綠盟科技成立之初，國(guó)內(nèi)信息技術(shù)剛剛起步，各大高校還沒(méi)有設(shè)立安全專業(yè)，2001年的中美黑客大戰(zhàn)如火如荼，白宮網(wǎng)站上飄揚(yáng)的紅色旗幟使“網(wǎng)絡(luò)攻擊”這個(gè)名詞進(jìn)入國(guó)內(nèi)大眾視野。隨后，2003年出現(xiàn)的沖擊波（Worm.Blaster）病毒通過(guò)一個(gè)最新的RPC漏洞進(jìn)行傳播，病毒席卷全球，讓無(wú)數(shù)電腦反復(fù)重啟，并同時(shí)對(duì)微軟一個(gè)升級(jí)網(wǎng)站進(jìn)行拒絕服務(wù)攻擊，導(dǎo)致網(wǎng)站堵塞，用戶無(wú)法通過(guò)該網(wǎng)站升級(jí)系統(tǒng)。此次網(wǎng)絡(luò)攻擊讓正在進(jìn)行信息化建設(shè)的企業(yè)和個(gè)人用戶真正意識(shí)到網(wǎng)絡(luò)安全防御的重要性。

“威脅”這個(gè)概念可以追溯到20世紀(jì)80年代，Adenrson用了“威脅”這一概念術(shù)語(yǔ)，其定義與入侵相同，將入侵企圖或威脅定義為未經(jīng)授權(quán)蓄意嘗試訪問(wèn)信息、篡改信息、使系統(tǒng)不可靠或不能使用。Heady給出另外的入侵定義，入侵是指有關(guān)試圖破壞資源的完整性、機(jī)密性及可用性的活動(dòng)集合。Smaba從分類角度指出入侵包括嘗試性闖入、偽裝攻擊、安全控制系統(tǒng)滲透、泄露、拒絕服務(wù)、惡意使用6種類型。早期網(wǎng)絡(luò)黑客與安全專家正是圍繞這些入侵的方法及使用的技術(shù)手段進(jìn)行攻守博弈。

最早的網(wǎng)絡(luò)安全防御系統(tǒng)是防火墻，其在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間執(zhí)行控制策略，對(duì)網(wǎng)絡(luò)間傳輸?shù)臄?shù)據(jù)包依照制定的安全策略進(jìn)行檢測(cè)，以決定通信是否被允許。防火墻存在局限性和不足，其通常作用于已知協(xié)議的訪問(wèn)控制，如攻擊者將惡意代碼或攻擊指令進(jìn)行協(xié)議隱藏就可能逃逸防御。

同期出現(xiàn)的網(wǎng)絡(luò)威脅檢測(cè)系統(tǒng)是入侵檢測(cè)系統(tǒng)，它通常位于防火墻之后，被認(rèn)為是第二道安全閘門(mén)。入侵檢測(cè)技術(shù)主要分為兩大類：異常入侵檢測(cè)和誤用入侵檢測(cè)，其提供了對(duì)內(nèi)、外部攻擊的實(shí)時(shí)檢測(cè)，包含在網(wǎng)絡(luò)受到威脅之初的攔截和響應(yīng)入侵。入侵檢測(cè)系統(tǒng)的不足在于，它只能檢測(cè)攻擊，而不能阻止攻擊。

隨著技術(shù)的發(fā)展，結(jié)合上述兩種系統(tǒng)的聯(lián)動(dòng)技術(shù)應(yīng)運(yùn)而生，防火墻可以通過(guò)入侵檢測(cè)系統(tǒng)及時(shí)發(fā)現(xiàn)策略之外的攻擊行為，入侵檢測(cè)也可以通過(guò)防火墻對(duì)來(lái)自外部的網(wǎng)絡(luò)攻擊行為進(jìn)行阻斷。

而完成這兩種系統(tǒng)的融合、實(shí)現(xiàn)1+1>2的是迅速嶄露頭角的網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)。綠盟科技推出的“冰之眼”網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)，能提供從網(wǎng)絡(luò)層、應(yīng)用層到內(nèi)容層的深度安全防護(hù)，具備實(shí)時(shí)、主動(dòng)的防護(hù)能力，精確識(shí)別各種黑客攻擊，并有效阻斷攻擊而不影響正常業(yè)務(wù)流量。

安全專家在博弈過(guò)程中嘗試主動(dòng)出擊，去挖掘存在的威脅隱患，鼓勵(lì)發(fā)布、共享這些威脅隱患的信息，促使從業(yè)人員能更好地保護(hù)用戶。漏洞挖掘是一個(gè)多種漏洞挖掘分析技術(shù)相結(jié)合、共同使用和優(yōu)勢(shì)互補(bǔ)的過(guò)程。常用的漏洞挖掘技術(shù)包括手工測(cè)試技術(shù)、Fuzzing技術(shù)、對(duì)比和二進(jìn)制對(duì)比技術(shù)、靜態(tài)分析技術(shù)、動(dòng)態(tài)分析技術(shù)等。

隨著越來(lái)越多專家投入其中，為大眾所知的漏洞數(shù)據(jù)逐年增加，從2000年的1243條增長(zhǎng)到2019年的20827條，為網(wǎng)絡(luò)防御技術(shù)提供了堅(jiān)實(shí)的知識(shí)儲(chǔ)備。

早期做網(wǎng)絡(luò)安全產(chǎn)品，安全研究員發(fā)現(xiàn)漏洞后對(duì)其進(jìn)行命名，隨著漏洞研究的深入，一些漏洞已經(jīng)很難依靠名稱區(qū)分，早期的安全研究機(jī)構(gòu)和大型廠商開(kāi)始使用漏洞庫(kù)管理眾多漏洞。漏洞庫(kù)是進(jìn)行網(wǎng)絡(luò)安全隱患分析的基礎(chǔ)，建設(shè)漏洞庫(kù)有十分重要的意義。綠盟科技早在2000年就推出了漏洞庫(kù)，歷經(jīng)20年的歲月，仍持續(xù)維護(hù)著漏洞庫(kù)的更新，至今已收錄45689條漏洞，包含主流漏洞信息以及公司研究員自主發(fā)現(xiàn)的漏洞信息。

漏洞庫(kù)對(duì)安全防護(hù)產(chǎn)品也非常重要，在各個(gè)廠商的安全防護(hù)產(chǎn)品展示自身防護(hù)能力的時(shí)候，使用同一漏洞庫(kù)的描述將直觀地讓用戶了解防護(hù)效果。綠盟科技漏洞庫(kù)兼容國(guó)家信息安全漏洞庫(kù)（ChinaNationalVulnerabilityDatabaseofInformationSecurity，簡(jiǎn)稱CNNVD）以及國(guó)家信息安全漏洞共享平臺(tái)（ChinaNationalVulnerabilityDatabase，簡(jiǎn)稱CNVD），此外還兼容國(guó)外的通用漏洞披露CVE，為國(guó)內(nèi)外用戶使用提供了便利。

隨著Internet技術(shù)的興起，便捷的跨區(qū)域事務(wù)處理顯得尤為重要，為了實(shí)現(xiàn)用戶脫離程序的復(fù)雜安裝而使用WWW瀏覽器進(jìn)行跨地域的應(yīng)用操作，相關(guān)的應(yīng)用開(kāi)發(fā)逐步從Client/Server架構(gòu)轉(zhuǎn)向了Browser/Server架構(gòu)，用戶端僅需要實(shí)現(xiàn)少量的事務(wù)邏輯，而主要的事務(wù)邏輯在服務(wù)器端進(jìn)行實(shí)現(xiàn)。Browser/Server架構(gòu)可以大大簡(jiǎn)化客戶端電腦負(fù)載，減輕系統(tǒng)維護(hù)和升級(jí)的成本和工作量，從而降低總成本。解釋型語(yǔ)言的不安全使用（對(duì)用戶輸入的內(nèi)容沒(méi)有做嚴(yán)格檢查）催生了基于Web的攻擊技術(shù)，例如SQL注入、跨站腳本攻擊（XSS）、遠(yuǎn)程命令注入、跨站點(diǎn)請(qǐng)求偽造（CSRF）、CC攻擊等，這些攻擊導(dǎo)致企業(yè)或者個(gè)人敏感數(shù)據(jù)泄漏、服務(wù)器拒絕服務(wù)或者業(yè)務(wù)被接管，甚至有可能由于受到的攻擊而背上法律責(zé)任。

針對(duì)Web攻擊技術(shù)對(duì)網(wǎng)站安全威脅越來(lái)越嚴(yán)重，安全公司相應(yīng)推出了WAF網(wǎng)站安全防護(hù)工具和Web安全評(píng)估工具。

2010年的震網(wǎng)蠕蟲(chóng)病毒（又名Stuxnet病毒），一個(gè)席卷全球工業(yè)界的病毒，是一種精心構(gòu)造的惡意代碼，其中包含了多個(gè)可利用的漏洞，通過(guò)一套完美的入侵和傳播流程，突破工業(yè)專用局域網(wǎng)的物理限制，針對(duì)現(xiàn)實(shí)世界中的工業(yè)基礎(chǔ)設(shè)施展開(kāi)攻擊。通過(guò)周期性修改PLC的工作頻率，造成PLC控制的離心機(jī)轉(zhuǎn)速突然升高和降低，導(dǎo)致離心機(jī)發(fā)生異常震動(dòng)和應(yīng)力畸變，最終破壞離心機(jī)。

針對(duì)關(guān)鍵基礎(chǔ)設(shè)施的攻擊造成的損失給整個(gè)工業(yè)界敲響了警鐘，各國(guó)開(kāi)始明確指出工業(yè)控制系統(tǒng)信息安全面臨著嚴(yán)峻的形勢(shì)，并要求切實(shí)加強(qiáng)工業(yè)控制系統(tǒng)的信息安全管理。安全公司紛紛主動(dòng)肩負(fù)起守衛(wèi)之責(zé)，將工控安全定位為戰(zhàn)略發(fā)展方向，利用傳統(tǒng)攻防優(yōu)勢(shì)，立足“未知攻、焉知防”的思維，調(diào)研歷史事件，分析網(wǎng)絡(luò)攻擊方式，以脆弱性為入口點(diǎn)，紛紛發(fā)布了針對(duì)工業(yè)控制系統(tǒng)的遠(yuǎn)程安全評(píng)估系統(tǒng)，先于攻擊者發(fā)現(xiàn)工控業(yè)務(wù)系統(tǒng)存在的脆弱性，并提供緩解方案，其中綠盟工控漏洞掃描系統(tǒng)ICSScan是亞太地區(qū)第一個(gè)進(jìn)入Gartner視野的工控安全專用檢測(cè)產(chǎn)品。在已知威脅的基礎(chǔ)上，為了更好地實(shí)現(xiàn)系統(tǒng)防護(hù)，切實(shí)保障工控業(yè)務(wù)的順暢運(yùn)行，安全防護(hù)產(chǎn)品如雨后春筍般浮現(xiàn)于工控業(yè)務(wù)市場(chǎng)，例如工業(yè)防火墻、工業(yè)安全網(wǎng)關(guān)、工業(yè)安全隔離裝置以及縱向加密裝置等。

隨著攻擊日益多樣化、復(fù)雜化和攻擊目標(biāo)明確化，安全公司需要構(gòu)建從平臺(tái)到設(shè)備的分層安全架構(gòu)，覆蓋評(píng)估、防護(hù)、檢測(cè)、相應(yīng)的安全體系，提供全生命周期的安全防護(hù)。

工控安全防御體系的建設(shè)需要消除IT、OT、工程、財(cái)務(wù)、管理和執(zhí)行領(lǐng)導(dǎo)的界限，聯(lián)合多方力量才可以完成，綠盟科技作為發(fā)起單位，率先加入工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)聯(lián)盟，希望能聚集多家之長(zhǎng)，共同抵御針對(duì)工業(yè)控制環(huán)境的網(wǎng)絡(luò)攻擊，為工業(yè)網(wǎng)絡(luò)安全保駕護(hù)航。

當(dāng)今社會(huì)物聯(lián)網(wǎng)設(shè)備已經(jīng)逐步滲透到人們生產(chǎn)、生活的方方面面，為人們及時(shí)了解自己周圍環(huán)境以及輔助日常工作帶來(lái)便利。但隨著互聯(lián)緊密度的增高，物聯(lián)網(wǎng)設(shè)備的安全性問(wèn)題也逐漸影響到人們的正常生活，甚至生命安全。

當(dāng)前物聯(lián)網(wǎng)中存在的威脅是顯而易見(jiàn)的，從2014年曝光的Netcore路由器后門(mén)到2016年大規(guī)模爆發(fā)的Mirai惡意代碼事件，從2017年的無(wú)人機(jī)多次入侵機(jī)場(chǎng)到2019年酒店偷拍攝像頭引發(fā)全民恐慌，不但“物聯(lián)網(wǎng)成為網(wǎng)絡(luò)攻擊中的重要環(huán)節(jié)”從預(yù)言變現(xiàn)實(shí)，而且物聯(lián)網(wǎng)安全事件數(shù)量呈現(xiàn)出迅猛增長(zhǎng)的趨勢(shì)。超過(guò)百Gbps源于物聯(lián)網(wǎng)的攻擊已經(jīng)成為現(xiàn)實(shí)，物聯(lián)網(wǎng)場(chǎng)景下的安全對(duì)抗已經(jīng)出現(xiàn)在這次變革的浪潮中，影響著千萬(wàn)企業(yè)或者普通個(gè)人。無(wú)論我們是否意識(shí)到，這場(chǎng)戰(zhàn)役已經(jīng)打響。

物聯(lián)網(wǎng)應(yīng)用中涉及多個(gè)參與方：物聯(lián)網(wǎng)設(shè)備提供商、物聯(lián)網(wǎng)平臺(tái)提供商、物聯(lián)網(wǎng)網(wǎng)絡(luò)提供商、物聯(lián)網(wǎng)應(yīng)用提供商、普通用戶、物聯(lián)網(wǎng)安全提供商，每個(gè)參與方在考慮安全問(wèn)題時(shí)側(cè)重點(diǎn)也會(huì)有所不同，一個(gè)設(shè)計(jì)合理的物聯(lián)網(wǎng)安全防護(hù)方案需抓住各需求點(diǎn)，才能切實(shí)將物聯(lián)網(wǎng)安全落實(shí)到位。

隨著環(huán)境和威脅的變化，安全防護(hù)思路也在逐漸變化。物聯(lián)網(wǎng)的碎片化、動(dòng)態(tài)性特點(diǎn)，造成單純的依靠安全廠商進(jìn)行常規(guī)的防護(hù)已然不夠，只有融合多方力量，才能真正解決物聯(lián)網(wǎng)安全問(wèn)題，防護(hù)數(shù)以百億計(jì)的物聯(lián)網(wǎng)設(shè)備安全，保護(hù)廣大人民群眾的人身財(cái)產(chǎn)安全。

2009年高級(jí)可持續(xù)威脅（APT：AdvancedPersistentThreat）進(jìn)入人們的視野，特別是“極光（Aurora）”攻擊、“震網(wǎng)（Stuxnet）”病毒、“夜龍”攻擊，讓APT高級(jí)持續(xù)性威脅成為信息安全行業(yè)矚目的焦點(diǎn)。APT作為一種精準(zhǔn)、高效的新型網(wǎng)絡(luò)攻擊方式，被頻繁用于各種重要網(wǎng)絡(luò)攻擊事件之中，在政治安全、國(guó)防安全、企業(yè)安全等多個(gè)重要領(lǐng)域被高度關(guān)注，并迅速成為信息安全最大的威脅之一。由于黑客普遍使用0Day、未知木馬進(jìn)行遠(yuǎn)程控制，木馬攻擊行為特征難以提取，給傳統(tǒng)的入侵檢測(cè)技術(shù)帶來(lái)了巨大的挑戰(zhàn)。如何準(zhǔn)確地檢測(cè)面向未知木馬的APT攻擊，提高APT的檢測(cè)能力，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中可能存在的APT攻擊威脅，是網(wǎng)絡(luò)安全公司維護(hù)網(wǎng)絡(luò)秩序，保障社會(huì)安全的使命所在。對(duì)APT的研究分析發(fā)現(xiàn)，APT攻擊主要體現(xiàn)在三個(gè)方面：

·以時(shí)間換空間。以長(zhǎng)期潛伏的攻擊過(guò)程為代價(jià)，隱匿攻擊行為的異常，同時(shí)不斷擦除攻擊痕跡，使得攻擊效果顯著提升。一些APT攻擊潛伏期長(zhǎng)達(dá)3個(gè)月之久，在此期間，攻擊者有足夠的時(shí)間竊取重要價(jià)值情報(bào)。

·攻擊方案精心定制，絕不雷同。從多個(gè)APT案例中獲知，APT攻擊和普通攻擊表現(xiàn)迥異，即使各個(gè)APT攻擊之間選擇的攻擊技術(shù)手段都具有獨(dú)特性，即便攻擊的整體階段或思路上存在相似性，但在具體的攻擊行為或數(shù)據(jù)中差異巨大。

·先入為主，掌握攻擊主導(dǎo)權(quán)。掌握攻防博弈先機(jī)，通過(guò)長(zhǎng)期的前期準(zhǔn)備，使用多種手段收集信息，拉開(kāi)攻擊和防御的信息不對(duì)稱性，獲得主導(dǎo)權(quán)。攻擊者往往擁有較強(qiáng)的黑客能力和網(wǎng)絡(luò)攻擊技術(shù)，掌握著高超的漏洞挖掘和利用技術(shù)，了解攻防心理，運(yùn)用社會(huì)工程學(xué)獲得有效信息。

APT攻擊目的非常明確——竊取特定目標(biāo)核心機(jī)密資料。攻擊者通常會(huì)綜合利用釣魚(yú)郵件（被90％的活躍APT組在初始訪問(wèn)階段使用）、水坑站點(diǎn)、社會(huì)工程學(xué)，利用文檔型漏洞制作誘餌文檔，隱蔽隧道等多種技術(shù)手段繞過(guò)目標(biāo)網(wǎng)絡(luò)的層層防線，從外圍到核心區(qū)域逐步攻克目標(biāo)。在攻擊工具和攻擊技術(shù)上著重實(shí)用性，有的利用合法工具（大約一半的APT組織使用合法的管理工具和商業(yè)滲透測(cè)試軟件）逃避檢測(cè)，也有的自研發(fā)程序且實(shí)現(xiàn)攻擊工具的語(yǔ)言多樣，程序?qū)崿F(xiàn)不講究復(fù)用性。

隨著安全公司對(duì)APT攻擊的總結(jié)和深入分析，APT檢測(cè)系統(tǒng)也隨之進(jìn)入市場(chǎng)。預(yù)計(jì)APT保護(hù)解決方案的全球市場(chǎng)收入將從2019年的超過(guò)43億美元增長(zhǎng)到2023年的超過(guò)94億美元?，F(xiàn)有APT檢測(cè)系統(tǒng)建設(shè)還處于初級(jí)階段。APT防護(hù)解決方案是一套集成的解決方案，用于檢測(cè)、預(yù)防、對(duì)抗持久性惡意攻擊。它可能包括但不限于：沙箱、EDR、CASB（CloudAccessSecurityBroker）、信譽(yù)網(wǎng)絡(luò)，威脅情報(bào)管理和報(bào)告、取證分析等。因此，對(duì)于安全產(chǎn)品供應(yīng)商來(lái)說(shuō)，至關(guān)重要的是提供能夠智能地識(shí)別和關(guān)聯(lián)跨多個(gè)來(lái)源和渠道的潛在攻擊信息的解決方案。

威脅情報(bào)的誕生源于攻防的不對(duì)等。隨著黑客攻擊的規(guī)模化、自動(dòng)化、多樣化、靈活化，傳統(tǒng)的基于簽名和規(guī)則的攻擊檢測(cè)和防御體系顯得捉襟見(jiàn)肘。由于無(wú)法提前獲取簽名和規(guī)則信息，傳統(tǒng)的基于“已知”規(guī)則的檢測(cè)在遇到0Day、APT等“未知”威脅時(shí)，完全無(wú)法感知和防御。

2013年，Gartner發(fā)布《Defifinition:ThreatIntelligence》，其中給出了威脅情報(bào)的定義：威脅情報(bào)是關(guān)于資產(chǎn)所面臨的現(xiàn)有或潛在威脅的循證知識(shí)，包括情境（上下文）、機(jī)制、指標(biāo)、推論與可行性建議，這些知識(shí)可為威脅響應(yīng)提供決策依據(jù)。

隨后，2015年，SANS提出“網(wǎng)絡(luò)安全的滑動(dòng)標(biāo)尺模型”，為企業(yè)安全建設(shè)提供了宏觀上的指導(dǎo)和建議?；瑒?dòng)標(biāo)尺模型從左到右，是企業(yè)逐步應(yīng)對(duì)更高級(jí)網(wǎng)絡(luò)威脅的過(guò)程，其中情報(bào)是繼架構(gòu)安全、被動(dòng)防御、主動(dòng)防御之后的進(jìn)階階段。

威脅情報(bào)的出現(xiàn)驅(qū)動(dòng)了應(yīng)急響應(yīng)體系甚至是網(wǎng)絡(luò)安全防御體系的轉(zhuǎn)型，即從靜態(tài)的、基于規(guī)則被動(dòng)防御，轉(zhuǎn)變?yōu)閯?dòng)態(tài)的、自適應(yīng)的主動(dòng)防護(hù)體系，為下一代安全奠定了基礎(chǔ)。孫子曰“知己知彼，百戰(zhàn)不殆”，威脅情報(bào)正是網(wǎng)絡(luò)攻防戰(zhàn)場(chǎng)上“知己知彼”的關(guān)鍵。威脅情報(bào)最大的價(jià)值在于幫助防守方了解他們的對(duì)手（攻擊者），包括攻擊者的背景、思維方式、能力、動(dòng)機(jī)、使用的攻擊工具、攻擊手法、攻擊模式等。對(duì)攻擊者了解越多，就能越好地識(shí)別威脅以便快速地做出響應(yīng)。準(zhǔn)確全面的威脅情報(bào)能夠極大地?cái)U(kuò)展威脅防御的時(shí)空邊界，是實(shí)施主動(dòng)防御策略的關(guān)鍵?；趯?duì)“對(duì)手”的了解，威脅情報(bào)構(gòu)建了威脅預(yù)警、攻擊檢測(cè)、響應(yīng)處置、溯源取證、目標(biāo)研判、情報(bào)拓展的防御方“生環(huán)”。在應(yīng)急響應(yīng)中，威脅情報(bào)通過(guò)為安全防御設(shè)備進(jìn)行賦能，可以大大縮短安全設(shè)備對(duì)最新威脅的響應(yīng)和處置時(shí)間，達(dá)到“單點(diǎn)感知，全網(wǎng)防御”的效果。

綠盟科技于2015年組建了威脅情報(bào)中心，并推出了綠盟威脅情報(bào)分析與共享平臺(tái)（NTI）。依托綠盟科技在安全領(lǐng)域的長(zhǎng)期積累，綠盟科技的情報(bào)來(lái)源不僅包含原創(chuàng)漏洞庫(kù)、樣本庫(kù)、安全分析數(shù)據(jù)、產(chǎn)品運(yùn)營(yíng)反饋數(shù)據(jù)等綠盟科技特有的數(shù)據(jù)源，同時(shí)也涵蓋了全面的互聯(lián)網(wǎng)情報(bào)采集和廣泛的第三方情報(bào)合作機(jī)構(gòu)?；诰G盟大數(shù)據(jù)分析平臺(tái)，結(jié)合安全情報(bào)專家對(duì)情報(bào)數(shù)據(jù)進(jìn)行深度挖掘分析，獲得高質(zhì)量的多維度威脅情報(bào)，覆蓋網(wǎng)絡(luò)資產(chǎn)基礎(chǔ)信息、指紋、漏洞、TTP、高級(jí)威脅分析結(jié)果等不同層面；通過(guò)NTIportal界面、API接口、訂閱推送等不同輸出方式將威脅情報(bào)與安全設(shè)備、客戶和安全廠商進(jìn)行共享，有效保護(hù)了客戶的安全。