過去我們所理解的威脅情報(bào)就是“威脅數(shù)據(jù)→SIEM(安全信息與事件管理)→安全保障”，而這個(gè)過程中只有少數(shù)東西需要分析。Rick Hollan在2012年的一篇博客《我的威脅情報(bào)可以完虐你的威脅情報(bào)》中就曾提醒我們“這是一條錯(cuò)誤的軌道”，他寫道：

“只有當(dāng)你的機(jī)構(gòu)具有自我開發(fā)的能力時(shí)，才稱得上具有真正的威脅情報(bào)。”

現(xiàn)階段，我們可以利用很多已有的威脅情報(bào)，并掌握我們?nèi)绾卧趦?nèi)網(wǎng)中更好的利用威脅情報(bào)。而這要求我們具備一個(gè)對(duì)威脅情報(bào)的基礎(chǔ)了解，以及他們究竟是如何在安全操作環(huán)境起作用的。本文旨在幫助對(duì)威脅情報(bào)感興趣的人，理解威脅情報(bào)和情報(bào)分析基礎(chǔ)。

[[164867]]

威脅情報(bào)水平的安全操作：爬取

在決定將威脅情報(bào)整合到安全操作之前，公司最好先構(gòu)建一個(gè)以不同方式有效利用威脅情報(bào)的框架。

傳統(tǒng)中的情報(bào)水平即戰(zhàn)爭(zhēng)中的策略、運(yùn)作及戰(zhàn)術(shù)。產(chǎn)生這樣對(duì)應(yīng)關(guān)系的原因如下：它有助于識(shí)別各個(gè)層次的決策者;它能識(shí)別情報(bào)的目的，無論是既定政策、計(jì)劃中或是檢測(cè)、組織一次攻擊活動(dòng);它能夠在獲得情報(bào)后幫助決策者擬定適當(dāng)?shù)男袆?dòng)。

在所有情報(bào)級(jí)別中，關(guān)鍵是針對(duì)組織進(jìn)行專門的價(jià)值評(píng)估。請(qǐng)回答一個(gè)問題：“這些信息要如何添加到我們的安全項(xiàng)目中?這些信息對(duì)我們做決定有什么幫助?”

戰(zhàn)略情報(bào)(Strategic intelligence)

戰(zhàn)略情報(bào)指的是告知董事會(huì)與業(yè)務(wù)部門的情報(bào)。這能幫助他們更好地理解他們所面臨的趨勢(shì)，并達(dá)成有益發(fā)展的策略。戰(zhàn)略情報(bào)來自更為長(zhǎng)期項(xiàng)目的趨勢(shì)分析，常常采用了例如DBIR和CRS(國(guó)會(huì)研究服務(wù))的報(bào)告形式。戰(zhàn)略情報(bào)幫助決策者洞悉哪種威脅對(duì)業(yè)務(wù)及公司未來產(chǎn)生最大影響，以及他們應(yīng)當(dāng)采取何種措施緩解這些威脅。

運(yùn)用戰(zhàn)略情報(bào)的關(guān)鍵是將這些情報(bào)融入公司的優(yōu)先級(jí)、數(shù)據(jù)以及攻擊表面中。沒有任何商業(yè)或年度趨勢(shì)報(bào)告能夠告訴你什么是最重要的、某種威脅趨勢(shì)可能會(huì)影響到你。

戰(zhàn)略情報(bào)和所有其他情報(bào)一樣，是一個(gè)工具，有助于進(jìn)行未來決策，但無法幫你直接作出決定。

作戰(zhàn)情報(bào)(Operational Intelligence)

作戰(zhàn)情報(bào)提供的是針對(duì)一個(gè)組織特定攻擊的相關(guān)情報(bào)。它源于軍事行動(dòng)的概念——即一系列發(fā)生于不同時(shí)間或地點(diǎn)的計(jì)劃、活動(dòng)，卻具有相同的攻擊目標(biāo)。因此它能概括出攻擊活動(dòng)的目標(biāo)是整個(gè)部門，或是黑客針對(duì)某個(gè)特定機(jī)構(gòu)進(jìn)行的攻擊。

你可以在信息共享和分析中心(ISAC)與組織(ISAO)獲取作戰(zhàn)情報(bào)。

作戰(zhàn)情報(bào)是面向更為高級(jí)的安全人員，而與戰(zhàn)略情報(bào)不同的是，它需要在短期或者中期內(nèi)采取必要行動(dòng)，而非長(zhǎng)期。它會(huì)在一下情況中發(fā)揮作用：

1、 是否增加安全意識(shí)培訓(xùn);

2、 在一次明確的“作戰(zhàn)”過程中，如何分配SOC員工;

3、遭遇特殊情況時(shí)，是否可以臨時(shí)拒絕防火墻的請(qǐng)求。

作戰(zhàn)情報(bào)信息共享是一個(gè)非常好的選擇。如果你發(fā)現(xiàn)一些近期內(nèi)會(huì)影響他人的“東西”，請(qǐng)及時(shí)共享出這些信息。它能夠幫助其他公司決定是否采取必要行動(dòng)。

只有當(dāng)情報(bào)獲取者有權(quán)變更政策或者采取措施應(yīng)對(duì)威脅時(shí)，作戰(zhàn)情報(bào)才真正有用。

戰(zhàn)術(shù)情報(bào)(Tactical Intelligence)

戰(zhàn)術(shù)情報(bào)關(guān)注于攻擊者的行為意圖是“什么”(IoC)以及采取了“怎樣”的(戰(zhàn)術(shù)、技術(shù)和程序)檢測(cè)、阻止攻擊行為。攻擊者是否傾向于使用特定方法獲得初始訪問權(quán)限，例如社會(huì)工程或者漏洞利用?他們是否使用了特定工具或提權(quán)手段?你通過哪些IoC發(fā)現(xiàn)異?；顒?dòng)?Herman Statman的威脅情報(bào)列表為查詢戰(zhàn)術(shù)情報(bào)提供了詳實(shí)的資料。

戰(zhàn)術(shù)情報(bào)主要是面向活躍監(jiān)測(cè)周圍環(huán)境的安全人員，他們收集來自員工報(bào)告的異常活動(dòng)或社會(huì)工程嘗試等信息。戰(zhàn)術(shù)情報(bào)也可以用于尋找攻擊活動(dòng)，我們?cè)噲D從普通用戶行為中區(qū)分出攻擊者。這種情報(bào)類型需要更多先進(jìn)的資源，例如廣泛的日志記錄、用戶行為分析、端點(diǎn)可見性以及訓(xùn)練有素的分析師。由于一些指標(biāo)可能在第一次出現(xiàn)時(shí)沒有被員工捕獲或警告，因此具備安全意識(shí)的員工同樣很重要。通常你擁有的員工數(shù)量要比攻擊感應(yīng)器多……所以，聽從你的員工、訓(xùn)練他們、收集他們提供的信息，分析之后就采取行動(dòng)吧。

戰(zhàn)術(shù)情報(bào)提供了特定但是易逝的信息，安全人員仍可采取應(yīng)對(duì)行動(dòng)。

了解威脅情報(bào)在不同層面上的運(yùn)作，有助于公司進(jìn)行決策，同時(shí)幫助公司決定如何處理未來的情報(bào)。從你組織內(nèi)部搜集的情報(bào)永遠(yuǎn)是可執(zhí)行性最強(qiáng)的情報(bào)。

廚子、裁縫、士兵、間諜：情報(bào)利用分為多種類型

正如前文中詳細(xì)提到的，情報(bào)出現(xiàn)在不同的操作層，企業(yè)可以利用不同類型的情報(bào)有效應(yīng)對(duì)面臨的威脅。

不要笑——對(duì)于“情報(bào)”解釋得最出色的便是“CIA兒童區(qū)”(美國(guó)中央情報(bào)局針對(duì)六至十二年級(jí)少年的官方科普網(wǎng)站)。

他們將情報(bào)細(xì)分為一下幾種類型：

科學(xué)和技術(shù)：提供關(guān)于對(duì)手技術(shù)和能力的信息;

動(dòng)態(tài)：關(guān)注日常事件及其影響;

警示：對(duì)于緊急事件給予注意，并發(fā)布通知;

估測(cè)：關(guān)注可能發(fā)生的事情;

研究：為某事件提供了一個(gè)深入的研究。

雖然大多數(shù)機(jī)構(gòu)并不會(huì)同時(shí)使用所有類型的情報(bào)，除非你和CIA一樣(但是請(qǐng)別告訴我你做了什么)，那么了解這些不同類型的情報(bào)以及他們提供的內(nèi)容很有必要。不同類型的情報(bào)需要多樣的人員分析和時(shí)間差異。例如技術(shù)情報(bào)很容易實(shí)現(xiàn)自動(dòng)化，因此可以隨節(jié)奏而產(chǎn)生。然而像威脅趨勢(shì)研究，則非常依賴于人的分析。

技術(shù)情報(bào)

在信息安全操作中，通過技術(shù)情報(bào)來探查對(duì)手的能力和技術(shù)。它包括一些例如IP和C&C地址及域名、惡意文件名稱和hash值在內(nèi)的許多細(xì)節(jié)，以及一些TTP細(xì)節(jié)，像是針對(duì)某個(gè)特殊目標(biāo)的漏洞或者一個(gè)用于指引植入的特定回調(diào)模式。

技術(shù)情報(bào)最常用于“機(jī)器對(duì)抗機(jī)器”的行動(dòng)中，只是因?yàn)樾枰獧C(jī)器處理盡可能多的信息。機(jī)器通常并不關(guān)心人在意的內(nèi)容，因此在許多情況下，技術(shù)情報(bào)并不涵蓋太多內(nèi)容。防火墻并不用清楚封鎖某個(gè)惡意域名的原因，它只要去照做就行了。而在防火墻另一端的人或許想要知道，因此可能觸發(fā)大量警報(bào)。企業(yè)必須在消費(fèi)之前進(jìn)行技術(shù)情報(bào)分析，否則最多也只是獲取數(shù)據(jù)或者信息，而非情報(bào)!想了解更多，可以去閱讀Robert Lee的文章《數(shù)據(jù)VS信息VS情報(bào)》。

如果你并不使用自己生成的技術(shù)情報(bào)，那么你必須清楚技術(shù)情報(bào)的來源以及如何將它們運(yùn)用于分析，特別是自動(dòng)化分析。此刻，我感到自己獨(dú)自在這里亂言：通過“機(jī)器對(duì)機(jī)器”的自動(dòng)化方式生成威脅情報(bào)……先不要說我錯(cuò)了，做些分析再說吧!

動(dòng)態(tài)情報(bào)

動(dòng)態(tài)情報(bào)處理的是每天可能需要立刻做出反應(yīng)的事件和情況。我曾聽人這么說，“新聞才不是情報(bào)”，這的確是真的;然而，當(dāng)需要對(duì)你的特定機(jī)構(gòu)、網(wǎng)絡(luò)或者活動(dòng)進(jìn)行分析時(shí)，公共領(lǐng)域新聞就成了威脅情報(bào)。

舉個(gè)動(dòng)態(tài)情報(bào)的例子，報(bào)道說一個(gè)開發(fā)工具三天前集成了一個(gè)新的漏洞利用工具。通常按照30天補(bǔ)丁的周期而言，你在27天內(nèi)可能遭遇攻擊。知曉這一威脅會(huì)如何影響你的組織、如何進(jìn)行檢測(cè)并封鎖惡意活動(dòng)便是一種動(dòng)態(tài)情報(bào)。動(dòng)態(tài)情報(bào)也可以從組織網(wǎng)站的信息中獲取。分析一次入侵或者針對(duì)高管的釣魚攻擊同樣也能產(chǎn)生動(dòng)態(tài)情報(bào)，這點(diǎn)則急需立即執(zhí)行。

當(dāng)你的網(wǎng)絡(luò)生成動(dòng)態(tài)情報(bào)時(shí)，要記錄下它們!這可以用于后續(xù)的情報(bào)趨勢(shì)及威脅環(huán)境分析研究。同時(shí)，還能與其他組織共享這份情報(bào)。

威脅趨勢(shì)(估測(cè))

在戰(zhàn)術(shù)層面(技術(shù)情報(bào)、動(dòng)態(tài)情報(bào))收集到的所有情報(bào)都可以分析進(jìn)而生成威脅趨勢(shì)。威脅趨勢(shì)的獲取需要時(shí)間，你需要隨著時(shí)間進(jìn)行模式分析，觀察事物如何變化或者保持原狀的。威脅趨勢(shì)能夠是某種反復(fù)影響網(wǎng)絡(luò)的特定威脅分析，也可以是對(duì)一個(gè)組織或惡意軟件家族的分析。與威脅趨勢(shì)更直接相關(guān)的其實(shí)是你的網(wǎng)絡(luò)或者組織，這點(diǎn)對(duì)你而言更有幫助。

威脅趨勢(shì)讓我們避免從一個(gè)分析中得出錯(cuò)誤的預(yù)測(cè)或未來威脅的誤報(bào)。

威脅形勢(shì)研究

說起趨勢(shì)，威脅分析長(zhǎng)期重視時(shí)效性，動(dòng)態(tài)情報(bào)需要通過長(zhǎng)期的戰(zhàn)略研究進(jìn)行積累。與戰(zhàn)術(shù)情報(bào)資源相比，社群中我們擁有多少戰(zhàn)略層、技術(shù)性IOC(輸入/輸出控制器)。又存在多少新項(xiàng)目專注于提供“實(shí)時(shí)情報(bào)”和“深入分析”。原因當(dāng)然包括沒有足夠的分析師進(jìn)行這些工作，而他們通常關(guān)注于對(duì)時(shí)間比較敏感的時(shí)間。此外，我們常常沒有足夠正確的數(shù)據(jù)進(jìn)行戰(zhàn)略層的分析，同樣是因?yàn)槲覀儾⒉涣?xí)慣從自己的網(wǎng)絡(luò)中搜集數(shù)據(jù)，而大多數(shù)人不愿意分享戰(zhàn)略型威脅，只愿意分享那些威脅對(duì)他們實(shí)際造成影響的信息。

我們需要改變這樣的局面，因?yàn)槟悴荒芤膊粦?yīng)該在未來安全項(xiàng)目中忽略戰(zhàn)略的重要性，你也不能在沒有理解其背后的邏輯時(shí)匆忙制定安全策略。威脅形勢(shì)研究是指在環(huán)境中進(jìn)行長(zhǎng)期威脅分析——他們的攻擊是什么、他們?nèi)绾芜M(jìn)行攻擊、你又該如何對(duì)這些威脅進(jìn)行相應(yīng)——這些都影響著你的策略。你從網(wǎng)絡(luò)中收集的戰(zhàn)略層信息并進(jìn)行基于網(wǎng)絡(luò)日?；顒?dòng)進(jìn)行的分析都?xì)w屬為威脅形勢(shì)研究。你以及公共領(lǐng)域信息的動(dòng)態(tài)情報(bào)都可以服務(wù)于威脅形勢(shì)研究。BRID建立了一個(gè)用于捕獲和分析這些信息的框架叫做VERIS(事件記錄與共享表單)。記住一點(diǎn)，這類情報(bào)分析需要大量時(shí)間和精力，但是一切都是值得的。

信息共享

當(dāng)前共享IOC及其他技術(shù)信息變得尤為重要，然而在本文中我們所探討過任一類型的情報(bào)都很適合分享，以最佳實(shí)踐和流程進(jìn)行信息共享會(huì)有意想不到的收獲。

在一個(gè)組織的網(wǎng)絡(luò)中共享信息不失為理解新威脅的一種好方式，同時(shí)還有益于提升態(tài)勢(shì)感知能力。信息共享本質(zhì)上就是產(chǎn)生具有威脅警示作用的情報(bào)。當(dāng)信息共享越來越自動(dòng)化，這也就意味著掌握的信息更海量。想要了解更多，可以觀看Alex Pinto最近在威脅情報(bào)有效性測(cè)量方面的研究。

即使現(xiàn)在你仍對(duì)從你自身環(huán)境中收集情報(bào)的價(jià)值存有疑慮，威脅情報(bào)的消化仍然需要你去分析、去了解它為何與你有關(guān)、你又該采取哪些行動(dòng)。對(duì)于不同類型情報(bào)的理解及使用方式可以指導(dǎo)你進(jìn)行分析和決定。

安全操作中的情報(bào)分析

在本系列的前兩個(gè)部分中，我們介紹了情報(bào)的框架：情報(bào)的分級(jí)(戰(zhàn)略情報(bào)、行動(dòng)情報(bào)、戰(zhàn)術(shù)情報(bào))和情報(bào)的類型(技術(shù)情報(bào)、趨勢(shì)情報(bào)、長(zhǎng)期情報(bào)等)。不論情報(bào)的等級(jí)、類型如何，對(duì)情報(bào)分析的需求是不變的。

分析是情報(bào)最為重要的部分，它調(diào)用數(shù)據(jù)然后將其轉(zhuǎn)化成為我們決策提供依據(jù)的情報(bào)。

分析：失落的碎片

我們十分擅長(zhǎng)情報(bào)收集、處理及傳播工作，卻容易遺漏情報(bào)周期中大量的重要部分，導(dǎo)致警報(bào)未觸發(fā)、錯(cuò)誤預(yù)警過多，誤導(dǎo)用戶。

說起來容易，但是真正開展情報(bào)分析工作卻是一件困難的事情，尤其在諸如網(wǎng)絡(luò)威脅情報(bào)等新興領(lǐng)域尤為如此。模型和方式可以幫助我們理解情報(bào)分析的過程，但即便是確定模型的種類也絕非易事。存在很多相似模型，它們?cè)诓煌瑘?chǎng)合發(fā)揮了不同的作用。

那么問題來了：什么是分析?

情報(bào)分析的目的是為了減少不確定性、提供威脅預(yù)警以及為決策提供支撐的信息評(píng)估和解讀。美國(guó)前國(guó)務(wù)卿鮑威爾對(duì)“情報(bào)”給出了最精簡(jiǎn)的概括，即“讓我知道你掌握的，讓我了解你不知道的，告訴我你在想什么。對(duì)這三者保持清楚的區(qū)分”。

借助自己或他人收集的信息，分析師通過這些已知材料進(jìn)一步區(qū)分出哪部分需要繼續(xù)采集，而哪些可以作為參考，然后決定他們運(yùn)用信息的方式。

在你展開分析之前，你應(yīng)當(dāng)明確情報(bào)分析的目標(biāo)是什么。理論上需求取決于領(lǐng)導(dǎo)、客戶或者其他類型的用戶，但是在在很多情況中客戶對(duì)自己的需求并不非常清楚。因此，理解公司對(duì)于威脅情報(bào)的需求非常關(guān)鍵，第一步就是要搞清楚問題所在或值得探討的地方。

分析模型

一旦了解情報(bào)分析需要解決的問題，就著手從不同分析模型中選擇出最佳模型進(jìn)行分析。這里列出了一些比較有用的資源，可以幫你了解那些常見的威脅情報(bào)模型。

不同的模型可以為不同的目的服務(wù)。SWOT方法更適合于實(shí)施更高級(jí)別的分析，通過與對(duì)手的比較發(fā)現(xiàn)自身存在的優(yōu)勢(shì)和不足。F3EAD、Diamond Model(鉆石模型)、Kill Chains模型都可以用于分析的具體指令或不同事件與指令之間的關(guān)聯(lián)。Target Centric Intelligence是一種比較少為人知的模型，但它不僅能幫助我們了解某一事件，還能加強(qiáng)情報(bào)決策者、收集者、分析者等相關(guān)部門的協(xié)作，從而避免在情報(bào)處理的過程中重復(fù)、信息不共享或常見的誤傳等情況。

· SWOT (Strengths, Weaknesses,Opportunities, Threats)

· Find, Fix, Finish, Exploit, Analyze,Disseminate by @sroberts

· Target CentricIntelligence

· Diamond Modelfor Intrusion Analysis

· Analysis ofAdversary Campaigns and Intrusion Kill Chains

關(guān)于情報(bào)收集，還要注意這些

通常情報(bào)分析結(jié)果取決于初始信息的質(zhì)量。通過訓(xùn)練，情報(bào)分析員有能力對(duì)信息來源進(jìn)行評(píng)估，以便掌握該信息是否因?yàn)橹饔^因素而影響了可靠性。在開展網(wǎng)絡(luò)威脅情報(bào)分析工作時(shí)，我們還是主要依賴于其他渠道收集的數(shù)據(jù)而非第一手信息。這也是為什么要在自有網(wǎng)絡(luò)中進(jìn)行信息分析的重要原因之一。

此外，作為團(tuán)隊(duì)成員要確保信息的透明，以便其他人進(jìn)行情報(bào)分析。這樣或許暴露了消源或獲得手段，但我們?nèi)匀恍枰诒Ｗo(hù)信源和情報(bào)得到充分利用之間取得平衡。

更多資源

The State of Security: Cyber Threat Intelligence

Joint Publication 2-0: Joint Intelligence

INSA Operational Levels of Threat Intelligence

CIA Library: The State of Strategic Intelligence