11月9日至11日，2022年世界互联网大会乌镇峰会在乌镇召开。今年峰会以“共建网络世界 共创数字未来——携手构建网络空间命运共同体”为主题，来自120余个国家和地区的政府、国际组织、行业机构、中外互联网企业、高校智库近2000位代表参会。安天创始人、首席技术架构师肖新光在 “网络安全技术发展和国际合作论坛”做了《向量级威胁情报支撑网空安全国际合作》的主题演讲，并就主题接受了多家媒体的采访。

肖新光在演讲中直接指出：当前高级持续性攻击、定向勒索攻击等给全球关键信息基础设施，特别是中国等广大第三世界国家带来的威胁挑战尤为严峻，需要强化威胁情报的共享和协同来应对。但当前，威胁情报的效用不佳，其本质是威胁情报的供给和消费能力频谱始终滞留在HASH、IP地址、URL等这些简单信标，虽然容易在安全设备上运营和扩展，但实际上面向高级威胁的效力极为有限。

肖新光以安天对震网的历史分析成果举例——震网作为具有高度定向性的攻击活动，却有数千个不同HASH的样本，主要原因是震网的Loader在每次落地时会将提取到的主机环境配置信息追加在主PE文件的尾部，导致了每次文件HASH都会发生变化。十多年前这次代表性的攻击事件，实际上就已经宣告了HASH信标在面向高级威胁对抗的不足。更何况高级威胁活动中，普遍采取载荷不落地的内存作业方式，使用面向BIOS/UEFI固件、BOOTKIT、注册表数据块等方式的持久化，缺少内核安全能力的轻量级EDR产品都不能完成正常的提取，更谈不上HASH比对了。C2地址的更新频度不断加快，与此同时，很多威胁情报平台将数据查询作为广泛开放的服务，导致攻击者也以此来查询自身的Payload和C2是否已经暴露，从而触发快速重新部署。开放的威胁情报平台已经不仅仅是防御资源，而成为了攻防双方的一种“共性”基层设施。也有更多攻击者依托公共BBS/SNS等资源，基于编码甚至数字隐写方式传递控制信息，这种方式是无法用IP这种简单情报来解决的。

▲ 安天创始人、首席技术架构师肖新光进行主题演讲

肖新光认为，要改变HASH、IP地址、URL层面的情报生产和消费能力，是网络安全赋能和运营的基本功。但长期滞留在这个层面，是因为大量网络安全产品在数据执行体、主机环境和流量侧层面未能提供足够的深度解析和元数据化能力，而较少能力较强的产品和引擎缺少必要的开放性，从而使类似于注册表键名（值）、签名信息、关键字符串、内存特征、PDB编译路径等具有强指向性的向量性情报，都难以有效的配置使用。

他认为威胁情报痛苦金字塔的底层已经坍塌，继续将更多资源和能力投入到HASH、IP、URL这种低鲁棒性能力上是没有意义的。威胁情报的关键频谱，必须建构在执行体层面。而反病毒引擎历经几十年的发展，面向数据执行体维度形成的格式识别、预处理、深度解析能力成为元数据化数据执行体对象的最佳发动机，是使攻击者有较高逃逸成本的安全基础设施。反病毒引擎高鲁棒性监测规则集合，已经是最优质的威胁情报集合。而EPP的内核级别的防御驱动和底层采集能力，覆盖了BIOS\UEFI、内存、注册表数据对象获取，可以有效延展EDR机制的深度。这是引擎和系统防护产品侧，安天的能力和底蕴。

肖新光同时认为，威胁情报的核心要义不是厂商赋能，更不是平台查询关联分析，而是客户自主生产和协同共享，唯有自主生产，才能让情报成为一种攻击者难以预测的安全能力，唯有用户协同共享，才能提高有效情报覆盖面。

安天以“关口前移，防患于未然”的模式，依托反病毒引擎和安全内核为基础供应链提供安全赋能，有超过50万个云原生节点、超过130万台网络设备和网络安全设备、超过30亿部手机和其他智能终端内置了安天的引擎或安全模块。安天通过赛博超脑分析平台和安天CERT专业分析团队的协同作业，实现海量威胁样本自动化分析、规则与情报生产和深度关联分析。

2016年起，安天提出了下一代威胁检测引擎理念，在传统反病毒引擎在防御体系中威胁识别鉴定的功能基础上，扩展叠加了数据执行体元数据化和向量级规则的开放接口，从而打造新的威胁情报生产和消费的基础设施。安天依托检测引擎和在系统侧的安全积累，打造了智甲终端防御系统产品家族等面向强威胁对抗的政企产品体系。

肖新光表示，安天作为中国网络安全代表厂商，不仅积极在网络空间捍卫中国主权、为安全和发展利益提供技术能力与保障，也愿意与第三世界国家IT企业合作，以安天引擎和产品的开放授权，提供安全赋能，助力第三世界国家的网络安全产业成长，创造一个更均衡的国际网络安全产业体系，一同为网络空间命运共同体提供安全保障。