小议安全威胁情报

网络安全中的情报，可以将其分为安全情报（狭义）和威胁情报两个大类。对于具体用户来说，安全情报就是指自己有什么，自己能够防什么；威胁情报就是，对方有什么，攻击者能够实施什么。也即是知己与知彼。

安全情报的来源主要就是系统的配置信息和漏洞扫描软件的输出，为安全人员提供了对已有系统的最基础的认识途径。目前大家更关心的还是威胁情报，因为人们总是关注别人比自己更多。

威胁情报实际上才是人们印象中传统的情报，那么从时间线上来看，又可分为攻击之前的预警与攻击完成之后的证据。预警用来指导安全人员部署防护，证据用来溯源定位。再进一步，对于APT攻击来说，前面一系列攻击的证据又是后续到来的攻击预警，反之亦然。

安全态势感知中关于情报的主要内容包括搜集与分析。那么情报从哪里来？对于安全情报，实际上就是尽可能多的从各大漏洞披露站点获取最新漏洞信息以及尽可能的对自己进行扫描检测，用来判断自己的系统是否存在漏洞或是否达到相应的安全标准。

而对于威胁情报，搜集就需要除了从你的IDS、IPS、防火墙、anti-DDoS设备获取足够多的报告、日志以外，还要求你“主动”地去寻找一些有用的信息，这里其实就是扩充情报来源的问题，目前来看，各厂商还没有太多的渠道，因此，情报的共享就显得非常重要，在未来将大有可为。当然，虽然情报获取的原则是多多益善，但千万不能像Norse-corp那样采用蜜罐数据。

情报分析是搜集的目的，并且由于需要将分析结果直接提供给用户，因此要求我们从海量数据中提炼出真正有价值的东西。目前业内大多实现的其实还是情报内容的可视化，把用户系统中存在的安全漏洞和已发生的攻击通过图表的形式呈现出来。

还有一些厂商通过某种算法模型，可以直接对黑客进行识别和定位，甚至对未来可能发起的攻击进行预测。这其实是态势感知系统的一个重要目标——预测未来的发展趋势。不过功能的实现还是只简单的把一些强相关的日志信息按照时间顺序进行罗列，或者使用简单算法对攻击者进行识别，那么如果黑客的行为有反复，或者故意采用一些“愚蠢”操作来进行误导，这些功能就得不到理想的结果。

因此在目前结果准确率并不高的情况下，较中庸的做法，我们可以适当提出一个“线索”的概念。这个就是源于我们生活中经常用到的词汇，警察破案需要寻找线索，作家写作也埋藏着几条线索，那么对于情报的处理我们也需要找到线索。

这个线索的依据除了至少是目标IP、攻击IP和攻击时间等的综合因素，还需要加上更高维度的攻击者动机、行为习惯等等各种能够协助溯源的要素，这就要从技术上依靠大数据和神经网络来实现。这个线索功能的定位是弱于预测和攻击者识别，相较于预测等激进的概念更容易使用户接受，反而会受到更大的关注，得到更大的发展。

从后视镜来看，所有的攻击都是有预兆的，我们拿着结果往前推，一切都是理所当然。那么抛弃这种马后炮的思维，安全态势感知需要在攻击发动之前从海量数据当中探寻出蛛丝马迹，这就要依赖于开发者的强有效的算法来实现。并且，情报需求的原则就是宁可误报不能漏报，用户点开这个功能，需要看到你问一答十而不是自作聪明的忽略一些信息。当然，后期更高级的实现就是用户自己要能添加过滤规则甚至自定义算法。

对于单个机构或公司来说情报的价值关键在于情报的连接，对于全社会来说，则在于共享，因此促进情报数据共享的相关标准规范也需要逐步完善。除了知名的CVE、CVSS等，CybOX、 STIX和TAXII目前也正在被大力推广和广泛关注，希望国内厂商也能在这方面有所作为。

情报共享的方式也需要由安全界所有厂商共同努力，我们希望有公司牵头组建一个安全界的“opendata”社区，秉承着“相信他人更聪明”的理念，把一些统计数据、典型安全事件有组织有规范的发布出来，供业内所有人员使用，也是帮助你分析，以达到共同提高的目的。

更进一步的，我们还需要用欣赏的眼光去看待攻击者，因此甚至可以在安全界上线类似分答之类的问答产品，你可以针对你的系统现状提出一些安全问题，匿名黑客们因贡献出他们的智慧而被打赏，这将会极大的提高黑客们分享的积极性。这种方式实际上是攻防大赛的延伸，但却能够更快速更有针对性的给我们带来启发。

相较于传统的谍报行业，网络安全情报不仅十分重要，也根正苗红，方兴未艾，已经足够引起国家的重视。如果能够做得好，既能为国家的信息安全战略添砖加瓦，也会引来各路资本追逐，企业自然也不会差钱，更能促进其为全社会造福。希望中国的网络安全情报行业能够健康发展，走在世界前列。

本文始发于微信公众号（飓风网络安全）：小议安全威胁情报