2013年秋天的一次网络安全大会上，知名网络安全专家于旸做了一个《APT防御——未知攻，焉知防？》主题分享。那一年，2013年，APT高级可持续威胁攻击被行业高度关注，Palo Alto与FireEye主导的未知威胁渐趋成熟。

于旸在讲演中表示，实用有效的安全防御方案需要对攻击技术有深入了解，基于“未知生、焉知死”，他提出“未知攻，焉知防”。

“未知攻，焉知防”，这句话后来被广泛应用到无数的安全产品和安全讲演场合。由此，也揭示出安全情报的重要性。

风险愈加复杂，欺诈愈加专业

随着数字经济规模快速扩张，企业核心业务、关键数据、用户信息、基础设施、运营过程等均处于边界模糊且日益开放的环境中，涉及利益流和高附加值的业务面临多样的安全隐患。

顶象与信通院联合发布的《业务安全白皮书》披露，一方面，各种形态的业务场景中，存在着形式多 样的欺诈行为；另一方面，欺诈团伙呈现专业化、产业化、组织化的形态，黑灰产能够发现业务存在的漏洞，够熟练应用各类新技术，不断开发和优化各类攻击工具。

由于业务的行业特征明显且差异大，各行业业务场景丰富，应用环境繁杂，安全需求多样。同时，黑灰产熟悉各项业务流程及漏洞，能够娴熟的运用各种新技术，而且有计划、有预谋。这就导致企业难以防控最新的业务风险，无法从全局视角洞察欺诈风险。

顶象业务安全情报能够帮助企业提前获取黑灰产发动威胁的工具、路径、意图等信息，勾勒出攻击者画像。让安全运营人员及时快速进行应急响应，推动防御的主动化，更可以实现事后的风险特征沉淀。

安全情报帮助企业发现复杂攻击

业务安全情报是指从安全数据中分析出与业务威胁相关的信息，通过对数据的汇总整理、加工生产、分析应用及协同共享机制，从而提炼总结出有价值情报内容。业务安全情报不仅推动安全数据共享，打通了各个业务的孤岛，实现由被动抵御到主动防护，帮助企业掌握安全主动权。

以顶象业务安全情报为例。顶象业务安全情报拥有 30000+风险源，包含来自对黑灰产社区社群、暗网论坛、违法违禁网站和App的监测，以及打码平台、众包平台、行业非风险数据的共享等。基于对风险数据的人群画像、行为评分、关联关系分析、团伙欺诈挖掘、场景风险特征分析，以及专家专业经验的判断和定位后，提炼总结分析出电信诈骗风险、IP地址风险、设备风险、涉毒涉诈风险、交易风险以及不同行业风险的业务安全情报，为安全人员提供及时、准确、有效的情报内容，帮助安全人员系统掌握业务安全态势、威胁路径、影响范围等，分析挖掘出攻击特征、潜在隐患，从而及时有效提升安全应急响应能力，制定科学有效的防控策略。

业务安全情报在安全防护的作用

安全事件响应。通过订阅、推送等方式，将业务安全情报集成到现有的安全产品之中，实现与安全产品协同工作，打通产业链上下游，链接各行业和业务的“信息孤岛”，帮助企业制订实时响应的联防联控安全机制。

威胁攻击防御。在日常处理应急过程中，借助安全情报，安全人员会能够快速识别攻击，明确威胁攻击类型，来源以及攻击的意图等。快速评估企业内部资产受损程度及影响面，判断攻击所处的阶段，做出针对性的措施来阻止攻击进一步扩大;事后阶段，然后根据事件中出现的新的情报信息进行应对。

追溯风险来源。追踪威胁攻击是一个长期的运营过程，通过对黑灰产战术、技术、过程等威胁信息多个维度的分析提炼，在结合新攻击中暴露的各类细节，进而能够有效追溯溯源。

发现未知威胁。通过业务安全情报，能够帮助安全人员捕捉网络中异常行为，挖掘未知威胁，辅助定位潜在隐患，帮助企业在攻击发生之前发现威胁。

提升安全能力。通过业务安全情报，帮助安全运维人员快速定位影响资产安全的关键风险点，提前修复关键漏洞，更好保护业务安全。