今年以來，威脅情報的概念突然在國內火了起來，一時間好像不做些和威脅情報相關的事情，就會變得過時。

筆者有幸也參與了一些相關的工作，并且對國際上相關的一些動態(tài)有些了解，就想在這里拋磚引玉，談一談威脅情報的分類和使用場景相關的話題，國內似乎還少有公開文章觸及這方面，希望由此能讓更多的人去關注威脅情報如何更好的服務用戶，而不僅僅是如何建立一套威脅情報的系統(tǒng)。

威脅情報的概念

談威脅情報之前想先說說情報(intelligence)的概念，情報一詞英文的原意是“瞭解的能力”(the Faculty of Understanding)，從傳統(tǒng)情報機構的立場上，情報的本質則是“減少沖突的不確定性”，一個典型的情報周期可以分為以下六個步驟：

需求
計劃
搜集
處理
分析
分發(fā)

對情報的重視古已有之，《孫子兵法》中所說“知己知彼，百戰(zhàn)不殆”講的就是情報的重要性。

在網(wǎng)絡空間的戰(zhàn)斗中，情報同樣有著至關重要的地位：

知己：更豐富的組織環(huán)境數(shù)據(jù)，也就是這幾年經(jīng)常提到的環(huán)境感知能力。通過“知己”，我們可以快速的排查誤報，進行異常檢測，支撐事件響應活動，在這里不再多言。

知彼：關于攻擊對手自身、使用工具及相關技術的信息，即威脅情報，可以應用這些數(shù)據(jù)來發(fā)現(xiàn)惡意活動，以至定位到具體的組織或個人。

作為一種攻防間的對抗活動，威脅情報工作其實從開始的時候就存在了：回想一下IPS或者AV的簽名，其中很大一部分不就是針對攻擊者使用的攻擊工具的嗎，IP及域名的信譽庫也是同樣。

需要看到，從APT1報告提供OpenIOC格式的威脅情報數(shù)據(jù)開始，威脅情報已經(jīng)和傳統(tǒng)安全的簽名和信譽數(shù)據(jù)有了很大的不同。我們后續(xù)可以在分類和使用場景部分清楚的看到這點。

威脅情報，是面向新的威脅形式，防御思路從過去的基于漏洞為中心的方法，進化成基于威脅為中心的方法的必然結果，它和大數(shù)據(jù)安全分析、基于攻擊鏈的縱深防御等思想正在形成新一代的防御體系的基石，這部分打算在未來關于大數(shù)據(jù)安全分析的文章里在展開陳述。

威脅情報的種類

首先解釋一個詞：指標(Indicator)。指標是一條信息，指向一個確定性的結論，它是威脅情報里的核心組成，完善的威脅情報還可能含有其它參數(shù)，如：背景信息、上下文信息、時效性、升級時間、信譽度，等等。

通過威脅情報的指標可以用兩種方法對其進行分類：所產(chǎn)生的作用以及指標的數(shù)據(jù)類型，對威脅情報進行分類，對分類的討論可以讓大家對威脅情報有更具體、形象的理解。

一、基于用途的分類

基于用途，可以把威脅情報分為4類，分別是：

1、歸屬指標：它可以區(qū)分特定的行為或者證據(jù)，指向特定的攻擊者，主要回答問題“誰”(如：誰寫的惡意軟件，誰發(fā)起的攻擊)。這無疑一個非常困難的問題，指標給出的回答也許模糊不清，但這是情報分析中不可或缺的一環(huán)。一般來說，這類情報的收集和分析能力不是大多數(shù)私營公司可以建立的，它涉及到大量有關組織的戰(zhàn)略、戰(zhàn)役及戰(zhàn)術相關情報數(shù)據(jù)，也包括其它傳統(tǒng)來源的情報數(shù)據(jù)，最后即使有這樣的能力也往往在行為上受到法律的限制。

2、檢測指標：它指向在主機或者網(wǎng)絡上可以觀察到的事件，如果命中，就意味者一個安全事件。它嘗試回答的問題是“what”(如：網(wǎng)絡中某個木馬聯(lián)系了CnC服務器;這個Web會話中包含了注入攻擊等)。這個類型的威脅情報形成了市場上可以看到的威脅情報產(chǎn)品的絕大多數(shù)，在討論基于數(shù)據(jù)類型分類時也是側重考慮的這點。

3、指向指標：幫助預測那些用戶、設施或者項目，可能成為定向攻擊的目標。這個類型雖然非常有價值，但是它和特定的行業(yè)或者組織關聯(lián)更緊密，因此現(xiàn)在還很少看到提供此方面內容的威脅情報廠商。

4、預測指標：通過行為模式來預測其它事件的發(fā)生(如：發(fā)現(xiàn)某PC下載了一個后門程序也許就可以預測之前這臺設備發(fā)生過漏洞利用，之后會有連接CnC的網(wǎng)絡行為)，這個方面的知識安全分析過程中一直在使用，每一個成熟的安全分析師都會關注收集攻擊者行為模式方面的信息。

一個具體指標可以同時屬于不同類型情報，例如CnC地址，可以同時是歸屬指標和檢測指標;而惡意軟件代碼的某些特殊特征也是如此。

二、數(shù)據(jù)類型的分類

在威脅情報相關的文章中，David J. Bianco 這位曾經(jīng)在Mandiant擔任狩獵團隊leader的一篇《The Pyramid of Pain》非常出色。這篇文章對不同類型的威脅情報及其在攻防對抗中的價值有非常清晰的描述。下面這部分的內容主要來源與對這篇文章的理解。

建立這個金字塔模型，就是為了說明你可能用來檢測敵方活動的威脅情報相關的指標類型，以及當你能夠利用這些指標時，會引起的攻擊者的攻擊代價大小或者說痛苦指數(shù)。一般來說威脅情報中價值最低的是Hash值、IP地址和域名，其次是網(wǎng)絡/主機特征、攻擊工具特征，對攻擊者影響最大的是TTP(戰(zhàn)術、技術和行為模式)類型的威脅情報。下面分別闡明道理。

1、HASH值：SHA1或MD5是最常見的例子，對應于入侵相關的特定樣本/文件。任何文件的改變，即使是無關緊要的在未使用資源中修改一個bit或者在結束位置添加一個Null。結果就是一個完全不同也不相關的哈希值。哈希值的改變是那么容易，在很多情況下，它甚至可能不值得跟蹤。需要指出的是有一類特殊的 fuzzy hashes ，它試圖通過在計算時考慮輸入的相似性來解決問題。換句話說，兩個文件只有輕微或者中度的差異，會造成類似的模糊散列值，使研究者注意到他們之間可能的關系，它們可能適合放在“攻擊工具”類型，因為它們更抗拒改變和操縱，事實上，它們在DFIR(數(shù)字取證及事件響應)最常見的用途是識別工具及惡意軟件的變種，以糾正靜態(tài)hash值的缺點。

2、IP地址：這可以說是最常見的指標，因為IP數(shù)量太大，任何合理的APT攻擊均可以更改IP地址，只需要很小的成本。在某些情況下，如果他們使用Tor或者類似的匿名代理服務，他們可以相當頻繁的改變IP地址。這就是為什么IP地址是金字塔的綠色部分。如果你利用IP地址進行防御，他們通?？梢赞D換，甚至不影響攻擊節(jié)奏。

3、域名：域名的改變需要付出一些代價，為了使用，他們必須注冊、支付并且進行托管。但是，有大量的DNS提供商有寬松的注冊標準(其中許多是免費的)。所以在實踐中，這不是太難以改變。新域名可能需要1-2天時間在整個互聯(lián)網(wǎng)上就隨處可見了，雖然如此，這些相比IP地址是稍微困難的改變。

4、網(wǎng)絡或主機特征：在這個層面上，開始讓對手覺得有些棘手。當你能夠在這個層面上檢測并響應，可以使攻擊者回到他們的實驗室重新配置或編譯他們的工具。一個很好的例子是，當你使用User-Agent特征字符方式查找攻擊者的HTTP探測工具，你阻止其User-Agent的任何請求時，你強迫他們回去花一些時間搞清楚你如何發(fā)現(xiàn)他的探測工具，并解決這個問題。當然修復可能微不足道，但至少他們不得不花費一些精力來識別和解決你設在他們面前的障礙。

5、攻擊工具：在這個層面上，我們有了真正讓攻擊者感到頭痛的能力。很可能發(fā)生的情況是，因為我們獲得了檢測他們某個工具的能力，他們必須臨時放棄，去找到或者創(chuàng)建一個用于相同目的的新工具。這是一個大的勝利，因為他們必須花時間研究(查找現(xiàn)有的工具，它具有相同的能力)、發(fā)展(如果有能力，創(chuàng)建一個新的工具)和培訓(弄清楚如何使用工具，熟練掌握它)。你使他們真的需要花費時間，特別是你能得到他們幾個工具的時候。

此類指標的實例可以包括AV或者Yara簽名，前提是他們可以發(fā)現(xiàn)相同文件的中等程度變化。分析網(wǎng)絡通信協(xié)議的網(wǎng)絡感知工具也屬于這個層面，變更協(xié)議需要大量工作重寫原來的工具。此外，如前所述，F(xiàn)uzzy哈希也應該屬于這個層面。

6、TTPs(Tactics、Techniques & Procedures)：最后，在頂點的是TTP。當你在這個層面檢測并響應，你直接針對對手的技能，不再是他們的工具。例如：你檢測重放哈希的攻擊(也許通過分析windows日志)，而不是他們使用的攻擊工具，從效益的角度看，這是最理想的。如果你能足夠快的應對對手的TTP，你強迫他們做了最耗時的事情：學習新的行為。讓我們想想這些，如果你到達頂點，即掌握了不同對手多種不同的TTP時，將會發(fā)生什么?你給他們兩個選項：放棄或者重新塑造自身，如果我是對手，選擇放棄更吸引我。

通過以上對威脅情報相關類型的描述，我們可以看到其內涵已經(jīng)遠遠超過了早年的信譽庫(IP、域名、文件等)。相應的它們發(fā)揮作用的場景也不僅僅是檢測那么簡單，而更加廣泛，下面我們就討論這個話題。

幾個典型的使用場景

一提起威脅情報的用途，人們最經(jīng)常提到的應該是攻擊檢測方面的價值了，但實際上威脅情報的使用場景會更加的廣泛，也許通過前面的類型的描述就已經(jīng)有所感覺了。下面就描述幾個比較典型的使用場景：

1、安全計劃(或者安全體系建設與完善)

上面曾經(jīng)提過，防御思路正在從漏洞為中心轉化為威脅為中心，只有對需要保護的關鍵性資產(chǎn)存在的威脅有足夠的了解，才能夠建構起合理、高效的安全體系結構，而這些就依賴于對攻擊者可能的戰(zhàn)術、方法和行為模式(即TTPs)的全面理解，如果能有指向指標類的信息，讓我們知道所在行業(yè)當時可能的最大風險，就更能做到有的放矢。如果說不同方向的安全從業(yè)者(如：漏洞挖掘、滲透測試、安全分析和事件響應、產(chǎn)品及開發(fā)等)需要的知識結構有所不同，那么這種對攻擊面的理解就是所有行業(yè)從業(yè)者必須了解的內容。

2、攻擊檢測和防御

基于威脅情報數(shù)據(jù)，可以創(chuàng)建IDPs或者AV產(chǎn)品的簽名，或者生成NFT(網(wǎng)絡取證工具)、SIEM、ETDR(終端威脅檢測及響應)等產(chǎn)品的規(guī)則，用于攻擊檢測。如果是簡單的IP、域名、URL等指標，除了以上用途，還可以考慮直接使用在線設備進行實時阻截防御。

這個方面做的比較好的廠商，無疑是Fireeye，其核心產(chǎn)品都可以使用威脅情報數(shù)據(jù)來增強檢測和防御能力。還可以關注一個相關的開源項目CIF，CIF( Collective Intelligence Framework)是一個網(wǎng)絡威脅情報管理系統(tǒng)。 CIF讓你從多個威脅情報來源結合來獲取已知的惡意威脅信息，并利用這些信息進行識別，檢測和緩解。但比較遺憾的是，現(xiàn)有版本的CIF倉庫支持的常見類型是IP地址，域名和網(wǎng)址，相較fireeye尚有一段距離。

3、安全分析及事件響應

安全分析及事件響應中的多種工作同樣可以依賴威脅情報來更簡單、高效的進行處理。在報警分流中，我們可以依賴威脅情報來區(qū)分不同類型的攻擊，從中識別出可能的APT類型高危級別攻擊，以保證及時、有效的應對。在攻擊范圍確定、溯源分析中可以利用預測類型的指標，預測已發(fā)現(xiàn)攻擊線索之前或之后可能的惡意活動，來更快速的明確攻擊范圍;同時可以將前期的工作成果作為威脅情報，輸入SIEM類型的設備，進行歷史性索引，更全面的得到可能受影響的資產(chǎn)清單或者其它線索。

威脅情報的使用場景遠不止于此，這里只是簡單的舉了幾個已經(jīng)在使用的例子，希望更多的引起大家的興趣，不止是關注威脅情報的建立，更關注如何產(chǎn)生更多的客戶價值，也許從需求出發(fā)來建立威脅情報，才能保障它發(fā)揮更大的作用。

后記

這篇文章介紹了個人對威脅情報概念的理解，威脅情報的分類及使用場景。相關的話題還有很多，如何建立與維護威脅情報系統(tǒng)，如何評價它，威脅情報相關的標準，以及以及威脅情報平臺的建立，等等。相關標準的話題國內討論的文章很多了，沒有必要再多說;其它方面希望也有機會能將想法整理出來和大家分享，當然更希望有機會和對此有興趣的同仁更多的交流。

本人的聯(lián)系郵箱是 zhili.han@icloud.com,歡迎大家的批評意見。