威脅情報(bào)平臺提供與惡意(攻擊者)和(安全)威脅相關(guān)的情報(bào)，主要是域名、IP和文件以及關(guān)聯(lián)關(guān)系等信息。威脅情報(bào)之于企業(yè)安全運(yùn)營者，提升的是兩個(gè)方面：響應(yīng)能力和感知能力。對于威脅情報(bào)的分類，最為廣泛傳播是Gartner定義的運(yùn)營情報(bào)、戰(zhàn)術(shù)情報(bào)和戰(zhàn)略情報(bào)。時(shí)效性和多源沖突是威脅情報(bào)的重要特點(diǎn)。而情報(bào)的融合和置信度計(jì)算是一個(gè)比較龐大的命題……

一、概述

1. 何為威脅情報(bào)

威脅情報(bào)(Threat Intelligence)的市場教育已進(jìn)行了許多年，眾多公眾號對其定義、應(yīng)用場景和價(jià)值已做了詳盡的介紹，筆者在此不再贅述，僅試圖從一個(gè)企業(yè)安全運(yùn)營者角度理解威脅情報(bào)。

(1) 威脅情報(bào)簡介及市場淺析

威脅情報(bào)價(jià)值：北美和英國公司的第二個(gè)年度研究報(bào)告

(2) 使用威脅情報(bào)調(diào)查攻擊者

各個(gè)安全情報(bào)廠商的情報(bào)平臺白皮書是安全運(yùn)營者應(yīng)用威脅情報(bào)前必讀之物，而詞云圖則是把握中心思想的有效工具。因而筆者從各個(gè)白皮書中的文字生成如下詞云圖，可以看到：

• 一級大詞：信息
• 二級大詞：情報(bào)、關(guān)聯(lián)、域名、IP和文件
• 三級大詞：查詢、惡意和威脅

看圖說話構(gòu)造中心思想：

威脅情報(bào)平臺提供這樣一種查詢服務(wù)，提供與惡意(攻擊者)和(安全)威脅相關(guān)的情報(bào)，主要是域名、IP和文件以及關(guān)聯(lián)關(guān)系等信息。

情報(bào)詞云

筆者認(rèn)為，威脅情報(bào)之于企業(yè)安全運(yùn)營者，提升的是兩個(gè)方面：響應(yīng)能力和感知能力。威脅情報(bào)的出現(xiàn)對于企業(yè)安全，一方面隨著安全盒子能力逐漸成熟和X86服務(wù)器軟實(shí)力在去IOE浪潮中的提升，企業(yè)在檢測部署上有了更多的選擇，通過互聯(lián)互通和快速共享更新威脅信息，企業(yè)可以迅速聚焦威脅和數(shù)據(jù)本身，提升自身的響應(yīng)速度、檢測效率,以及整體人力投入產(chǎn)出比;另一方面，威脅情報(bào)作為企業(yè)態(tài)勢感知的有效數(shù)據(jù)支撐，使得企業(yè)能夠從威脅的角度評估自身資產(chǎn)和員工的行為風(fēng)險(xiǎn)，同時(shí)情報(bào)平臺海量關(guān)聯(lián)數(shù)據(jù)，能夠彌補(bǔ)企業(yè)對外部威脅的盲區(qū)，知己知彼。

2. 現(xiàn)狀

威脅情報(bào)這個(gè)名字誕生時(shí)間無從考證了，各大廠商、機(jī)構(gòu)甚至個(gè)人紛紛推出自己的情報(bào)數(shù)據(jù)及平臺，來輸出自有情報(bào)和各個(gè)情報(bào)數(shù)據(jù)源的數(shù)據(jù)的融合結(jié)果。

圖1.2 CriticalStack情報(bào)融合平臺

情報(bào)標(biāo)準(zhǔn)也有眾多機(jī)構(gòu)進(jìn)行推進(jìn)(STIX, MAEC, Cybox, OpenIOC等等)，光從STIX標(biāo)準(zhǔn)來看，誕生已有三年，現(xiàn)已推進(jìn)到2.0版本，格式也已從臃腫的XML轉(zhuǎn)換到更為實(shí)用、好解析的JSON。

圖1.3 STIX的commit狀況

針對情報(bào)標(biāo)準(zhǔn)，個(gè)人將其不成熟地劃分為六大邏輯分層：對象描述層、行為關(guān)系層、事件層、戰(zhàn)術(shù)層、敵對描述層和應(yīng)急響應(yīng)層。從變化來看，主要有三大變化：通俗化，如原來軍事名詞TTP(Tactics, Techniques, and Procedures)替換為更通俗易懂的Attack Pattern，字段規(guī)劃也更為簡單清晰;具化，如戰(zhàn)術(shù)層中專門提出了最為通用的攻擊手段Malware，對象描述層中添加了Identity等對象，方便描述組織/個(gè)人;實(shí)戰(zhàn)化，如應(yīng)急響應(yīng)層中添加了Sighting等對象，使用者更容易根據(jù)情報(bào)和事件的關(guān)聯(lián)關(guān)系執(zhí)行不同的響應(yīng)流程。

圖1.4 情報(bào)標(biāo)準(zhǔn)邏輯分層

一個(gè)(潛在)行業(yè)標(biāo)準(zhǔn)的演進(jìn)往往可看出行業(yè)應(yīng)用者關(guān)注點(diǎn)的變化，從一開始的“有數(shù)據(jù)”的階段(能查、能看、滿足溯源需求)，到“用數(shù)據(jù)”的階段，威脅情報(bào)在信息安全行業(yè)的應(yīng)用已到了關(guān)注實(shí)戰(zhàn)/實(shí)時(shí)應(yīng)用和響應(yīng)效果的階段。

二、威脅情報(bào)種類

對于威脅情報(bào)的分類，業(yè)界也有眾多定義，最為廣泛傳播是Gartner定義的運(yùn)營情報(bào)、戰(zhàn)術(shù)情報(bào)和戰(zhàn)略情報(bào)。筆者在此并不介紹大而全的分類標(biāo)準(zhǔn)，僅從實(shí)用性角度和自身經(jīng)驗(yàn)出發(fā)，介紹運(yùn)營情報(bào)里面最為常用的四種情報(bào)分類：基礎(chǔ)情報(bào)、威脅對象情報(bào)、IOC情報(bào)和事件情報(bào)。

1. 基礎(chǔ)情報(bào)

一言以概之，基礎(chǔ)情報(bào)就是這個(gè)網(wǎng)絡(luò)空間對象(IP/域名/郵箱/SSL證書/文件)是啥，誰擁有它，誰使用它。具體到基礎(chǔ)數(shù)據(jù)展示則包含開放端口/服務(wù)/指紋、WHOIS/ASN、PDNS、地理位置信息等，彌補(bǔ)安全運(yùn)營者對公網(wǎng)資產(chǎn)的的感知缺口。

圖2.1 情報(bào)平臺中的基礎(chǔ)情報(bào)樣例

2. 威脅對象情報(bào)

所謂威脅對象情報(bào)則是提供和威脅相關(guān)的對象信息(IP/域名/郵箱/SSL證書/文件)，可理解為提供“犯罪分子”的“犯罪記錄”(監(jiān)控歷史)，“相關(guān)家庭關(guān)系”(相關(guān)域名，相關(guān)漏洞，相關(guān)文件等)，“社會(huì)信用”(威脅評分，黑名單命中狀況，惡意標(biāo)記)等信息。

圖2.2 情報(bào)平臺中的威脅對象情報(bào)

3. IOC情報(bào)

IOC(Indicator of compromise)意為威脅指示器，通常指的是在檢測或取證中，具有高置信度的威脅對象或特征信息。企業(yè)側(cè)的流量檢測或主機(jī)檢測設(shè)備，通過機(jī)讀格式(OpenIOC，STIX或私有格式)消費(fèi)該類情報(bào)。

圖2.3 企業(yè)側(cè)平臺的IOC情報(bào)

4. 事件情報(bào)

事件情報(bào)則是綜合各種情報(bào)信息，結(jié)合相關(guān)事件描述，告訴安全運(yùn)營者外部威脅概況和安全事件詳情，進(jìn)而讓安全運(yùn)營者對當(dāng)前熱點(diǎn)安全事件進(jìn)行針對性防護(hù)。

圖2.4 情報(bào)平臺中的事件情報(bào)

圖2.5 企業(yè)側(cè)平臺中的事件情報(bào)

三、情報(bào)沖突與時(shí)效性

1. 時(shí)效性

時(shí)效性強(qiáng)是情報(bào)的重要特點(diǎn)。從筆者之前對多個(gè)開源情報(bào)的收集分析中嘗試一窺，75%的惡意IP情報(bào)持續(xù)時(shí)間在5天內(nèi)，平均每天6668個(gè)新增IP IOC(部分外部采集源)。開源情報(bào)存在兩個(gè)問題：置信度問題和時(shí)效性問題。置信度問題下一小節(jié)詳述，先說時(shí)效性問題。許多開源情報(bào)往往并沒有標(biāo)注持續(xù)時(shí)間，僅標(biāo)記生成時(shí)間。很多都是每天一個(gè)列表，應(yīng)用者只知道開源情報(bào)平臺什么時(shí)候發(fā)現(xiàn)該惡意對象，并不知道該對象是否持續(xù)作惡。情報(bào)的域名擁有者、IP使用者和其上的業(yè)務(wù)，隨著時(shí)間的推移，可能產(chǎn)生變化，黑IP會(huì)變成白IP。過時(shí)或失真的情報(bào)會(huì)在實(shí)際使用中給應(yīng)急處置帶來大量的垃圾告警，給安全管理人員造成困擾。因而，光靠采集外部情報(bào)進(jìn)行威脅情報(bào)平臺建設(shè)往往有著數(shù)據(jù)有效性上的質(zhì)疑。擁有盒子產(chǎn)品的情報(bào)平臺廠商可以嘗試從基礎(chǔ)流量和自有告警數(shù)據(jù)中，結(jié)合衰減算法，對情報(bào)數(shù)據(jù)的時(shí)效性進(jìn)行定義。

圖3.1 IP惡意情報(bào)的持續(xù)時(shí)間

圖3.2 每天新增的新IP惡意情報(bào)數(shù)量

2. 多源情報(bào)沖突

還是相同的開源情報(bào)數(shù)據(jù)，可以看到57%的惡意IP情報(bào)被標(biāo)記多個(gè)類型或被多個(gè)情報(bào)源標(biāo)記。三人成虎的方法往往成為業(yè)界的基本做法，即多個(gè)來源說一個(gè)IP是惡意的，它就更惡意(惡意置信度或威脅指數(shù)上升)，但其實(shí)這里有個(gè)現(xiàn)實(shí)的邏輯陷阱：由于無從考證開源情報(bào)源的基礎(chǔ)數(shù)據(jù)來源，所以無法得知各個(gè)情報(bào)源之間是否有相互“抄襲”的狀況。如果單純?nèi)顺苫?，則很有可能產(chǎn)生循環(huán)論證的后果。因而開源情報(bào)和自有設(shè)備流量/告警進(jìn)行綜合比對，是一個(gè)可信情報(bào)平臺必不可少的數(shù)據(jù)分析流程。

圖3.3 多源多標(biāo)簽標(biāo)記

同時(shí)，開源情報(bào)不僅有黑情報(bào)，還有白IP情報(bào)，業(yè)界往往把不同維度上訪問量高的IP和域名作為可信的白名單，例如思科的Umbrella Popularity List和Alexa的Top1m List。如果將域名對應(yīng)的Alexa排名賦予其指向的IP，然后和黑名單IP關(guān)聯(lián)比較，可以看出，即使強(qiáng)如Alexa排名前一百的IP，沖突數(shù)量也有數(shù)百。在筆者的經(jīng)驗(yàn)中，企業(yè)外發(fā)流量往往70%是訪問Alexa排名前一百萬的。這就意味著如果拿開源情報(bào)在企業(yè)實(shí)時(shí)流量中匹配會(huì)產(chǎn)生大量的誤報(bào)。Piz0n在Wo~ 反情報(bào)也提到了黑產(chǎn)刷Alexa排名的情況。下圖縱軸是沖突數(shù)量，橫軸的Alexa的排名區(qū)間。

圖3.4 Alexa排名區(qū)間與沖突

筆者同時(shí)選取一段時(shí)間的開源情報(bào)和思科的Umbrella Popularity List進(jìn)行交叉比對，同樣發(fā)現(xiàn)許多沖突的狀況。其實(shí)，拿Alexa的名單和思科的名單作為白名單，其中有個(gè)偷換概念的行為，即將“多人(IP)訪問”替換成了“可信”，然而統(tǒng)計(jì)學(xué)的“廣泛”的概念并不意味著安全可信，只能說是類似“你如果中招了，你不是唯一一個(gè)”的心里安慰。下圖縱軸是沖突數(shù)量，橫軸是不同的情報(bào)源。

圖3.5 不同情報(bào)源黑名單和思科的Umbrella Popularity List名單對比

因此，情報(bào)的融合和置信度計(jì)算是一個(gè)比較龐大的命題，且并不可能成為一個(gè)純數(shù)學(xué)和證據(jù)計(jì)算的自動(dòng)化過程，而是整個(gè)威脅情報(bào)團(tuán)隊(duì)持續(xù)運(yùn)營的過程。安全自動(dòng)化里面的“臟”秘密也提到安全自動(dòng)化情報(bào)的作用是“指數(shù)級提升防御強(qiáng)度，還能減輕安全團(tuán)隊(duì)負(fù)擔(dān)，讓他們解放出來，持續(xù)關(guān)注自身優(yōu)先事務(wù)”。對于可信情報(bào)的輸出，外部情報(bào)、樣本文件行為和自有設(shè)備告警往往只能成為觸發(fā)融合驗(yàn)證工作流的引子，算法和自動(dòng)化流程做的只能做到基礎(chǔ)的排序?qū)W習(xí)和推薦功能，最終保障人工驗(yàn)證的效率和情報(bào)應(yīng)用覆蓋度。強(qiáng)大而靠譜的情報(bào)運(yùn)營人員和安全研究人員才是可信情報(bào)的“定海神針”。

四、總結(jié)

本文介紹了威脅情報(bào)對于企業(yè)安全運(yùn)營者的意義，相關(guān)種類，分享了情報(bào)體系建設(shè)中的關(guān)鍵問題和我們嘗試的解決方案，希望能為讀者帶來直觀的認(rèn)識，引發(fā)落地應(yīng)用的思考。

【本文是51CTO專欄作者“綠盟科技博客”的原創(chuàng)稿件，轉(zhuǎn)載請通過51CTO聯(lián)系原作者獲取授權(quán)】

戳這里，看該作者更多好文