隨著全球網絡攻防對抗的日益激烈，攻擊方的攻擊手段不斷升級，0day漏洞的利用頻繁，勒索軟件、數據竊取和隱私泄密等攻擊事件層出不窮，成為防守方必須警惕的“隱形陷阱”。在實戰較量中，防守方一旦出現滯后則可能帶來嚴重的安全風險。風險驅動之下，企業安全運營對于威脅情報(TI)的需求愈發迫切。

一方面，整個行業的安全建設思路發生了翻天覆地的變化。傳統的防火墻、入侵防御系統(IPS)等防御手段，在面對如高級持續性威脅(APT)、勒索軟件等新興威脅時顯得力不從心。威脅的演進速度和手法的高明程度，促使企業必須轉變傳統思維，加強威脅情報的應用，以提升自身的安全防御能力。

另一方面，企業的安全建設意識與監管要求密切相關。隨著國家各層級攻防演練的常態化，通過模擬黑客攻擊的方式，讓眾多企業意識到原有防御措施的不足，開始重視實戰化的情報能力和威脅檢測。

在此背景下，企業對于威脅情報產品和服務的需求持續增長，低估威脅情報的價值或未能正確應用威脅情報，將難以防御迫在眉睫以及潛在的威脅。據Gartner預測，2024年全球威脅情報支出將達到21.7%的年增長率，到2028年預計支出將達到46億美元。這一數據充分表明，威脅情報市場已經進入成熟主流階段，并持續穩定增長。

▲微步技術合伙人、微步情報局負責人 樊興華

NGTIP賦能企業威脅和風險的高效運營

作為威脅情報的代表廠商，微步在線自2015年起便涉足威脅情報領域，不斷推陳出新。公司先后推出了X情報社區(國內最活躍的威脅情報社區)、云API產品、互聯網安全接入服務產品OneDNS、威脅感知平臺TDP、本地情報管理平臺TIP、威脅防御系統OneSIG、S云沙箱、終端安全管理平臺OneSEC等。

近期，微步在線更是創新性提出下一代威脅情報(NGTI)能力，并發布“下一代威脅情報平臺NGTIP”，持續引領行業發展潮流。何為NGTI?微步情報局負責人樊興華解釋道，“相比于擴展威脅情報(XTI)，微步的NGTI更專注于威脅本身，尤其是漏洞情報和態勢情報。”

NGTI依托于大數據分析、大模型、知識圖譜等技術，深度融合蜜罐、告警日志、漏洞庫、全網公開安全事件等各類威脅數據，建立各類威脅實體(攻擊IP、C&C、漏洞、黑客組織、病毒木馬等)實時和立體的監測能力，通過更豐富、實時、立體的下一代威脅情報能力，賦能企業威脅和風險的高效運營。

下一代威脅情報平臺NGTIP定位為“企業威脅和風險運營的情報中心”，以高質量精準的“威脅情報、漏洞情報、態勢情報”三重情報為核心，進一步將企業安全左移，把關注視角從“威脅”到“風險”前置，幫助企業解決漏洞運營、安全態勢感知、威脅情報告警噪音難題，實現更高效、主動、全面的安全防御。

該平臺的設計理念圍繞“場景化”展開，旨在通過內置的多種情報應用場景和分析策略，實現威脅情報的開箱即用，從而簡化企業的安全運營流程。NGTIP在關注威脅的同時，更加注重“風險”管理，致力于協助企業高效地緩解真實威脅帶來的潛在風險，識別和優先處理那些可能造成最大損害的風險點。

樊興華指出，“企業修復漏洞的成本很高，需要花費大量的時間和精力。因此，NGTIP不僅關注威脅的發現和檢測，還進一步幫助企業進行風險排序，確定哪些漏洞應該優先修復，促使企業能夠集中資源處理高風險問題，從而減少潛在的安全損失。”

不同于傳統的單向查詢和消費模式，NGTIP平臺從情報的查詢、分析、生產、共享，到后續的處置和狩獵，形成了一個閉環，實現了情報的全生命周期管理。這種閉環管理確保了情報的持續更新和優化，使企業能夠持續適應和應對不斷變化的威脅環境。

此外，NGTIP強調從機讀到人讀的全方位信息處理能力。該平臺不僅能夠自動收集和處理大量的機讀數據，還能將這些數據轉化為對決策者有用的人讀信息。通過內外部威脅信息的挖掘和訂閱，NGTIP為企業的資源投入和安全建設方向提供科學的決策依據。

三重情報，NGTIP重塑企業安全防線

下一代威脅情報平臺NGTIP通過“威脅情報、漏洞情報和態勢情報”三大核心能力，不僅強化了告警降噪效果，還提升了漏洞運營效率，增強了風險感知能力。這些創新功能使NGTIP成為國內首創真正意義上的漏洞情報產品，以及全網匯聚、實時感知威脅、高效緩解風險的態勢情報平臺。

一、威脅情報

針對告警噪音嚴重的問題，微步下一代威脅情報平臺NGTIP上線了IP信譽2.0，對IP情報全新升級，從單一維度升級為具備深度、廣度、活躍度的三維IP畫像，通過自動化攻擊識別和更全面的證據信息，大幅提升了對網絡攻擊的識別和處置效率，同時強化了告警降噪效果，網絡攻擊告警降噪比例達到80%以上。

深度上，原本一維的漏洞利用、掃描等屬性，豐富后可查看IP背后的攻擊路徑、攻擊應用、反連地址等深度攻擊鏈信息，從而更好判定IP攻擊目的。

廣度上，基于微步全網部署量最大的蜜罐HFish集群的1.2萬多個節點，每天探測日志信息上億，全球累計跟蹤平均2000多萬活躍攻擊IP，可精準掌握測繪、僵尸網絡、蠕蟲、爬蟲等不同IP。

活躍度上，全新IP情報提供IP蜜罐出現頻率、時間維度等信息，可支撐判斷該IP是否為針對性攻擊，最終整體從三個維度對IP進行更豐富立體的分析。

二、漏洞情報

針對0day未知漏洞難防，漏洞告警“噪音”大，漏洞風險評估難，漏洞信息不完整，漏洞修復無從下手及漏洞影響產品梳理難等問題，下一代威脅情報平臺NGTIP提供從漏洞獲取-發現-評估-處置-驗證閉環的全流程漏洞運營，也是國內首款真正意義上可閉環的漏洞情報產品。

微步在線針對未公開漏洞向白帽子推出了獎金豐厚的“0day獎勵計劃”，先后收錄了數百個0day，進一步豐富了NGTIP平臺的漏洞情報庫，確保企業能夠及時了解和應對最新的安全威脅。同時，NGTIP的漏洞情報能力依托于微步在線的X情報社區，能夠獲取高價值的漏洞情報，為企業提供最前沿的安全洞察。

樊興華認為，“將威脅情報納入評級體系能夠更有效地反映漏洞的實際風險。”因此，NGTIP采用了微步在線VPT(漏洞評估模型)，這種方法不僅考慮漏洞的技術特征，還考慮漏洞被利用的實際情況，如活躍度和嚴重性，大幅提升企業漏洞修復效率高達95%。

通過強大的漏洞收集和自動化處理能力，NGTIP建立了業內極具規模的漏洞情報庫。其中10%以上的漏洞早于官方漏洞庫80天以上，可以為企業提供更全面、更及時的漏洞情報。NGTIP通過微步安全大模型XGPT解決了漏洞情報與資產版本匹配的行業難題，極大地提高了漏洞情報的準確性和實用性。

樊興華透露道，“微步的漏洞收錄工作始于2022年，至今已有三年時間。我們主要關注那些高危漏洞，即那些能夠直接對系統造成威脅的漏洞。除了常用的CNNVD漏洞庫外，我們還與其他官方漏洞庫進行合作，收錄更多的國內漏洞信息。”

三、態勢情報

針對外部最新攻擊技戰法獲取難、行業安全事件感知難、缺少知識庫積累的問題，下一代威脅情報平臺NGTIP在行業率先推出態勢情報。基于全網測繪、推特等社交媒體及自有數千渠道等公開數據采集，結合微步情報局的研究成果、各類應急事件等，全面覆蓋了潛在的威脅信息。

情報更新速度呈現小時級，確保企業能夠及時獲取最新的威脅數據。通過NGTIP態勢情報，企業不僅可以快速獲取最新APT、勒索以及數據泄露等安全事件，還能實時掌握最新黑客組織畫像信息，行業威脅態勢。

同時，NGTIP利用XGPT大模型進行知識抽取，實現自動化和高效的處理。基于XGPT自動化處理提取的攻擊工具、攻擊手法及攻擊IoC情報，企業可進行快速排查及檢測防御，也可針對性訂閱與自身相關的重點行業、黑客組織、攻擊工具，建立企業自己的重點風險畫像，有針對性地加強安全防御。

NGTIP從各種來源抽取非結構化數據，包括IP地址、域名等節點信息，并將其存儲在圖數據庫中，從而構建了一套網絡安全的知識圖譜。樊興華在采訪中提到，“威脅知識圖譜是一個基礎，它會不斷地自動更新，以反映最新的信息。通過圖譜，我們可以解決用戶在不同場景下的各種需求和問題。”

結語

微步在線始終堅持“TI+AI”的核心戰略，以精準數據和先進算法為基石，不斷精進產品實戰能力和用戶體驗，從而在安全GPT領域保持領先地位。通過下一代威脅情報能力，NGTIP正助力企業構建更為堅固的安全防線。展望未來，微步在線將攜手各界共同應對網絡安全挑戰，共創安全、可信的數字世界。