威胁情报：线索拓展

这里只说借助公开信息的线索拓展，而真正的线索使用过程中，更多的还是需要具体到场景。

所以很多信息更可能来自于自己所守护的平台，而不是互联网。

-----------------------------------

 

常规的分析挖掘能力做的是从0到1的过程，而线索拓展所做的则是从1到2、再从2到10的过程。

很多时候线索拓展看起来就是 social engine，但实际上每一个SE之后的信息，都是为了将后面挖到的更多信息与原始线索关联起来。

然而线索拓展的尴尬之处也在于此。

因为很多情况下线索终于从1变成10的时候，线索拓展人员却茫然了，面对丰富的线索不知该如何使用。

在我看来，线索本身是没有生命力的，无论获得多少线索，都是如此。

线索的生命力应来自于其落地场景中的跟踪能力 —— 一个C&C可能拓展出9条相关域名，但这些9条表现为已启用的C&C还是未启用、甚至根本因其他意图才注册的域名，这需要具有在场景中的验证能力。

对于情报服务提供商来说，验证能力可能是来自于主动探测。而对于情报使用者来说，验证则可能来自于日志中的行为监控。

而有些人可能会对缺少情报落地场景而感到线索无法深入。

实际上这个问题之前我也写过一篇带有YY但又很有实战效果的文章 —— Ti Feed : 我并不需要一坨列表

在线索拓展中更容易迷惑的一点就是人的线索。

SE的过程中很容易因纠结于人的线索而将线索拓展做成一次队某人的人肉过程。而在多数情况下，人肉结果再怎么清晰，往往都是没有价值的 —— 除非有某些我不说你也懂的手段能够对这个人做点什么。

所以人的信息其实根本就是用来联结所有线索中的一环而已，很多时候人的信息都是用来验证所挖掘到的9条线索与最初掌握的1条原始线索是否有强关联。

那么，这里就提到了线索的关联性。

线索的关联性有两种思路，一种是更广的多维度验证、一种是更深的单一维度验证，而这里的维度也并非只有技术维度。

例如，有些分析报告里仅仅凭借一个ID的维度就断定两条线索的强关联在我看来是不合理的。我的做法则是将两个ID放到其各自的出处，再将这些出处中的信息进行挖掘进行关联验证。

如ID分别出现在两个社交平台。如果两个社交平台在某个较短的时间内，都由这个ID发了完全一样的图片，那么，这算的上是一种强关联 —— 这也是上面所说的关于人的线索的问题。

单一维度的验证除了这样的纵深方式，还可以依靠一些权威方式。例如，多条信息都在工商查询中指向同一个公司。而此时，我会选择相信这类信息的权威性。

而广的方面来实现多维度验证的方式会显得更简单，也就不举例了。

关于上面所提到的，可参考图片（此处为折叠图，点击阅读原文查看完整大图/283KB）

** 随想随写，很难周全，欢迎留言补充 **

本文始发于微信公众号（Piz0n）：威胁情报：线索拓展