安全行業(yè)已經(jīng)從僅專注特征碼，轉(zhuǎn)變到了將IoC(入侵指標)也納入進來。因為各方面看來，IoC都更加便捷，也兼容各種不同檢測平臺。是時候重視IoC并更加有效地使用它們了。

[[191007]]

然而，這個轉(zhuǎn)變過程中，IoC遭到了不公正的責難。個中原因很容易理解：指標有時候可能只是缺乏上下文的一些數(shù)據(jù)片段。安全人員在努力保護公司環(huán)境的時候，往往苦于從數(shù)據(jù)中提煉出有意義的東西，不知道該到哪里去發(fā)現(xiàn)真正的價值。

大多數(shù)安全人員真正想要的，是對對手的了解——對手所用的工具以及戰(zhàn)術(shù)、技術(shù)和規(guī)程(TTP)。通過了解對手來強化自身防御，讓壞人的日子不好過。但這一層次的信息，往往不會輕易交到安全人員手上。正如老話所說，“細節(jié)決定成敗”，這里的細節(jié)，就是IoC。

很多公司當前的安全基礎設施都是碎片化的，幾十種安全產(chǎn)品各自為戰(zhàn)。因為這些產(chǎn)品沒有集成到一起，架構(gòu)中的每一層都創(chuàng)建自己的日志和事件，產(chǎn)生大量數(shù)據(jù)。系統(tǒng)日志中充斥著不良IP地址和域名，昭示著可能的C2服務器通信、數(shù)據(jù)滲漏或非法服務;還有對應特定/惡意文件的散列值;以及指向敵手的網(wǎng)絡和終端。所有這些指標都能揭示惡意行為，但安全分析師卻難以確知要先找尋和調(diào)查什么。

IoC的重要性就體現(xiàn)在這里了。IoC是所有這些迥異日志的最小公約數(shù)，是將各安全工具的所有輸出整合在一起的切實方法。IoC可以讓你構(gòu)建整體視圖，從指標追蹤到敵人或攻擊活動，對自身環(huán)境中正在發(fā)生的事情有更深刻的了解。

舉個例子。你看到一個沒見過的IP地址，需要有關該地址的更多信息，于是你從外部威脅情報平臺盡可能地收集相關數(shù)據(jù)。通過這些分析，你可能發(fā)現(xiàn)該IP地址與某個攻擊活動或?qū)κ窒嚓P聯(lián)。然后你決定收集更多關于該攻擊活動或?qū)κ值那閳?，了解他們會用的TTP和其他相關指標。

所以我們不妨假設與該特定對手相關聯(lián)的指標有21個。你已經(jīng)看到一個了(IP地址)，所以檢查一下有沒有其他20個是有意義的。好吧，仔細一找，又發(fā)現(xiàn)了10個指標。于是，很可能你已經(jīng)被這個對手侵入了。而如今你可以主動發(fā)送剩下10個指標來強化安全基礎設施，抵御該特定對手。

如上述例子所示，IoC是成功調(diào)查與防護的關鍵因素。但你需要一個資源庫來整合內(nèi)部各系統(tǒng)產(chǎn)生的數(shù)據(jù)和外部威脅饋送的數(shù)據(jù)，并添加進上下文豐富這些數(shù)據(jù)。否則，指標僅僅是噪音而已。缺乏整合和上下文豐富，正是IoC蒙受不白之冤的原因所在。

威脅情報平臺(TIP)可以聚合并規(guī)范化威脅和數(shù)據(jù)，然后關聯(lián)數(shù)據(jù)并應用進上下文。于是，在能提供有價值洞見的IoC加持下，你便能用它導向?qū)κ趾退麄兯玫腡TP。反映敵人活動的相關指標看得更全面更清楚了，自家公司被入侵的確鑿證據(jù)也就昭然若揭了。而對敵手所用方法有進一步的了解，惡意活動阻止起來也會更快些，還可以防止未來的類似攻擊。

從僅使用特征碼遷移到包含進IoC的利用非常充分。然而不幸的是，遷移過程中安全團隊被自身各種各樣的安全日志和威脅饋送數(shù)據(jù)所淹沒，這些數(shù)據(jù)有些來自商業(yè)源，有些是開源的，有些是行業(yè)內(nèi)的，有些則來自現(xiàn)有安全廠商。所有這些數(shù)據(jù)都能提供巨大價值，但卻通常處于未被開發(fā)狀態(tài)。與其無視IoC，不如抓緊時間更有效地利用起來，用以對抗無孔不入的各路敵手。