威胁情报在国内火了三年，无论是厂商还是客户，对威胁情报都有自己的认识和了解，并开始实践如何运用威胁情报。在国内很多会议、论坛、讲座上，威胁情报都被讲了很多次。 然而，虽然大家在威胁情报的大概念已经有了很多共识，但是在许多细节上，却仍然有着不同的理解。这使得不同厂商之间、厂商与客户之间、不同客户之间对什么才是威胁情报、需要什么样的威胁情报、威胁情报能干什么、威胁情报怎么用等等问题，依旧有着很多模糊不清的地方。 基于天际友盟这些年在威胁情报实践中踩过的坑，谢涛通过梳理这些问题，希望能够形成新的共识，并明确未来威胁情报的应用发展方向。

威胁情报这个需求或者这个概念的提出实际是源于一个很核心的东西，信息对抗。为什么？因为在信息对抗中，我们会发现传统的安全理念或者思想在对抗这个层面不适用，或者显得有点过时。原来我们只管好自己，但是在对抗的过程中我们需要知道别人在做什么，才能做好防护。在这个过程中就诞生了两个比较重要的概念，一个是态势感知，态势感知就是既要了解自己的动态，又要了解别人的动态，两个动态匹配从而得出安全状态现状。第二个就是威胁情报，威胁情报实际是关注威胁的，也就是所谓的知彼。从威胁情报厂商角度来说，我提供的威胁情报希望是一个更狭义的或者更确切的一个情报的理念，这与漏洞情报。资产情报或者事件情报的概念都是不一样的。

此外，威胁情报的技术也并不复杂，核心就是把威胁具现化。在这里 IOC（入侵指标）的概念就很重要，因为在 IOC 中，恶意域名、恶意IP、恶意URL能够代表它就是一个威胁。所以对威胁的具现化才是威胁情报技术最原始的一个产出。
在精准的汉语的定义里面，我们现在做的实际不是情报，因为情报在汉语的定义里面是一个专有名词。威胁情报实际上强调的是一种知识。此外，威胁情报还要有时间窗口的概念，否则它就只停留在了信息层面。具体来说，威胁情报应该是现在及时有效的一类关于威胁的知识和对威胁的具现化的描述。

目前与情报相关的应用可以分为四个维度，包括数据维度，即原始数据、DNS等未经过加工的大量数据；信息维度，即在数据维度之上基于对数据进行分析之后做了初步加工产生的内容，最典型的是日志、告警等；情报维度，即深层次的深度加工的准确性非常高的，时效性非常强的东西，必须要与场景强适应、强贴合，应用频次在时间窗口内非常高。从这个维度来看，历史情报其实属于信息层面的情报；最后是决策维度，也就是对情报的应用。

甲方在使用威胁情报时，可以从问题多源、可信源跟有效源；外部情报还是内部情报；实时情报还是历史情报；基础情报还是画像情报等方面来考虑自己要选择的威胁情报产品或业务。国内的威胁情报业务总结来看主要有三种模式：威胁溯源，即情报厂商手机大量情报和基础数据，基于分析逻辑和方法进行关联，最终供客户查询；其次是基于匹配机制的情报分析平台，核心方式是情报匹配；最后是基于订阅分发机制的情报协同平台，相当于情报共享。