是360的分析能力。

从采集开始到存储到分析，360的新产品具有非常鲜明的大数据特征。威胁情报只是数据的一种，关联分析也是，通过云管端的产品体系，以及云地结合的模式，360通过“威胁情报驱动”在表明正在做的事情。

吴云坤指出，360的威胁情报来源主要有四种：①商业的威胁情报;②开源的威胁情报;③协作类威胁情报，比如美国、澳洲、英国之间协作性的情报;④内部威胁情报。

吴云坤笑称，他现在讲安全公司分为两种类型，第一种是有威胁情报生产能力的，另一种则无。有威胁情报生产能力的也可以分为几个类别：①基于外部数据做一些挖掘的，它自己没有数据，比如说用VT或者用一些购买的数据;②有自己本身的数据来采集挖掘的，过去很多做杀毒的厂商其实都有一定的数据来做。不过即便是有威胁情报生产能力的公司，它要让威胁情报发生作用，也必须有基础设施。没有基础设施，它就是有线报和情报，用户也不知道该怎么使用。

吴云坤坚信，大数据必将改变企业安全领域的商业模式，它不仅可以催生新的模式，也将提供全新的平台和机遇，通过数据模式、云端服务改变市场，这一市场终将发生深刻的变化。