威胁情报技术(TI)自2015年引入中国以来，已经过了四个年头。从一开始的概念阶段，逐渐落地并形成了各种形态和商业模式。国内的360、微步在线、天际友盟，国外的IBM、Mcafee、思科、赛门铁克都有着各自的TI，Fortinet也不例外。后者在TI方面的积累和能力，更是有着自己的特点和优势。

近日，Fortinet全球首席安全战略官 Derek Manky来华出席 ISC 2018 互联网安全大会。期间，与几家国内知名IT与信息安全媒体沟通，介绍了Fortinet的威胁情报和其极具开放与整合能力的安全体系架构：Security Fabric。

Fortinet全球首席安全战略官 Derek Manky

570个零日漏洞 CPRL的强大

缔造了UTM（统一威胁管理）这一全球流行安全技术概念的Fortinet，早在2000年就成立了FortiGuard实验室，目前实验室有200多位安全分析师，为全球40万用户提供威胁情报服务。

经过了数年的普及，威胁情报技术实现已不再神秘，无非就是根据需求，做好收集、分析、交付、使用等阶段的工作。但在这些阶段中，有一项关键能力对威胁情报的质量起着决定性的作用。

威胁检测能力，比如业内熟知的沙箱技术，把恶意代码放到沙箱里执行，然后进行检测解析。而Fortinet仅在威胁检测方面就拥有大量专利，其中最值得一提的是一项名为CPRL（内容模式识别语言）的专利。其理念是通过机器学习，自动编写程序来检测新的病毒，自动机器筛选，最后进行人工处理。

随着时间的过去，其威胁检测的效率越来越高，发现零日漏洞能力越来越强。由于这项专利技术，Fortinet于2016年启动的一个专门进行零日漏洞检测的项目团队，截至到今年的第二季度已挖掘出570个零日漏洞。

发现漏洞之后，我们再要做的是负责任的披露，让有漏洞的厂商先行制作正式补丁。在正式补丁出来之前，与对方合作先通过Fortinet的安全硬件和软件提供一个虚拟补丁以保护安全。

目前，FortiGuard绝大部分的威胁检测工作能通过人工智能的机器学习来取代，安全技术专家则主要从事复杂的工作，比如提供可执行情报或事件响应服务等。而在以前，技术专家只能靠手工分析，或者编写防御方面的策略为主。

设备、工具的联动与超一流的合作伙伴

之前安全牛的文章介绍过，Security Fabric 是一个安全整体架构的解决方案，2016年发布。经过两年多的时间里，已经形成了包括WAF、邮件网关、沙箱、威胁情报、终端安全、云安全、无线安全、IoT、SD-WAN等多种安全组件的体系化防御架构。

体系化是指各组件之间能够协同联动。比如，非常重要的沙箱技术。其优势在于可以进行深度检测，但缺点在于不能高效拦截。但如果与防火墙等安全网关设备，以及安全策略整合在一起，即可实现自动化缓解威胁。

除了设备和工具之间的联动，更重要的是厂商之间的配合。Fortinet不仅与如终端安全、工业互联网安全等厂商合作，还与公/私有云、甚至通迅厂商都有非常好的合作，如VMware/OpenStack/AWS/Azure/阿里云/谷歌云/青云等，其中与阿里云的合作更是其国内的标杆案例之一。在其100多位合作伙伴中，不乏思科、赛门铁克、IBM、Mcafee这样的国际大厂商。

其实也很容易理解，黑产的强大之处在于其黑色产业利益链的联盟，在于地下暗网相互之间的联盟。而安全守卫者，厂商，之间也必须联盟，包括设备、架构之间的协同联动，包括安全情报的共享与互通。只有这样，防护方的视野、技术能力、反应速度才能抵御黑色利益的巨大威胁。

正如UTM的“统一”技术基因，Security Fabric 也是遵循了这一“整合”理念。综上所述，这个安全架构可以用三大特点来概括：开放、联动和自动化。而且，这三大特点是阶梯性的。因为开放才能联动，而只有联动才能做到自动化。