威胁情报，突出重围的引航者

楔子：“网络空间安全领域最惨痛的战役，是战役已经结束了，我们甚至都不曾察觉战役曾经发生过。”

一、网络安全防御思路的转变

1. 引言

防火墙、IDS、网络防病毒软件，已经成为企业信息安全的基本配置，也是等级保护的入门配置，同时常被人们形象的称为是网络安全的“三剑客”。很多企业在此基础上，还选配了各种其他软、硬件，它们有WAF、UTM、防毒墙、安全准入系统、备份系统、堡垒机、网闸等，不一而足。然而，在层层保护下，企业被成功入侵或攻击的事件仍不绝于耳。甚至，有些企业已经被成功入侵，数据已经泄漏，而企业无丝毫察觉，直到这些数据在网络上被明码标价出售后才恍然大悟，而时间已经过去数月，甚至数年，泄漏的数据也已经被黑色产业链利用了数轮。很显然，传统的信息安全模式已经无法满足当前网络空间的安全目标需求了。

2. 网络空间安全目标

网络空间安全的目标到底是什么？通常认为网络空间安全，亦即信息安全的目标包含以下3种：

效果目标：效果目标可以理解为企业在遭受入侵后，期望的结果，例如：遭受DDoS攻击时有足够的能力进行拦截，不影响业务的正常进行或者对业务影响极小；遭受勒索病毒攻击时，能够自己在预期时间内恢复，而不用向攻击者交保护费；数据被盗时处于加密状态，偷盗者无法阅读或者在预期时间内无法阅读。效果目标通常可以使用损失来描述和计量，对效果目标的评估可以使用BIA（业务影响分析）过程来获得。
效率目标：信息安全界普遍认为100%的安全是没有的，那么防护能力需要达到怎样的程度才可以满足，在这个x%中的x谁可以说的清楚？或许我们可以用n个9（例如：99%即4个9）来描述可用性，但99.99%机密性又该如何进行计算？企业需要合理定义其效率目标，包括对CIA（机密性、完整性、可用性）三个维度的分解和独立评估。效率目标往往体现一个企业管理层的风险偏好。通常情况下，风险中立的企业则会采用ROI来评估其效率目标。
时间目标：多久可以发现攻击？多久可以投入力量进行拦截？被成功攻击后，多久可以快速恢复？时间目标不是一个简单的数字存在，它需要企业扎扎实实的信息安全处置能力，每缩短1分钟都是千锤百炼的结果。时间目标体现为企业响应能力的均衡，在预防、保护、追溯等网络安全事务上对资源的安排、均衡和调度直接影响企业的网络空间安全时间目标。

3. 转变：“知彼”，让战场透明

孙子兵法提出“知己知彼，百战不殆”。传统的网络安全建立在纵深防御的方法论基础上，随着SIEM和SOC的运用，可谓在“知己”上尽其所能。同时，部分防护工具从基于规则的防护手段转为基于行为的防护，在“知彼”上也有所建树。然而，防护方在知彼上仍有很大的提高空间。如同“马奇诺”防线之于“闪电战”一样，战役的规则不是防守方制定的，而是攻击一方制定的，防守方往往难以在短时间内转换其防御方法，相对的攻击方则可以利用广泛的手段研究防守方的弱点，从而实现一击即中，收获丰厚。

那么，网络空间安全的防护策略和框架该何去何从？简单而言，就是加强“知彼”。如何“知彼”？回答是：利用威胁情报，完成从纵深防御的安全框架到威胁情报导向的安全防御框架，最终实现从被动防御到主动防御的模式转换。

二、认识威胁情报

1. 威胁情报是什么？

关于威胁情报是什么，我们可以引用Gartner做出的定义：“威胁情报是基于证据的知识，包括场景、机制、指标、含义和可操作的建议。这些知识是关于现存的、或者是即将出现的针对资产的威胁或危险的，可为主体响应相关威胁或危险提供决策信息。”在此需要注意的是，安全安全情报是威胁情报的延申，其关注点从威胁本身延展到与威胁相关的完全网络安全领域。

2. 为什么威胁情报能够加强“知彼”？

威胁情报通过对威胁的主体、客体、行为、工具等进行分解，提供事前、事中、事后可用的关键安全信息，实现“知彼”。包括：

攻击方特征：主要包括工具指纹与手法特点等。专业网络安全情报服务商所提供的安全情报，包括攻击方所采用的威胁工具指纹、攻击手法特点等情报。通过将攻击方的特征注入专业的检测设备（例如：支持DFI/DPI的网络流量检测设备），及时识别和发现潜在的风险，从而针对性进行漏洞防护，包括漏洞修补或者补偿性控制措施（防火墙、IPS等防御性设备的规则优化），达到防护目的。

防御方特征：主要包括防御方的工具和手法特点，通过广泛的与资产相关的漏洞、弱点（例如：防火墙规则）等情报，及时做出防御调整，例如：企业通常不会部署两套或以上防病毒软件，而各家防病毒软件在实践中对于新生攻击则反应速度各异，通过恶意软件情报则可以基于补偿性控制增加防护层次，等待厂商响应。

威慑类：安全情报中包括溯源情报，这类情报可以帮助企业或执法机构追溯攻击的源头，从而对攻击者做出响应的追责性响应，其结果必然对攻击者形成威慑力。

防御类：防御类情报是安全情报最重要的一类应用，同时和其他类情报并不冲突，亦即同一情报可以归属于多个应用类别。防御类情报是检测、防御形成闭环的基础，无论是外部情报源还是内部情报源，所产生的防御类情报均可以为各类防护性设备（例如：防火墙、WAF、IPS等）所使用，同时防护性设备也会在工作中自产情报，形成情报生产、分析、利用的闭环。

反制类：部分情报可以被用来对攻击方进行反制，例如：仿冒的网站、仿冒的APP、钓鱼网站等。可以成为反制类情报。情报服务商可以通过对全网监测提供以上情报，并结合合法途径，对其进行关停，从而打击攻击方。

“知彼”能力，加强了企业在网络安全方面的预防能力、保护能力和追责能力。

3. 威胁情报的分类和用途

从企业运用来讲，威胁情报可以分为战略类威胁情报、战术类威胁情报、操作威胁类情报。

战略类威胁情报，是企业信息安全战略输入的因素之一，帮助企业判断攻击方的兴趣点、攻击方的来源等。战略类威胁情报通常带有行业特点，即同一行业的战略威胁情报高度相似，企业的高级管理人员关注战略类威胁情报。

战术类威胁情报，是企业制定网络安全策略和管理流程、规划和部署网络安全技术的输入，战术类威胁情报的运用是企业网络安全战略的体现，同时由于管理、技术观点的差异，即使是在同一行业内，各企业间对战术类威胁情报的运用也体现出一定的差异。

操作类威胁情报，是网络安全人员常用的情报，操作类威胁情报包括各种技术运用、攻击方的具体特征等，可以帮助网络安全人员在遭遇到攻击行为时，能够迅速运用该类情报与之对抗，从而实现对攻击的拦截、记录等操作行为。

4. 威胁情报地图

威胁情报的运用关键是“知己知彼”，那么如何做到“知己知彼”呢？我们可以沿着“知己”到“知彼”的路径前进。

首先，“知己”最重要的一步是梳理信息资产，识别企业的核心信息资产，从而加以保护。

其次，是在识别信息资产的基础上，识别信息资产保护机制的脆弱性。信息资产的脆弱性决定了保护的程度，如同体弱的人更容易生病是一个道理。

然后，是采集企业各种资产，包括网络安全资产的运行日志，并进行分析。这一步即是企业信息资产的“持续性体检”。

到上一步止，是企业“知己”的过程，即内部情报生产过程。

接下来，企业可以通过服务商引进外部威胁情报，形成“知彼”的过程。

企业在选择威胁情报时，应当高度关注相关性。举例而言：某企业部署未部署手机应用，针对Android/IOS的攻击对其而言并不发生实际效用。

最后，是情报的整合运用，将内部产生的情报和外部资源引入的威胁情报加以复合运用，包括对预防、保护、追责能力的加强。

5. 威胁情报的运用

根据情报产生的途径和数据特征，企业在运用威胁情报时，需要注意内部情报加上外部情报将是一个巨量的数据集合。因此企业需要以下能力：

威胁情报思维导向的能力：在基于威胁情报导向的安全防御框架下，快速响应将是常态，思维方式和运营方式的转变，将对企业的网络安全组织全部成员提出新的挑战。

大数据应用能力：巨量的数据对企业将会提出新的要求，数据的存储、传输、计算和使用，都将会对此前的基础架构提出挑战。大数据运用能力将会是企业网络安全的必备能力之一。

安全数据治理能力：运用威胁情报除了引入了外部情报源外，还将涉及到各种设备产生的数据，这些数据和企业业务数据的治理在方法论上互通，然而专业领域却截然不同。整合这些数据，将会对企业的数据治理能力提出挑战。

安全技术集成能力：仅仅获得了情报是不够的，应用这些数情报将涉及广泛的安全产品，他们很可能来自不同的厂商。因此，企业在构建安全情报中心时，还应当考虑到闭环运行的因素。

在认识了威胁情报后，接下来让我们看一下威胁情报的关键点，作为增强型数据的分析的核心位置。

三、威胁情报的C位

1. 什么是威胁情报的c位？

对于c位的概念，一般的理解是核心位置、中心位置，或者非常醒目的位置。所谓威胁情报的c位，也就是关于威胁情报最应该被关注的焦点。

2. 为什么要寻找威胁情报的c位？

寻找威胁情报的c位，即寻找威胁情报分析的切入点，使得威胁情报的分析更加有效。
寻找威胁情报的c位，可以使组织机构有限的资源投入更加聚焦。
找出威胁情报的c位，可以有针对性的对威胁情报分析方法进行标准化。在当前威胁情报分析人员极其短缺的情形下（少数分析人员所具有的天分则另当别论），采用标准化的方法，快速培养标准化的威胁情报团队是必经之路，以提高威胁情报应用的成熟度。

3. 从什么模型中寻找？

谈起威胁威胁情报的c位，我们有很多威胁情报的模型可以参考。介于关于威胁情报的国标已经正式发布，那么就让我们从国标来入手。GB/T36643-2018《信息安全技术网络安全威胁信息表达模型》（以下简称GBT36643-2018）定义了三个领域8个组件。如下图所示：

然而GBT36643-2018中并未明确指出模型中的c位。所以寻找威胁情报的c位需要我们自己去做。

4. 如何寻找威胁情报的c位？

笔者认为寻找威胁情报的c位可以采用最短路径法进行，具体规则如下：

直接相邻则路径值为0
最短路径每经过1个节点，路径值+1
总路径值路最小者为中心
当最小总路径值有多个时，可视为多中心

按照以上规则，可以得到如下表格：

	威胁主体	攻击目标	攻击方法	应对措施	攻击活动	安全事件	攻击指标	可观测数据	总路径值
威胁主体	NA	1	0	2	0	0	1	2	6
攻击目标	1	NA	0	0	1	1	1	2	5
攻击方法	0	0	NA	1	0	0	0	1	2
应对措施	2	0	1	NA	1	0	1	2	6
攻击活动	0	1	0	1	NA	0	1	2	5
安全事件	0	1	0	0	0	NA	0	1	2
攻击指标	1	1	0	1	1	0	NA	0	4
可观测数据	2	2	1	2	2	1	0	NA	10

从表格中我们可以看出，安全事件和攻击方法到达其他对象的总路径值均为2，威胁信息表达模型是个双中心的模型，也就是c位有两个：安全事件和攻击方法。

从威胁情报的战略、战术和运营层级划分来看，这两者均处于战术层。这个分析结果不仅仅适用于威胁情报，它同时也揭示了信息安全的另一个层面：战术层是信息安全资源投入最密集的层面。这和一般组织机构在信息安全上实际情况也非常匹配，即真正发生高等级信息安全事件的情形虽然非常少，但组织机构的信息安全部署却一直在为这一刻而时刻准备着。

四、决策-隐藏关卡

1. 威胁情报环

威胁情报作为情报的一类，具有情报生命周期的典型特征，即从情报规划，到情报收集、情报处理与分析、情报分发，回到情报规划，形成一个闭环。通常如下：

威胁情报规划
1. 制定目标：可采用SMART原则。
2. 制定策略：指导威胁情报的收集、处理、分析、分发等活动。
威胁情报收集
1. 主动收集技术：主动式收集通常可以被其他主体所观察到，例如采用扫描的方式侦察攻击者的网站是否存活，攻击者可以通过监听网络发现该情报收集。
2. 被动收集技术：被动式收集通常可以在不被攻击者发现的前提下收集信息，例如蜜罐，需要注意的是不同类型的蜜罐可能被察觉的时效是不同的，同时蜜罐可能带来额外的风险。

被动收集的另一个典型案例是VT，通过提供检测恶意代码服务，或吸引攻击者提交恶意代码检测其免杀能力，收集大量的恶意代码从而进行进一步分析。VT以其独特的代码分析能力成为该行业中的翘楚。

威胁情报处理
1. 清除噪音：通常需要关联分析和聚类分析等大数据手段。
2. 解密与转换：对原始信息进行解密处理或者格式转换，以便分析人员使用。
威胁情报分析

情境设定与分析。

分发

TLP：红绿灯协议，用于决定谁可以共享情报的规则。

新的威胁情报规划：可采用PDCA方法进行闭环修正。

2. 隐藏关卡

让我们回顾一下最被广泛接受的一个威胁情报定义，即Gartner的定义““威胁情报是基于证据的知识，包括场景、机制、指标、含义和可操作的建议。这些知识是关于现存的、或者是即将出现的针对资产的威胁或危险的，可为主体响应相关威胁或危险提供决策信息。” 原文为“Threat intelligence is evidence-based knowledge, including context, mechanisms, indicators, implications and actionable advice, about an existing or emerging menace or hazard to assets that can be used to inform decisions regarding the subject’s response to that menace or hazard.”

我们注意到上文中在定义威胁情报时提到“提供决策信息”，在威胁情报生命周期中，威胁情报在分发后，回到了情报规划，这中间发生了什么，为什么要回到情报规划？关键词在“决策”二字。

威胁情报被应用于决策，并付诸行动从而产生结果和反馈，该反馈带有行动结果和预期结果的差异，这个差异即是威胁情报价值的评价，并产生新的威胁情报需求，用以修正前一期威胁情报的偏差，或者提供补充。隐藏关卡就是：决策、行动、评价与反馈

决策：决定牵制的时机、手段，是否反击等。
行动：根据决策执行响应的牵制活动。例如激活防火墙规则对恶意IP地址进行拦截；将恶意IP地址信息导入IDS进行持续观察等。行动应基于有计划的预案。同时，行动也是PDCA重点对象之一。
评价与反馈：根据牵制活动的实际效果进行评价，并反馈到威胁情报组织。

3. 分析示例

我们以金融业常见的威胁案例来说明威胁情报的各个阶段，以及隐藏关卡：

案例背景（背景知识参见：https://xz.aliyun.com/t/2037）-在金融行业，最常见的一个攻击即是钓鱼网站，面对钓鱼网站的威胁，带来潜在的客户损失从而进一步造成企业声誉下降，企业需要进行必要的响应。

威胁情报规划

基于钓鱼网站对企业的危害程度，决定对钓鱼网站发现、处置的投资，以及发现时效性需求（通常是最重要的SLA之一）等。

威胁情报收集

利用爬虫技术监测网页变动，监测域名注册是否有相近域名出现，等等。

威胁情报处理

对相似域名进行网页自动化识别，需要使用到自然语言处理（NLP）、图片自动化比较等大数据技术。并对自动化报出的高相似网站进行人工判读。

威胁情报分析

在该阶段，企业需要研究钓鱼网站实施者的意图，例如：恶作剧；技术学习；经济利益等等，不一而足。

在该阶段，企业需要研究钓鱼网站实施者能力，例如：当被关停后，攻击者还会出现在哪里，需要多少时间发布一个或多个新的钓鱼网站。

分发

将钓鱼网站情报分发到相应团队。

隐藏关卡：决策、行动与反馈

针对钓鱼网站，无论攻击者意图如何，由于钓鱼网站即使未造成有形的经济损失，其对企业声誉即无形资产也会造成损失，因此最终都应当将其关停。而关停的时机则可以根据实际情况做出不同决策。

新的威胁情报规划

通过对以上环节进行总结，修正疑似钓鱼网站发现能力、处理和分析能力。

通过示例，我们可以看见威胁情报生命周期中的隐藏环节，而这一环节恰恰是威胁情报的价值体现。决策和行动，才是威胁情报生命之花的焦点。如果无法将“知”用于“行”，那么“知”也就是失去了价值和意义。

五、分发与分享

威胁情报需要通过分发才能实现其价值，通过分享实现增值。我们如何进行分发和分享的管理呢？

1. 网络威胁情报分享现状

在信息时代，企业和组织面临越来越高的网络安全风险，各种网络防护策略和技术也随着风险的增加而不断被创造出来或者改进，以抵御被入侵的可能性。威胁情报的应用即是这些新的网络防护方案之一，是“知己知彼”的典型应用。威胁情报方案的出现，为企业应对网络威胁注入了一股新鲜血液，应用企业和组织在防护、响应外部威胁能力上获得了明显的提高。然而，当前企业对网络威胁情报的应用模式一般是厂商+威胁情报商+纵深防御的组合，即仍然是单个企业与外部威胁作斗争，虽然也有企业间或行业内联合共防的案例，但规模相对较小，且处于探索阶段，系统机制有待提高。

在很多国家存在着跨行业的威胁情报组织，CERT就是这样的组织结构，例如：US-CERT、CN-CERT等。由于CERT的跨行业特性，其分享的网络威胁情报具有一定的普适性，从而在针对特定行业的网络威胁情报上不够丰富和细致。由此，在网络威胁情报分享较为领先的地区出现了基于行业的ISAC（情报分享和分析中心）组织，为网络安全防护带来了新的思路。

2. 威胁情报分享的驱动力

PEST分析常用于宏观环境分析，PEST是political, economic, socio-cultural and technological的缩写，指的是指政治、经济、社会和技术（见下图）。

我们可以从驱动力（经济效益）、技术可行性（技术环境）、文化（行业、社会文化环境）、政策（政治基础）层面进行逐一分析。

E：经济效益

行业威胁情报分享的驱动力在于其产生的经济效益。如果我们不确定行业内的威胁情报是否得到充分、有效的分享，假设行业内的企业具有高度一致性，那么对于任何企业而言，其受到特定攻击的概率是随机的，但如果考虑到威胁者针对特定目标的攻击可能是先易后难，存在练习和积累经验的过程，那么防护能力弱的企业更容易被攻击。如果假设情报可以得到充分、有效的分享，我们将会看到行业内任一企业受到攻击时，其他企业均能获得告警，从而进行早期针对性防护，降低行业损失，同时目标企业可能得以避免失陷的可能性，而这种可能性对于行业内的任何企业而言，理论上是机会均等的。

T：技术环境

威胁情报分享需要技术环境。在行业内，IT更可能采用相同或相似的技术架构，包括硬件和软件架构，从而“一荣俱荣、一损俱损”的可能性更高，因此威胁情报存在广泛的技术基础。

目前，威胁情报表达、交换的标准已经被广泛使用，威胁情报的共享有着良好的技术基础，市场上也存在提供分享、管理威胁情报的专业厂商，为威胁情报分享提供了快速部署的可能性。

S：社会文化基础

不同的行业有不同的分享文化基础，例如：是否具有行业协会，行业中是否有“领头羊”来组织大家进行分享，各个企业分享的意愿，是不尽相同的，因此，要进行威胁情报分享，需要建立一个“分享文化”的氛围，鼓励分享行为，并进行适当的激励以促进企业共享的意愿。

P：政治环境

企业可能存在于弱监管到强监管的不同阶段，例如：金融业网络安全一般具有强监管的特征，其监管单位针对行业网络安全制定了更高的标准，同时也具有对分享的内容范围进行干预的责任和能力，而制造业的IT和金融业的监管要求相比则要弱一些，因此分享可能更多的需要行业的“领头羊”。

3. 应用红绿灯协议

红绿灯协议（TLP）是一组确保敏感信息和合适受众共享的标记。TLP借鉴了交通灯信号，以红、黄、绿、白四种颜色来指示接收者对应信息的预期共享边界，每条信息对应的颜色一般会以标签形式随信息传输。

红色：对应的信息内容只允许定向共享和传递至指定的唯一用户，且该用户不应对外再次共享该信息。
黄色：对应的信息内容允许向平台和体系内指定的用户组共享和传递，且允许在该用户组内部进行共享，但不应对用户组之外的对象再次共享。
绿色：对应的信息内容允许向平台和体系内的所有用户共享和传递，并且允许用户再次向更广泛的关联平台或组织共享。
白色：对应的信息内容在共享和传递上不受任何限制，对所有人或组织完全开放。

4. 红绿灯协议应用示例

某行业经过价值分析和红绿灯协议分析，制定了如下的行业规则，进行网络威胁情报分享。

红色：

企业特有资产信息，仅由企业内部使用，避免被攻击者获得用于攻击
企业资产漏洞，仅由企业内部使用，避免被攻击者获得用于攻击

黄色：

行业应用软件同质化，分享漏洞信息有助于行业软件提升
针对行业的恶意威胁源信息，有利于行业内建立共同的防御机制

绿色：

通用恶意软件信息，可协助消除传播源，降低被攻击风险
针对行业的恶意威胁源信息，有利于行业内建立共同的防御机制

白色：

公开的僵尸网络信息，可协助消除传播源，降低被攻击风险
公开的恶意软件信息，可协助消除传播源，降低被攻击风险
公开漏洞信息，可协助消除传播源，降低被攻击风险

六、走向成熟应用

威胁情报自出现以来，已经被越来越多的企业所采用，那么企业的威胁情报能力如何评估呢？相信不少应用了威胁情报的企业也想知道自己的现状，以便指定恰当的目标。

从应用能力看，企业对威胁情报的应用分为消费级、融合级、聚合级、优化级和自适应级。以下让我们分别来看一下处于各个级别的企业具有的特征。

1. 消费级

处于消费级的企业购买商业威胁情报，将商业威胁情报应用于威胁发现设备（IDS）、威胁阻断设备（防火墙、WAF）或威胁发现与阻断的组合应用（恶意软件查杀工具，利用HASH类数据），处于该阶段的威胁情报应用特征是用于设备集成。由于这类设备通常对效率有较强的要求，因此采用威胁情报的数量不能太多，否则将会带来设备的性能下降从而影响用户体验。对处于该阶段的用户建议是采用高信誉值、高更新率的威胁情报源。

2. 融合级

处于该阶段的用户，能够将威胁情报与企业实况相结合，是做到“知己知彼”的起点。例如：企业能够对信息资产以及信息资产的弱点（漏洞、弱配置）进行发现，结合外部威胁（基于POC的漏洞情报）。处于融合级的企业特征是加入自有情报，使得威胁情报的应用更加丰富和灵活。处于融合级的企业通常已经部署SOC/SEIM，或者是态势感知系统，他们能够对网络安全进行高质量的管理。处于融合级的企业，通常对威胁情报的数量也比较关注，他们认为即使是低信誉值的情报，也能够为网络安全分析与决策带来价值。

3. 聚合级

处于这一级别的企业能够对引入的多源商业情报进行聚合，并具有情报质量分析和管理能力，对请情报源进行综合质量评估。由于聚合级引入的是多个高质量威胁情报源，因此对威胁情报的分析能力要求处于相对较初级阶段。处于聚合级的企业特征是对网络安全高度重视，他们认为威胁的潜在存在是难以接受的。

4. 优化级

处于这一级别的企业，不仅能够对优质的多源情报进行聚合，同事具备开源情报进行的收集、分析和应用能力，由于开源情报中存在的噪音数据远高于商业情报，因此处于优化级威胁情报能力的企业必须能够有效消除噪音，降低误判，尤其是漏判的概率。处于优化级的企业特征是具有优良的情报分析团队。

5. 自适应级

处于这一级别的企业，其威胁情报应用能力可以做到自动化闭环应用，即威胁情报质量高度可信，可以与安全设备互动，形成无需人工干涉的情报生产、情报消费的闭环，情报生产到消费的时间周期大大缩短。处于这一阶段的威胁情报特征是闭环、低干涉、低延时、高质量。

纵然威胁情报的消费级、融合级、聚合级、优化级和自适应级，每一级能力都有所上升，然而笔者认为企业在实践应用中，选择适合自己的等级目标尤为重要，这可以让企业在预期的费效比上构建自己的威胁情报能力，是为“量体裁衣”。

七、结语

“网络空间安全领域最惨痛的战役，是战役已经结束了，我们甚至都不曾察觉战役曾经发生过。”威胁情报带来的“知彼”能力，让我们可以重新定义网络安全防御框架，让网络安全从此拥有引航者，进而向主动式安全进化。