過去十年中，網(wǎng)絡(luò)威脅情報(CTI)取得了飛速發(fā)展，其目的是通過結(jié)合計算機科學和情報學科來對抗網(wǎng)絡(luò)威脅。

由黑客組織實施的網(wǎng)絡(luò)攻擊是最常見且損失最為高昂的網(wǎng)絡(luò)安全事件，但防御端的檢測和響應卻極為遲鈍，現(xiàn)代企業(yè)檢測網(wǎng)絡(luò)入侵的平均時間為206天，而平均緩解和遏制時間則為73天。

[[340794]]

為了彌合這一差距，網(wǎng)絡(luò)安全社區(qū)創(chuàng)造了網(wǎng)絡(luò)威脅情報(CTI)的概念和方法。威脅情報的主要目標是建立相對于網(wǎng)絡(luò)威脅參與者的知識優(yōu)勢。在戰(zhàn)術(shù)和運營層面，威脅情報加快了惡意行為的早期檢測，最好是在惡意參與者在網(wǎng)絡(luò)中立足未穩(wěn)之前。在戰(zhàn)略層面，威脅情報為決策者提供了對相關(guān)威脅環(huán)境的感知和認識。實際上，威脅情報是民用和私營部門的替代品，用來代替?zhèn)鹘y(tǒng)的情報共同體(IC)開展防御性情報工作。

最初受雇于IC的許多技術(shù)專家已經(jīng)為威脅情報供應商工作，例如CrowdStrike、FireEye、Talos和Kaspersky。威脅情報界對網(wǎng)絡(luò)威脅進行公開和商業(yè)化的情報分析，憑借其深厚的技術(shù)專長和主題知識，威脅情報界在應對未來幾年的網(wǎng)絡(luò)安全威脅方面潛力巨大，頂級的威脅情報服務商某些情況下能夠達到甚至超過政府情報機構(gòu)的能力。

與看上去有些務虛的“風險管理”不同，網(wǎng)絡(luò)威脅情報更加實用，可實操，且能夠應對高度動態(tài)的環(huán)境。許多當年的殺毒軟件供應商已經(jīng)改變了業(yè)務方向，成為商業(yè)威脅情報提供商，提供有關(guān)網(wǎng)絡(luò)威脅參與者的高價值情報分析服務。如今，威脅情報在日常網(wǎng)絡(luò)安全實踐中已經(jīng)開始發(fā)揮重要作用。

近日，荷蘭政府高級網(wǎng)絡(luò)威脅情報分析師Kris Ossthoek在《國際情報與反情報雜志》上撰文指出，雖然威脅情報是網(wǎng)絡(luò)安全領(lǐng)域的重要補充，但它仍處于起步階段。威脅情報面臨的挑戰(zhàn)不僅是技術(shù)和戰(zhàn)術(shù)層面的情報質(zhì)量和情報分享問題，還包括方法論和流程問題。

Ossthoek認為，雖然今天威脅情報界已經(jīng)擁有豐富的工具和技術(shù)知識，但最初的創(chuàng)新腳步已停滯不前，缺乏標準化和方法論，產(chǎn)品或服務缺乏流程，是威脅情報融入網(wǎng)絡(luò)安全防御體系的最大挑戰(zhàn)。

以下，是Oosthoek在論文中指出的威脅情報面臨的六大難題，概括整理如下：

1. CTI缺乏方法論

Sherman Kent的《分析學》，Richards Heuer的《情報分析心理學》和《結(jié)構(gòu)化分析技術(shù)》。許多網(wǎng)絡(luò)安全會議的演講者都會提及這些著作和術(shù)語來讓威脅情報看上有著嚴謹?shù)睦碚摶A(chǔ)和科學嚴謹性。但事實上威脅情報大多數(shù)內(nèi)容都是建立在松散的概念之上，并不具備嚴格的分析能力。如今，大多數(shù)威脅情報分析都是由警報和傳入的原始數(shù)據(jù)而不是預先確定的假設(shè)進行輸入驅(qū)動的。缺乏方法論導致企業(yè)難以分析每天大量產(chǎn)生的IoC數(shù)據(jù)點與特定威脅環(huán)境的相關(guān)性。另一方面，缺少(基于方法論的)流程會導致威脅情報分析癱瘓，尤其是在較小的團隊中。盡管計算機科學領(lǐng)域已經(jīng)提供了幾種支持數(shù)據(jù)預處理的機器學習算法，但將隱性知識轉(zhuǎn)換為算法可能在未來幾年仍將是一個尚未解決的挑戰(zhàn)。解決之道在于引入流程，而不是更多的技術(shù)。

2. 威脅情報是共享的，但只是口頭上的

珍珠港事件和911事件都是IC情報共享的最佳反面教材。由于交通燈協(xié)議(TLP)的限制，CTI的共享更加復雜。TLP使用交通信號燈顏色指示是否可以跨信任邊界(組織、信息共享和分析中心[ISAC])共享信息。紅色限制只向直接參與者分發(fā)，而綠色限制向社區(qū)公開。白色表示共享不受限制。但是灰色區(qū)域(Amber)則模棱兩可：只能在您的組織內(nèi)共享，而特定約束可以由源機構(gòu)指定。此外，TLP僅適用于人與人之間的共享，不適用于基于計算機的威脅數(shù)據(jù)共享，后者依賴機器與機器共享的正式標準，例如結(jié)構(gòu)化威脅信息表達。但是，大多數(shù)威脅情報數(shù)據(jù)仍以非結(jié)構(gòu)化方式共享。

ISAC(信息分享與分析中心)促進了各個行業(yè)和企業(yè)之間的信息共享。ISAC可以成為免費交換優(yōu)質(zhì)CTI的良好來源。但是，ISAC的成功往往只能維持最初的階段，因為分享的意愿取決于ISAC的規(guī)模。一旦有其他參與者進入ISAC，共享效率就趨于下降，因為參與者不希望有免費服務。如前所述，這不是技術(shù)問題，而是信任問題。

3. 威脅情報質(zhì)量通常很差

威脅情報數(shù)據(jù)的種類很多，最常見的形式是IoC失陷指標，包含與惡意活動相關(guān)的信息，例如IP地址、域名或文件哈希等，其中用作識別惡意文件的指紋的文件哈希是IoC共享最多的數(shù)據(jù)類型，但價值“保鮮期”很短，因為惡意軟件發(fā)展極快。嚴格來說，IoC本身不具有情報價值，因為它們需要與網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)日志記錄上下文相關(guān)聯(lián)。一個普通的中型組織的IT系統(tǒng)每天會產(chǎn)生數(shù)百萬條系統(tǒng)消息，其中只有極少數(shù)是由人類分析人員調(diào)查的。基于IoC的檢測可以促進基于風險的優(yōu)先級，但這取決于IoC的質(zhì)量。如果產(chǎn)生太多的誤報，將導致分析人員的告警疲勞。

當前，大多數(shù)威脅情報共享發(fā)生在痛苦金字塔的底部。完整的TTP很難以機器可讀的方式共享。MITRE ATT&CK框架是朝著正確方向邁出的第一步，但作為一個專業(yè)領(lǐng)域，威脅情報仍然需要朝著標準化邁進一大步。由于需求大于供應， 當下許多防御者攝取盡可能多的情報數(shù)據(jù)，從而產(chǎn)生了信噪比問題。正式的CTI方法論的引入將有助于提高威脅情報的質(zhì)量。

4. 威脅情報供應商的不透明

威脅情報市場的“水很深”，您知道如何對供應商的威脅情報質(zhì)量進行評估?他們的原始情報是如何獲得的?他們的傳感器如何分布，是否存在偏差?

到目前為止，大多數(shù)組織都是威脅數(shù)據(jù)的“消費者”而不是“客戶”，它們對情報數(shù)據(jù)提供者的方法不僅未知，而且對它的來源也一無所知。

由于缺乏研發(fā)資源，商業(yè)威脅情報提供者經(jīng)常將其CTI數(shù)據(jù)外包給競爭對手。網(wǎng)絡(luò)威脅聯(lián)盟就是一個眾所周知的例子，通過該聯(lián)盟，25個成員組織每月共享400萬個可觀察物。商業(yè)威脅情報提供者結(jié)成聯(lián)盟可能導致某些威脅的報告出現(xiàn)重疊，而免費提供的開源威脅情報在很大程度上沒有這種問題。對于許多從業(yè)者來說，這種重疊是未知的，并且由于商業(yè)情報的高價位，在實踐中很難識別。

5. CTI過于偏頗

從商業(yè)角度來看，情報供應商喜歡專注于大型國家行為者，與低級別的網(wǎng)絡(luò)犯罪行為者相比，實際上國家黑客對企業(yè)和個人的威脅往往被夸大了。威脅供應商報告的大部分內(nèi)容都集中在國家黑客這種吸引眼球但實際威脅很小的子集上，這些威脅可以增加閱讀的趣味性，但與我們的大多數(shù)日常威脅情報實踐并不十分相關(guān)。

6. CTI歸屬很難

出于營銷目的，全球主要威脅情報提供商熱衷于為各個威脅組織起各種炫酷的名字。結(jié)果同一個黑客組織被冠以五花八門的名字，給歸因帶來極大麻煩。例如，同一個俄羅斯一個軍事情報組織被不同威脅情報提供商起了十多個名字：花式熊、APT-28、Sofacy、STRONTIUM、Sednit、沙皇團隊、燕尾、典當風暴、TG-4127、灰熊草原等等。由于威脅情報界不存在通用的命名約定，導致兩個問題，首先，實際存在的威脅數(shù)量在很大程度上被高估了。其次，缺少命名約定會使情報共享變得復雜。同一黑客組織的每個不同名稱都是一個額外的數(shù)據(jù)點，使推理復雜化，還會增加信噪比。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文