01 什么是威脅情報

　　網(wǎng)絡(luò)空間的安全對抗日趨激烈，傳統(tǒng)的安全技術(shù)不能全面滿足安全防護(hù)的需要。當(dāng)前,，安全業(yè)界普遍認(rèn)同的一個理念是：僅僅防御是不夠的,，更需要持續(xù)地檢測與響應(yīng)。然而要做到持續(xù)有效的檢測與快速的響應(yīng),，安全漏洞,、安全情報必不可少。

　　2013年,，Gartner 首次提出關(guān)于威脅情報的定義：威脅情報是關(guān)于現(xiàn)有或即將出現(xiàn)的針對資產(chǎn)有威脅的知識,，包括場景、機(jī)制,、指標(biāo),、啟示和可操作建議等，且這些知識可為主體提供威脅的應(yīng)對策略,。簡單來講,，威脅情報就是通過各種來源獲取環(huán)境所面臨的威脅的相關(guān)知識，主要描述現(xiàn)存的,、即將出現(xiàn)的針對資產(chǎn)的威脅或危險,。Forrester 認(rèn)為威脅情報是針對內(nèi)部和外部威脅源的動機(jī)、意圖和能力的詳細(xì)敘述,，可以幫助企業(yè)和組織快速了解到敵對方對自己的威脅信息,，從而幫助提前威脅防范、攻擊檢測與響應(yīng),、事后攻擊溯源等能力,。

　　威脅情報顛覆了傳統(tǒng)的安全防御思路，它以威脅情報為核心,，通過多維度,、全方位的情報感知，安全合作,、協(xié)同處理的情報共享,，以及情報信息的深度挖掘與分析，幫助信息系統(tǒng)安全管理人員及時了解系統(tǒng)的安全態(tài)勢,，并對威脅動向做出合理的預(yù)判,，從而將傳統(tǒng)的“被動防御”轉(zhuǎn)變?yōu)榉e極的“主動防御”，提高信息系統(tǒng)的安全應(yīng)急響應(yīng)能力,。如果說了解漏洞信息是“知己”,，那么掌握安全威脅則是“知彼”,。

　　02 威脅情報的用途

　　1. 安全模式突破和完善

　　基于威脅情報的防御思路是以威脅為中心的，因此,，需要對關(guān)鍵設(shè)施面臨的威脅做全面的了解,，建立一種新型高效的安全防御體系。這樣的安全防御體系往往需要安全人員對攻擊戰(zhàn)術(shù),、方法和行為模式等有深入的理解,，全面了解潛在的安全風(fēng)險，并做到有的放矢,。

　　2. 應(yīng)急檢測和主動防御

　　基于威脅情報數(shù)據(jù),，可以不斷創(chuàng)建惡意代碼或行為特征的簽名，或者生成NFT（網(wǎng)絡(luò)取證工具）,、SIEM/SOC（安全信息與事件管理/安全管理中心）,、ETDR（終端威脅檢測及響應(yīng)）等產(chǎn)品的規(guī)則，實(shí)現(xiàn)對攻擊的應(yīng)急檢測,。如果威脅情報是 IP,、域名、URL等具體上網(wǎng)屬性信息,，則還可應(yīng)用于各類在線安全設(shè)備對既有攻擊進(jìn)行實(shí)時的阻截與防御,。

　　3. 安全分析和事件響應(yīng)

　　安全威脅情報可以讓安全分析和事件響應(yīng)工作處理變得更簡單、更高效,。例如,，可依賴威脅情報區(qū)分不同類型的攻擊，識別出潛在的APT高危級別攻擊,，從而實(shí)現(xiàn)對攻擊的及時響應(yīng),；可利用威脅情報預(yù)測既有的攻擊線索可能造成的惡意行為，從而實(shí)現(xiàn)對攻擊范圍的快速劃定,；可建立威脅情報的檢索,，從而實(shí)現(xiàn)對安全線索的精準(zhǔn)挖掘。

　　03 威脅情報的發(fā)展

　　以威脅情報為中心的信息安全保障框架對于生活和生產(chǎn)關(guān)鍵基礎(chǔ)設(shè)施的穩(wěn)定運(yùn)行,、軍事作戰(zhàn)指揮能力保障及國際社會的和平穩(wěn)定具有重大意義,，它受到了來自各國政府、學(xué)術(shù)界以及全球大型互聯(lián)網(wǎng)企業(yè)的高度重視,。近幾年,，威脅情報行業(yè)增長迅速，如 CrowdStrike,、Flashpoint,、iSight Partners等威脅情報廠商通過建立的威脅情報中心可從網(wǎng)絡(luò)犯罪、信譽(yù)庫、漏洞,、惡意軟件等多個角度滿足不同用戶的特定需求,。

　　隨著網(wǎng)絡(luò)安全態(tài)勢日趨復(fù)雜化，威脅情報的研究越顯重要,。參與威脅情報感知,、共享和分析的各方結(jié)合自身業(yè)務(wù)流程與安全需求，針對核心資產(chǎn)增強(qiáng)威脅情報感知能力,，積極融合云計(jì)算,、大數(shù)據(jù)等前沿技術(shù)，建立威脅情報深度分析系統(tǒng),，在深度挖掘與關(guān)聯(lián)融合的基礎(chǔ)上做好安全態(tài)勢評估及風(fēng)險預(yù)警,，動態(tài)調(diào)整安全策略，部署快速可行的安全響應(yīng)戰(zhàn)術(shù),，確保關(guān)鍵資產(chǎn)的信息安全。

　　威脅情報要發(fā)揮價值,，一個關(guān)鍵問題在于實(shí)現(xiàn)情報信息的共享,。只有建立起一套威脅情報共享的機(jī)制，讓有價值的威脅情報有效流通,，才能真正建立起威脅情報的生態(tài)系統(tǒng),。當(dāng)然，威脅情報的生態(tài)系統(tǒng)包括兩個方面,，即威脅情報的生產(chǎn)和威脅情報的消費(fèi),。威脅情報的生產(chǎn)就是通過對原始數(shù)據(jù)的采集、交換,、分析,、追蹤等，產(chǎn)生和共享有價值的威脅情報信息的過程,；威脅情報的消費(fèi)則是指將監(jiān)測到的安全數(shù)據(jù)與威脅情報進(jìn)行比對,、驗(yàn)證、關(guān)聯(lián),，并利用威脅情報進(jìn)行分析的過程,。

　　因此，一個先進(jìn)的防御系統(tǒng)應(yīng)本著“和平利用,、利益均衡”的原則開展安全協(xié)同共享,，努力構(gòu)筑和諧、健康,、成熟的威脅情報生態(tài)圈,，而威脅情報的生產(chǎn)和消費(fèi)過程則可更有利構(gòu)筑一個安全情報生態(tài)系統(tǒng)的閉環(huán)。

　　04 威脅情報的數(shù)據(jù)采集

　　威脅情報是從多種渠道獲得用以保護(hù)系統(tǒng)核心資產(chǎn)的安全線索的總和，在大數(shù)據(jù)和“互聯(lián)網(wǎng)+”應(yīng)用背景下,，威脅情報的采集范疇極大擴(kuò)展,，其獲取來源、媒體形態(tài),、內(nèi)容類型也得到了極大的豐富,，如防火墻、IDS,、IPS等傳統(tǒng)安全設(shè)備產(chǎn)生的與非法接入,、未授權(quán)訪問、身份認(rèn)證,、非常規(guī)操作等事件相關(guān)的安全日志等都是威脅情報的數(shù)據(jù)來源,，還包括沙盒執(zhí)行、端點(diǎn)偵測,、深度分組檢測（DPI）,、深度流量檢測（DFI）、惡意代碼檢測,、蜜罐技術(shù)等系統(tǒng)輸出結(jié)果,，及安全服務(wù)廠商（如FireEye）、漏洞發(fā)布平臺（如 CVE）,、威脅情報專業(yè)機(jī)構(gòu)（如CERT）等提供的安全預(yù)警信息,。

　　05 威脅情報的分析方法

　　威脅情報本來只是一種客觀存在的數(shù)據(jù)形態(tài)，只有通過先進(jìn)的智能分析才能被安全防御者感知和利用,。關(guān)聯(lián)融合,、時間序列、流數(shù)據(jù)技術(shù)等可應(yīng)用于從海量的網(wǎng)絡(luò)信息中提取威脅特征,，有助于威脅情報的橫向和縱向關(guān)聯(lián)分析,；聚類分析、協(xié)同推薦,、跨界數(shù)據(jù)融合等技術(shù)可用于深度挖掘多維線索之間隱藏的內(nèi)在聯(lián)系,，進(jìn)而實(shí)現(xiàn)對系統(tǒng)的整體威脅態(tài)勢進(jìn)行行為建模與精準(zhǔn)描述。大數(shù)據(jù)分析,、深度學(xué)習(xí),、人工智能 2.0 等新技術(shù)則可用于協(xié)助構(gòu)建威脅情報的智能研判與綜合預(yù)警平臺。

　　06 威脅情報的服務(wù)平臺

　　1. IBM-X-Force

　　X-Force Exchange能夠?yàn)槿蛱峁BM及第三方威脅數(shù)據(jù)資源的訪問,，包括實(shí)時的攻擊數(shù)據(jù),。它整合了IBM的威脅研究數(shù)據(jù)和技術(shù)，包括Qradar安全情報平臺,、IBM客戶安全管理服務(wù)分析平臺,。IBM聲稱該平臺集聚了超過700 TB的原始數(shù)據(jù),，并在不斷更新。X-Force Exchange的用戶可以共享利用多種數(shù)據(jù)資源,，包括：世界上最大的漏洞目錄之一,、基于每天150億起安全事件監(jiān)控的威脅情報、來自2700萬終端網(wǎng)絡(luò)的惡意威脅情報,、基于250億網(wǎng)頁和圖片的威脅信息,、超過 800萬封垃圾郵件和釣魚攻擊的深度情報、接近 100萬惡意 IP地址的信譽(yù)數(shù)據(jù)等,。

　　X-Force 平臺還包括幫助整理和注釋內(nèi)容的工具,，以及在平臺、設(shè)備和應(yīng)用程序之間方便查詢的API庫,，允許企業(yè)處理威脅情報并采取行動,。IBM表示，該平臺還將提供對STIX和TAXII的支持,，以及自動化威脅情報共享和安全方案整合新標(biāo)準(zhǔn)的支持,。

　　2. 360威脅情報中心

　　360威脅情報基礎(chǔ)信息查詢平臺向業(yè)界開放免費(fèi)查詢服務(wù)，這是國內(nèi)首個向公眾開放的威脅情報數(shù)據(jù)查詢服務(wù)平臺,。360威脅情報基礎(chǔ)信息查詢平臺的上線標(biāo)志著國內(nèi)安全威脅情報共享進(jìn)入新階段,，所有安全廠商、政企用戶的安全研究與分析人員在經(jīng)過線上注冊審核后,，都可以免費(fèi)進(jìn)行查詢。

　　360威脅情報中心具有關(guān)聯(lián)分析和海量數(shù)據(jù)兩大特色,?；ヂ?lián)網(wǎng)安全的數(shù)據(jù)是多種多樣且相互關(guān)聯(lián)的，但依靠孤立的數(shù)據(jù)無法進(jìn)行未知威脅的分析和定性,，只有將信息關(guān)聯(lián)起來才能看清整體的威脅態(tài)勢,。平臺可以將用戶所提交的查詢信息關(guān)聯(lián)起來，協(xié)助用戶進(jìn)行線索拓展,，對安全分析工作提供有力幫助,。360 公司基于多年的互聯(lián)網(wǎng)安全大數(shù)據(jù)積累，擁有全球獨(dú)有的安全樣本庫,，總樣本量超過95億,，包括互聯(lián)網(wǎng)域名信息庫（50億條DNS解析記錄），還包括眾多第三方海量數(shù)據(jù)源,?；谇閳笾行拇髷?shù)據(jù)，可有效幫助用戶進(jìn)行多維關(guān)聯(lián)分析,，挖掘出在企業(yè)自身或組織內(nèi)部分析中無法發(fā)現(xiàn)的更多安全隱患線索,。

　　3. 阿里云盾態(tài)勢感知

　　阿里云盾態(tài)勢感知是全球唯一能感知“滲透測試”的安全威脅服務(wù)平臺,，如可以區(qū)分腳本小子和高級黑客、識別零日應(yīng)用攻擊,、捕捉高隱蔽性的入侵行為,、溯源追蹤黑客身份等。云盾平臺利用大數(shù)據(jù),，可對高級攻擊者使用的零日漏洞攻擊進(jìn)行動態(tài)防御,，如可以采用新型病毒查殺，并通過爬取互聯(lián)網(wǎng)泄露的員工信息,，實(shí)時告警,、杜絕黑客“社工”；能夠?qū)Ω鞣N潛在威脅及時識別和匯總分析,；能夠?qū)崿F(xiàn)基于行為特征的Webshell檢測,、基于沙箱的惡意病毒精確查殺等。

　　07 威脅情報的開源項(xiàng)目

　　1. 安全威脅情報共享框架OpenIOC

　　MANDIANT 公司基于多年的數(shù)字取證技術(shù)積累,，將使用多年的情報規(guī)范開源后形成OpenIOC（Open Indicator of Compromise）框架,，它是一個開放靈活的安全情報共享框架。利用OpenIOC,，重要的安全情報可以在多個組織間迅速傳遞,，極大縮短檢測到響應(yīng)的時間延遲，提升緊急安全事件響應(yīng)與安全防范的能力,。OpenIOC本身是一個記錄,、定義以及共享安全情報的格式，以機(jī)器可讀的形式實(shí)現(xiàn)不同類型威脅情報的快速共享,。OpenIOC本身是開放,、靈活的框架，因此可以方便添加新的情報,，完善威脅情報指標(biāo)IOC,。

　　OpenIOC的工作流程如下。

　?。?）獲取初始證據(jù)：根據(jù)主機(jī)或網(wǎng)絡(luò)的異常行為獲取最初的數(shù)據(jù),。

　　（2）建立IOC：分析初步獲得的數(shù)據(jù),，根據(jù)可能的技術(shù)特征建立IOC,。

　　（3）部署IOC：在企業(yè)的主機(jī)或網(wǎng)絡(luò)中部署IOC,，并執(zhí)行檢測,。

　　（4）檢測發(fā)現(xiàn)更多的可疑主機(jī),。

　?。?）IOC優(yōu)化：通過初步檢測可獲取的新證據(jù)進(jìn)行分析,，優(yōu)化已有的IOC。

　　OpenIOC推出了IOCeditor和Redline兩款工具,。IOCeditor用來建立IOC,，Redline負(fù)責(zé)將IOC部署到主機(jī)并收集信息進(jìn)行分析。

　　2. CIF

　　CIF（Collective Intelligence Framework）是一個網(wǎng)絡(luò)威脅情報管理系統(tǒng),，它結(jié)合了多個威脅情報來源獲取已知的惡意威脅信息,，如IP地址、域名和網(wǎng)址信息等,，并利用這些信息進(jìn)行事件識別,、入侵檢測和路由緩解等。

　　3. OSTrICa

　　OSTrICa 是一個免費(fèi)的開源框架,，采用基于插架的架構(gòu),。OSTrICa 自身并不依賴外部的庫，但安裝的插件需要依賴庫,。OSTrICa可以實(shí)現(xiàn)自動從公開的,、內(nèi)部的、商業(yè)的數(shù)據(jù)源中收集信息,，并可視化各種類型的威脅情報數(shù)據(jù),，最終由專家來分析收集的情報，并顯示成圖形格式,，還可基于遠(yuǎn)程連接,、文件名、mutex等,，顯示多個惡意軟件的關(guān)聯(lián)信息,。

　　4. CRITs

　　CRITs 也是一個網(wǎng)絡(luò)威脅數(shù)據(jù)庫，不僅可作為攻擊和惡意軟件庫的數(shù)據(jù)分析引擎,，還提供了惡意軟件分析能力。CRITs 采用簡單實(shí)用的層次結(jié)構(gòu)來存儲網(wǎng)絡(luò)威脅信息,，這種結(jié)構(gòu)具備分析關(guān)鍵元數(shù)據(jù)的能力,，可以發(fā)現(xiàn)未知的惡意內(nèi)容。