孫子曰“知己知彼，百戰不殆”，話又說“知易行難”。知己 已是不易，各種開源軟件涌入信息系統，各種 API 調來調去供應鏈 越來越長，各種微服務“一言不合”就上線。這種動態環境下，知己―― 清楚地了解洞悉自身網絡中的資產、價值和安全屬性、邏輯分布和 依賴關系等無疑很挑戰。 但知彼是更難的挑戰。“彼”的識別就是 個大問題。什么目標和動機?定向的，還是非定向的;什么技術水 平?高級的，還是一般的;當前什么趨向，什么漏洞和利用在流行? 數百萬的安全告警背后分別是什么威脅?

　　從名義和定義上看，威脅情報是一個很好的“知彼”渠道。一 般來說，市場上可以獲得的數十數百種威脅情報，包括免費開源的、 商業的，在實際安全運營活動中，有時候顯得太多，數以千萬的各 種威脅信息，需要占用大量資源才能加以分析利用;有時候又顯得 太少，當重大或特定安全事件發生時，又發現諸多威脅情報“面面 相覷”，都不能提供有價值強關聯的可行動信息。 幾年的實踐下來， 業界意識到威脅情報只有在消費分析閉環里的不斷”提煉  中才能展 現價值，自身也才能越變越精準。 在這個閉環中，消費到分析的階 段最為關鍵。威脅情報的消費過程本身也構成了新的“情報”，新 的情報再次加入新的“消費”環節，于是威脅情報的用戶和提供商 一起構成了一種事實上的網絡防護生態， 這種“生態”能帶給成員最為鮮活的威脅動態和動力，實現一種可持續的、可運營的知“彼” 手段。

　　如果說 2016 年發生在 Dyn 攻擊事件是物聯網威脅的“叫醒”鈴 聲的線 年，物聯網設備已經是網絡攻擊的常客。綠盟威脅情報中心數據顯示，物聯網設備 IP 已占有總惡意 IP 的 12%， 物聯網設備中惡意 IP 所占物聯網總 IP 數量的比例達到 4.8%， 是普通 IP空間相應惡意 IP 占比的 3 倍。不難預計，物聯網設備帶來的安 全威脅將繼續不斷升高，對物聯網威脅的相應防護能力將會成為安 全防護體系的標配。

　　2017 年，在我們持續監控的超過 390 萬個攻擊源中，大約 20%的惡意 IP 曾對多個目標進行過攻擊，0.39% 的攻擊源對 90% 的攻擊事件負責。對這些“慣犯”的針對性跟蹤、分析、畫像、對抗等可 以有效地提高安全防護的效率和效果，相應地，“慣犯”覆蓋也將 成為最為核心的威脅情報能力之一。

　　如年中安全觀察所報告的，我們發現惡意 IP 在一個國家總 IP 數 量中的占比與該國家的整體經濟發展水平有非常明顯的線性關聯關 系，也就是說，經濟程度發展較低的地區，互聯網安全治理水平也 相對落后，安全防護提升跟不上電腦的普及速度，從而計算機被感 染成為被控主機、攻擊其它系統的概率更高，例如，越南惡意 IP 占 比高達 17%， 印度高達 11%這些基礎威脅統計信息可以作為UEBA/ 安全行為分析的重要輸入，建立更智能的安全檢測體系。同時， 我們應該看到，追逐利潤的安全威脅越來越體現出全球化運作的特 點，這也要求威脅情報也具備全球化運作的監視、分析和響應能力。

　　反射放大型攻擊依然占據了拒絕服務攻擊類型的主流位置，值得注意的是，反射攻擊武器庫里又有新的致命武器。幾天前，著名代碼托管站點 GitHub 遭受高達 1.3Tbps 的拒絕服務攻擊。這次攻擊了利用 Memcached 的反射拒絕服務攻擊漏洞。綠盟威脅情報中心NTI 數據顯示，全球有 10 萬多的 Memcached 服務器在互聯網上開放， 考慮到這些服務器的大帶寬、高在線時長，Memcached 有可能成為新的反射 DDoS 攻擊大殺器。