自2013年威胁情报（Threat intelligence）提出以来，迄今已经在网络安全领域得到广泛应用，诸多安全产品如防火墙、入侵检测、态势感知、端点保护、SIEM、漏洞管理、DDoS防护等，都能看到威胁情报的身影，能力得到大幅提升。根据 IDC 的调研数据显示，威胁情报可以推动安全和运营效率的提高，将企业发现威胁的速度提高 10 倍，响应和解决威胁的速度提高 63％，并在受到攻击之前主动识别出 22％ 的安全威胁。

　　威胁情报的落地方式有很多，天际友盟选择了做好威胁情报的优质“供货商”，为此提出“TI Inside”生态战略诠释。TI ，即威胁情报Threat intelligence的缩写，Inside类似电脑行业英特尔专注于做好CPU，赋能于各个PC厂商，天际友盟也是用TI Inside赋能整个安全产业，通过TI Inside协同，通过生态聚合力量，实现威胁情报能力与安全厂商的集成联动。

　　6月18日，以“新IN力 御万象”为主题的 TI Inside 威胁情报应用生态协同峰会在北京召开。在“TI Inside”生态的集聚效应下，峰会吸引了大量网络安全企业代表、威胁情报生态合作机构、分析机构，共同交流威胁情报的最佳应用实践，探讨 “TI Inside”生态共建战略，推进安全行业威胁情报生态协同。

　　“TI Inside”生态伙伴现身说法

　　威胁情报最直接受众当属网络安全厂商。据介绍，依托TI Inside模式，天际友盟目前的情报源达到200+，合作安全厂商60+，已成为安全行业威胁情报应用的牢固底座。对TI Inside模式的有效性和优势，以及威胁情报的实践，奇安信、H3C、IBM、六方云等企业在会上进行了分享。

　　H3C安全攻防实验室主任梁力文对TI Inside模式表示认同。她认为，威胁情报的协同和共享特性决定了TI Inside生态建设需要企业客户、安全厂商和情报厂商一起努力。基于威胁情报的主动安全和纵深防御体系共生，纵深防御是主动安全的落地抓手，二者相辅相成。TI Inside模式能够实现威胁情报的生产和消费闭环，让威胁情报有效流动起来，进而拉高企业整体防御水位，缩短检测响应周期，提升风险预测能力和分析水平。

　　奇安信威胁情报中心负责人汪列军认为，要做好外部和内部情报的结合。首先要使用好开源和商业的威胁情报数据，其次还要从自身的安全设备、应急响应及安全分析过程中收集威胁情报。目前，这种既“消费”也“生产”威胁情报的用户占比甚至近半。“内生情报”是威胁情报SaaS化赋能的必备补充，适配无法外联的封闭组织防护场景，同时应对APT高级威胁也需要内生情报数据和相应的判定能力。

　　IBM 大中华区信息安全售前经理高爽强调，行业要共建高端威胁情报服务。IBM X-Force作为领先的威胁情报研究机构之一，将与天际友盟携手打造开放共享生态、共筑威胁情报联盟，共建高端威胁情报服务，通过向市场传递高端威胁情报、共建样板工程、展示更丰富的威胁情报使用场景，提升用户对威胁情报使用的高度和认知。

　　六方云产品部总经理刘建兴介绍了TI Inside模式在工业互联网安全体系的构建。采用AI威胁检测+TI Inside模式，通过威胁检测、交叉验证和溯源查询等方式，将威胁情报能力融入工业互联网安全产品，全面感知工业生产全生命周期的安全态势，构建起高度智能化的工业互联网安全防护体系。

　　共建安全新生态 “TI Inside”的初心与未来

　　为什么要专注于做好威胁情报的“供货商”？根本目的是要帮助安全厂商降本增效，集中精力做自己擅长的事情。

　　天际友盟 CEO 杨大路表示，网络威胁日趋专业化，安全厂商自身获取威胁情报具有局限性，同时自建威胁情报体系投入巨大，这里就是第三方情报供应商的价值所在。作为专业、中立的威胁情报供应商，天际友盟能够实现全产业链、多源威胁情报的汇聚，在TI Inside生态中起到根基的作用，通过威胁情报场景化应用赋能，与生态合作伙伴一起，共同最大化发挥威胁情报的价值。

　　天际友盟CEO 杨大路

　　杨大路介绍，天际友盟的威胁情报能力实现了与奇安信、H3C、IBM等龙头企业的打通，还实现与60+家安全厂商的集成联动。同时，天际友盟与全球多家知名安全机构达成情报数据合作，实现200+家情报源的实时聚合，热情报日更新2000万+，并提供feed情报订阅，支持明文批量交付数据，方便与安全产品集成或再加工。

　　另外，根据不同类型安全产品的定位、性能和应用场景，天际友盟TI Inside设计出三种典型的情报融合策略，包括处置类集合、分析类集合、EDR集合，针对不同的集合筛选出适用的威胁情报数据，满足不同类型的安全产品与威胁情报进行高效的融合。

　　按照不同的情报来源和威胁类型，天际友盟的威胁情报市场建立情报卡片体系，在订阅威胁情报数据时，只需要将感兴趣的一张或多张卡片加入至数据下载集合，便可以自由下载使用。目前天际友盟维护包括自有情报、IBM、火绒、网宿等多家优质情报源，包括恶意软件、C&C节点、数字货币、APT情报、恶意网站、病毒木马等在内的40余种情报卡片。

　　在生态共享的理念下，天际友盟作为威胁情报国标（GB/T 36643-2018）的协助起草单位，不但产出符合国标的威胁情报，还提供离线明文威胁情报，并支持在线查询功能，帮助网络安全厂商高效、便捷、低成本使用TI Inside服务。此外，天际友盟还设计了一套完整、高效的数据信誉度评价机制，实现对情报进行信誉度评价和动态跟踪，并据此进行数据老化处理和数据清洗，以保证相关数据的可靠性和有效性。

　　对未来TI Inside的发展，天际友盟TI Inside战略负责人赵嘉伟表示，天际友盟TI Inside将坚持开放、生态、共生的理念，致力于携手安全厂商为最终用户打造更加安全的网络空间。TI Inside模式，不仅要实现与安全厂商的集成联动，形成新的聚变效应；还要通过威胁情报赋能生态伙伴，应对客户实际业务的各类场景，确保客户在数字化和智能化的时代里行稳致远。