威胁情报：我有药，你有病吗？

威胁情报讲的先是格局，后才是方法。

格局在于，先有合作共享。这一点我觉得在国内做不到，至少从大面上来看是这样。但在局部，很多小团队反而在抱团取暖。大厂商方面，看似分享，但实际上都是A系、B系、C系……这样，每个系就是一个江湖，每个江湖都膜拜一个盟主，虽也未必都是真心膜拜。而江湖内，还免不了为争宠这二把交椅而内斗 —— 人人都喊着“我们需要更安全的互联网”，但少数人心里仍然是念叨着“‘只有我才能创造更安全的互联网，你不行、你不行、你也不行 …… ”。

方法在于，需要协同，但一个“协同”却很能让人浮想联翩。最早讲协同的历史已经太早了，但做协同看起来像那么回事的应该是从安全SaaS开始的。一点遭受攻击，全局联动防御。

不错，这看起来很协同。但，这玩意说到底还是没改变传统的那个套路 —— 我有上亿客户端，一个客户端发现病毒，全面推送病毒库。在云端只是这个过程变得更短、更迅速了而已。

所以现在看起来，真正的协同才是大问题，毕竟，合作共享的问题是利益体的问题，不是一朝一夕的事情。话说回来，如果有一天让我创业去选择，我也会选择一个有钱的干爹，然后慢慢的没入那个江湖，举着信仰的砍刀、拖行在安全的大道上、摩擦着火花、厮杀在娱乐版的头条之上 ……

哦，还是说说协同。

威胁情报与原来的安全产品不同，说到底还是一堆数据，即便再怎么包装还是离不开数据的本质。产品为了向其某几个行业甚至全部行业的通用性而屈服的时候，数据却显得更加冷静。数据，单就概念而言，可以说是无所不包，也可以说是一无是处 —— 所以威胁情报看起来像是：我有药，你有病吗？

前段时间某毛药酒横行于市，广告漫天。

我咳嗽去药房，药剂师说来点药酒吧。我说头还有点晕，药剂师说来点药酒吧。我说其实就是有口痰吐不出来，药剂师说来点药酒吧 ……

我特么又不是方世玉，天天泡药酒。

出门右转，祖传十八代老中医 —— Dr. Lee 。

坐下，号脉，老爷子说 ：“小伙子，这病不难，不过我这儿没成药，得根据你这情况给你配、回去自己熬”。

回去两幅药下肚，果然，立马上吐下泻，哪还顾得了咳嗽、头晕？！

那个卖药酒的就是个半吊子销售（撑死了再算他0.3个售前），只能推销。

Dr. Lee这十八代的手艺就不是盖的了，贴合用户实际，从原始素材中挑选材料制作适合用户的解决方案 —— 虽然体验差了点。

这么多年了，我觉得最能贴近Dr. Lee的就是威胁情报了。

但还有一个问题没有解决，也是现在很多威胁情报纠结的问题 —— 协同的视角问题。

早些年说到协同，是自己和自己协同 —— 自家IDS报警了，然后给自家FW去推送策略。而本家产品的策略一致性必然导致这种协同的失败。

后来是多源汇总，分析后再协同 —— 然后出来了很多叫SOC的平台。里面汇集的不只是安全数据，还有很多原始数据，本是好思路，却被SOC这个概念给套路化了，最后却连SIEM都没做到。

现在谈协同多是威胁情报的协同 —— 我能杀毒、你能拦截入侵、他能做HIPS，一合体，基本上入侵者从进来到出去的一条路都清楚了。然后再合计合计，来点人肉，就攒出来一个TTP（Tactics, Techniques, andProcedures）。

当然，TTP虽好但还不足够描述问题。

所以在STIX里还定义了动机、目标、源头、行动 …… 等等。

多少团队为了追求一份漂亮而又完整的STIX几天不眠不休而累吐血 —— 最后却无用武之地。再说了，人家也没说非要都填满才叫STIX啊 … 

CSDN引发圈内外数据外泄风的时候，我把一组@XXX.COM的邮箱发给了一个客户，XXX.COM是他们公司的邮箱后缀。

客户第一反应是把他们在外网开放的服务回了邮件给我，果不其然，@XXX.COM的前缀和密码把这些外网服务分分钟撸出血。

结果当然你好我好大家好。但一组邮箱密码的模样却是离我们理想中的TTP之美相距甚远。

所以，协同了这么多年，还是逃不了自己协同自己，再扩大点，也就是拉着圈内友商一切玩玩而已。

以前客户跟我说过：“你们厂商老是自己玩自己的，有机会也带我们玩玩”。

带上你的客户一起协同，大概率上讲，一个组邮箱加密码的价值很可能要强过一份描述详尽的STIX的价值。

一份完善的STIX可能要耗掉一个小团队几天甚至几周的时间，而一组邮箱和密码可能只要等待一个扫描任务的时间。

是的，有时候，威胁情报和用户价值，也许就真的只隔了一道扫描器的距离而已 ……

本文始发于微信公众号（Piz0n）：威胁情报：我有药，你有病吗？