安全的进化论(三):小议威胁情报


近两年间,国内在威胁情报领域的发展可以用一句俗语来形容:“雷声大,雨点小”。究其缘由,大抵不外乎两个原因:卖货的厂家只谈概念,服务与产品迟迟无法落地;买单的客户没闹明白,只能继续观望。在我和许多厂家和用户的交流中,我发现讨论的焦点大多集中在以下三个焦点问题:

Ø  问题一:威胁情报该怎么理解?用户需要的威胁情报到底是什么?

Ø  问题二:威胁情报该怎么管理?情报平台在安全体系中怎么定位?

Ø  问题三:威胁情报该怎么应用?如何让威胁情报在具体场景落地?

由于篇幅限制,本文中对威胁情报的探讨,仅涉及上述问题一和三中的部分内容。至于问题二,留待后续。关于威胁情报,仁者见仁,智者见智,一家之言,仅供参考。

一、什么是威胁情报?

在百度上搜索“威胁情报”,几乎所有你能想到的国内知名安全厂商和第三方机构,都有不少对威胁情报概念的解读。此外,还有GartnerSANS对威胁情报的定义等等。然而,这些晦涩、驳杂的定义,并不能让买单的客户们真正理解威胁情报概念和所代表的技术理念。因此,正确认知威胁情报,是第一步。

众所周知,威胁情报中的“情报”一词,最初源于军事领域的“军事情报”概念,依照1989年版《辞海》的定义,“情报”即“获得的他方有关情况以及对其分析研究的成果”。因此,我们可以看到,威胁情报概念的出现,是为了获取与外部威胁相关的知识,并对之进行分析研究。在很多场合,也被通俗地解释为
“敌情”和“知彼”。这些关于外部威胁的知识,在过往大多依靠个人经验积累,非常零散,缺乏统一认识,无法做到机读,难以进行知识传递,且时效性较差。而在威胁情报概念下,通过统一的结构化描述,结合大数据分析、可视化等技术的应用,这些知识就可以进行系统性地获取、解析、分析、利用和共享。

然而,在威胁情报概念的实际落地过程中,我们会发现威胁是一个相对的概念。举个例子:一个专门攻击工控系统的木马程序,对于一家不存在任何工控系统的电商企业而言,并非一个值得关注的威胁,但对于拥有大量工控系统的能源企业而言,其威胁程度不言而喻。因此,在描述和监测一个外部威胁时,其造成危害所依赖的条件和情境,诸如所利用的漏洞、攻击手法、目标资产类型、攻击工具等要素,也被引入到威胁情报概念模型中进行统一的结构化描述,以便于使用者可以快速匹配和评估这些外部威胁是否会对自己造成影响。

因此,威胁情报概念为了更贴合实际应用落地,已经演变成一个由威胁及其相关的漏洞、资产、事件等组成的知识集合,在“敌情”和“知彼”的同时,也会关注与之相关的“我情”和“知己”。我们可以将其称为“广义威胁情报”或是“安全情报”。(备注:下文中的威胁情报和情报如无特别注明,均是指广义威胁情报)


二、价值维度:数据信息情报决策

关于威胁情报,在概念上还有极易混淆的地方:情报、数据、信息常被混为一谈。这种概念混淆出现的原因主要有三个:

一是屁股决定脑袋的产品逻辑。当许多传统厂商介入威胁情报领域时,重构自身产品逻辑和产品体系成本太高、动作太大,不如将设备告警、黑/白名单这些已有的信息/知识库当作情报来推,快速见效,多快好省。这让我想到了当年的UTM

二是知其然不知其所以然。许多厂商在推广威胁情报概念时,都喜欢用Gartner或者SANS对威胁情报那些较为晦涩的定义,再加上自己的理解,而非关注威胁情报概念提出的背景和理论逻辑框架,理解的偏差随之产生。实际关于信息与情报的概念差异,在许多与情报分析方法论相关的理论书籍中都已经有明确的解释。

三是用户对自身定位不明确。很多用户在采购威胁情报时,却把一些半成品的信息/知识也当作成品情报来采购。同时,许多用户仅把自己当作威胁情报的消费者,却没发现之所以会采购半成品的信息来进行分析,是因为自己同时也是情报的生产者。将消费外部情报和生产内部情报的场景混为一谈,自然也就模糊了情报与信息之间的概念边界。

在这里,我依照个人的理解,从价值维度和应用场景来说一说数据、信息、情报和决策之间的差异。

从价值维度而言,威胁情报可被认为是安全信息中具备较高价值和较强时效性的一个知识子集(知识本身也是信息的一个子集)。而这个价值的定义,就取决于是否能够通过有效的信息获取和分析手段,减少安全管理和攻防对抗中的不确定性因素,辅助决策,保障行动。(观点借鉴自罗伯特克拉克《情报分析:以目标为中心的方法》一书)

因此,我们可以按照价值维度,构建一个“金字塔”状的安全信息应用价值模型。


1、数据层

指的是各种未经过加工处理的原始安全数据,数据量庞大,利用难度大,应用频次极低。例如流量日志、DNS解析记录、设备原始告警、文件样本、访问记录、IP资产探测数据、主机版本识别数据等。可以说,数据就是原料。

2、信息层

指的是在基础数据基础上进行简单加工后得到的信息。由于仅仅进行了简单过滤处理,信息层的利用价值仍旧较低,准确性较低,上下文信息缺失严重,应用频次不高,且缺乏统一的信息表达格式,可读性较差,可操作性差,而且大多只具备参考价值,不太关注时效性。例如黑名单、白名单、信誉库、Whois信息、样本库、舆情通报等。信息在利用时,很多场景的出发点是“求量不求准”(有尽量多的信息就行,准不准再说)、“求有不求新”(有信息就行,时效性不太重要)。简单理解,信息的利用大多就是要在原始数据基础上找出一个可能的线索,其中最典型的应用场景就有各家情报厂商的溯源查询。可以说,信息就是半成品。

3、情报层

情报在价值维度上高于安全信息。情报拥有较为丰富的上下文信息,可以指导实际的检测和响应操作,并可进行深度的关联分析。同时,由于情报是深入分析确认的结果,其准确性高,时效性强,应用频次也较高。相比信息而言,情报不再满足于提供一个可能的线索,而是要将线索进行深度分析挖掘,将其确认为具体的威胁或事件,并直接指导针对这些威胁或事件的具体决策和行动。因此,情报在应用时更强调“求准不求多”(可以不多,但一定要准确,否则行动和决策极易出现失误)、“求快也求全”(快速的分析确认和快速的知识传递,并要有尽量丰富的上下文来指导决策和行动)。可以说,情报就是成品。

而按照应用领域和应用深度的不同,威胁情报可分为机读情报(MRTI)、人读情报(PRTI)、画像情报、知识情报四类。

1)机读情报侧重于高频次、高准确性、强时效的应用场景,例如和各类安全设备的联动。这是目前威胁情报应用最广泛的领域之一。目前,机读情报一般都是与威胁相关的指示器(IOC),长期来看,未来还会有一些应对活动(COA)相关的规则(如YARA、Snort)。机读情报现阶段机读情报碰到的主要瓶颈并非在于这类情报的提供,而是集中于和设备的对接,因为需要设备厂商的配合。在这块,国内设备厂商的支持力度远低于国外厂商。机读情报是最容易和信息混淆的一类情报,较好区分的办法就是对其置信度和时效性进行度量评价(因为信息的可度量性很差),以免鱼目混珠。

2)人读情报从字面上就可看出,其对象是情报的阅读者,也是具体决策和行动的制定者和执行者。因此,人读情报需要提供更多的上下文信息、背景信息和分析结果(其中很多文字描述类的信息机器无法识别,但人可以理解),以支撑他们进行人工分析研判和应急响应。例如,某份针对正在活动的某APT组织的分析报告,就是一份典型的人读情报(当然,人读情报中也会带有许多机读情报信息)。人读情报目前碰到的困境有两个方面:产出的不确定性和商业模式尚未成熟。产出不确定性的主要原因一是和情报厂商自身的情报分析能力有关,二是和许多情报厂商缺少渠道获取用户本地观测数据有关。而商业模式上,人读情报在用户侧的价值和效果难以评估,定价、招投标/合同签订等都存在阻碍,用户大多处于观望阶段。

3)画像情报则介于机读和人读情报之间,既要输出机器可识别的、基于标签化的威胁、资产、漏洞、事件画像,又要便于在人工分析时分析人员可以基于这些画像标签进行快速的判断和行动,还可嵌入泛安全层面的业务应用场景(例如业务风控领域)。由于应用前景非常广阔,使其成为许多情报厂商重点努力的方向之一。

4)知识情报(没想好命名,姑且用这个提法)是有别于前述三类的一类情报。这类情报的消费对象和应用场景集中于态势感知、SOC/SIEM类分析平台,输出的并非现在主流的机读情报、人读情报和画像情报,而是基于先验知识的规则模型和算法。这些模型和算法与平台之间高度匹配,可以快速导入平台,结合平台获取的各类数据、信息和情报,实现对某特定类别的威胁、风险或特定事件的感知、分析、决策和处置。从效果而言,知识情报的应用价值很高,但实现难度也非常大。

4、决策层

决策是情报应用的最终结果,直接影响了最终的行动和结果。决策者需要对与行动目标相关的各类数据、信息和情报进行分析,做出最终判断,并采取行动,评估行动效果。这包括了设备规则、事件处置策略、制度规范和安全战略等。我们可以将决策理解为对成品情报进行消费的结果。

值得注意的是,由于情报和决策都具有较强的时效性要求和置信度要求,超过时效期的情报(也就是我们说的历史情报),应自动降维至信息层,成为辅助后续情报获取和分析的参考信息。

此外,情报的生产者和消费者间的界限并不像传统行业那么清晰。对于厂商而言,既会站在生产者的角度将作为原料的数据和作为半成品的信息加工成成品情报,也会站在消费者的角度购买他人的情报来辅助自己的情报分析。而对于用户,获取厂商提供的外部情报时是消费者;而按照情报生产的方法和流程对自有数据和外部情报进行再次分析加工和对外共享时,又会是一名生产者。正因为这种身份的不断转换,威胁情报才能像军事情报那样流转起来。



三、从OODA循环模型看威胁情报

威胁情报概念再好,能否解决实际问题才是用户买单的关键。那么,威胁情报能解决什么问题呢?怎样的威胁情报产品才能让用户买单呢?我曾与某银行的几位专家深入探讨过这个问题,在这里分享一下我们的想法。

首先,我要介绍一个经典的模型:包以德循环,也称为OODA循环。该模型由美国空军上校John Boyd1966年提出,历经多年的完善和发展,已经成为一个系列的理论体系,并对美国的军事战略与技战术有着极其深远的影响。可以说,从美国F-16F-22F-35战机到C4KISR系统、敌我识别系统的研发设计,从非对称战争理论到“网络中心战”,再到已在网络安全领域被我们所熟知的态势感知、“杀伤链”等理论的形成,几乎都将其作为重要的理论基础。

该理论的基本观点是:在冲突中,敌我双方的较量实际是基于谁能更快、更高效的完成整个OODA循环程序,或是进入或操控对方的OODA循环系统,使其做出错误反应。所谓OODA循环是Observe(观察)、Orient(调整)、Decide(决策)和Act(行动)的一整套循环流程:敌我双方在发生冲突时,首先做的都是观察,包括对自身、环境和敌方的观察;基于观察的结果,获取与行动相关的内外信息和情报,形成对态势的感知;再根据感知的外部威胁,及时调整自身系统,做出应对决策,并迅速采取相应的行动。

OODA循环理论引用到网络安全领域的话,我们可以认为:网络安全攻防对抗的本质是一种冲突。而在冲突中,无论是攻击方(敌方、对方)还是防守方(我方、本方),都在努力以更快的速度、更高的效率来完成自己的OODA循环,或是干扰、打断、延长另一方的OODA循环过程。而情报在其中起的作用,是尽量减少冲突中的不确定性。

简单来理解的话,攻击方的OODA循环就是如何完成攻击,也就是构建并完成“杀伤链”,达到攻击目标。防守方的OODA循环就是构建和维护防护体系,通过事前预防,让攻击方知难而退,或是在事中借助各种检测、防护和快速响应手段,让攻击方无功而返(备注:我们常说的事后的总结和改进,被看作是调整的一部分)。双方的OODA循环逻辑虽是一样,但在具体的方法、技术、目标、资源和时间窗口等方面的需求和限制却大不相同。

因此,结合OODA循环模型,我们可以将用户的实际需求分为四大类应用场景:观察、调整、决策和行动。

1、观察类场景

观察类场景侧重于对态势的感知与研判,包括对对手(威胁)信息和动态的收集与分析、对自身状况(资产、脆弱性、已有安全措施)的掌握,以及对所处的内外部环境(即攻防对抗可能出现的区域和情境)的感知三个组成部分。

1)对威胁的观察

对对手(威胁)信息和动态的收集与分析,我们可以类比军事领域的敌我识别系统(IFF)。以空军战机为例,敌我识别系统会与机载雷达捆绑,通过识别雷达中的目标信息的特征,结合自带的机载威胁数据库,快速判断其他飞机的敌我属性,并确定其方位和运动方向。同时,在无法识别的情况下,通过数据链将相关信息发至后方进行分析确认,并接收后方反馈的实时情报。因此,情报在其中的作用有三个:一是支撑机载威胁数据库的建立与更新,二是采集雷达数据,向飞行员反馈其他飞机的敌我属性、方位和运动方向,三是对未知威胁进行分析确认并快速反馈至前线飞行员。

而在网络安全领域,敌我识别系统可以拆解为以下几个情报应用场景:

Ø  机载雷达=检测系统。诸如流量分析、沙箱、蜜罐、IDS等检测类系统,其功能和用途与机载雷达相似,在对流量、文件、动作进行解析、分析和记录的同时,还可对经情报匹配确认的威胁进行定位和跟踪。威胁情报需要输出至这些检测系统,辅助其对威胁的发现。因此,用户在选购情报时,除了对情报本身的置信度、时效性要进行评估外,还要考虑情报是否能与自有的检测系统进行联动。

Ø  机载威胁数据库=本地威胁情报库。本地威胁情报库的建立,源于效率和使用环境上的考虑。如果将情报库全部置于云端,会导致部署于内网的很多检测设备在情报获取、更新等方面存在很大实施难度,且对云端的开销和效率有很大影响。因此,本地威胁情报库对于网络环境复杂、有多类安全设备和平台的用户而言,在情报获取、分发机制上会更为灵活。同时,用户要正确区分本地威胁情报库和告警/信息库(可以类比机载威胁数库和黑匣子),并要明白本地威胁情报库中的情报必须是在时效期内的、准确的,历史情报不应继续留在情报库中,以免出现误报。

Ø  敌我识别系统=SOC/SIEM平台或态势感知系统。就像雷达一样,检测系统大量的误报信息并不能帮助用户准确地判断威胁。SOC/SIEM平台或态势感知系统要接收检测系统的基础数据和告警信息,同时将这些信息和情报进行匹配和分析,以发现或确认外部威胁,判断其威胁等级。当然,随着设备处理能力的升级和检测规则的优化,较简单的检测规则可以前置到检测系统中完成检测,而平台集中力量处理那些关联性更高、检测难度更大的威胁。这种分工对于一个安全体系而言,是非常必要的。

Ø  数据链=情报共享机制。数据链不仅是战机和后方的情报中心和作战指挥中心的数据网络,也是战机内部雷达系统和武器平台之间的数据通道,而情报共享机制在安全体系中的作用也是如此。情报共享机制通过对威胁进行统一的结构化描述、定义统一的数据接口、制定共享规则等举措,不仅可以让用户与厂商及其他用户形成高效的情报交互(获取别人提供的威胁情报,共享自己的威胁情报),也可以以情报为载体,打通内部的联动机制,在自己的安全设备、分析平台和安全团队形成及时、高效的数据交互。而在整套共享机制中,最核心的就是统一的共享标准,威胁情报标准的选择和兼容至关重要。用户在选择威胁情报服务和产品时,要对其是否支持或兼容国家标准和STIXTAXII等国际标准,还有OpenIOC等这类企业标准。

Ø  后方情报中心=情报厂商、安全厂商或其他用户。对于用户而言,情报厂商、安全厂商或是情报共享联盟中的其他用户,都可以看作自己获取更多情报和信息的支撑单位。因此,在选取情报厂商和安全厂商时,除了其常规的情报供给能力外,还需要考察针对突发性事件或可疑、未知的威胁时的情报分析能力,以及情报反馈速度和准度。诸如IBM X-ForceFireEye等厂商,大多借助自己的安全运营中心(注意,不是国内说的SOC)来为用户提供这类MSS服务,而国内部分厂商则希望通过在线情报分析服务来实现。但这种在线服务的效果并不好,而且在数据上传方面和很多用户的内部规定相冲突。所以,更为稳妥的选择是让厂商以事件应急响应和安全分析外包类的安全服务模式来实现。

2)对自身的观察

对自身状况(资产、脆弱性、已有安全措施)的掌握,我们可以类比战机的一些仪表盘,比如姿态仪、油量计、武器系统面板、飞行控制系统面板等等。飞行员根据这些仪表和数据,确认战机当前的飞行、武器等状态,以判断是否具备对抗能力。同样,在网络安全领域,只有准确、及时地获取并掌握自身资产、脆弱性(漏洞和隐患)和已有安全措施,才能更好地结合对外部威胁的观察结果,来支撑自己在对抗中采取有效的行动。而情报在这方面的应用,则主要包括以下几类场景:

Ø  以情报为载体,提升漏洞管理能力。传统的漏洞管理,大多基于漏洞扫描和补丁管理来实现。然而,漏扫本身的误报率,还有漏扫的漏洞库和补丁库的及时更新问题,让很多用户在面对新爆发的漏洞(1day甚至Nday)时无从下手。而情报在漏洞管理领域的应用,一是由情报厂商和安全厂商以漏洞情报的方式,加快对外部新爆发漏洞的预警速度;二是运用情报管理手段协助用户建立和管理本地的漏洞知识库,尤其是其中CPEPOC/EXP、补丁三类知识的汇总整理与及时更新;三是借助情报共享技术,构建比邮件、工单更为高效的安全预警通报机制,在用户内部实现漏洞情报的多级快速下发和处置反馈。因此,在选择漏洞情报服务时,用户不仅要考察厂商对漏洞的预警速度和准度,还要考察厂商是否具备对本地漏洞知识库的建设和管理能力。同时,基于对建立内部预警通报机制的考量,还可以考虑厂商的情报管理平台解决方案是否支持级联管理和共享管理,以支撑内部预警通报机制的建立。

Ø  输出资产情报,辅助资产发现及风险跟踪。传统的资产发现,大多基于内部的主动扫描、被动流量等发现手段,以及手工做资产备案。而对于大型企业而言,业务部门和安全部门的分离,导致许多瞒报、误报、漏报的资产存在。而类似ZoomEye这样的互联网资产探测系统,可以为用户定向输出对于互联网资产暴露面监控相关的资产情报,并能对一些特定类型的风险资产和失陷资产进行发现和追踪。这可以部分解决困扰许多大型企业用户的资产管理问题。而在选取资产情报服务时,其后台的资产探测系统的功能和性能,以及对风险资产、失陷资产的检测模型,是用户需要重点考察的能力项。值得注意的是,对外泄的账号和内部敏感信息的情报供给在很多时候被误归类为威胁情报,而实际上,这类情报更应该归为资产情报,除非它与某个准备或正在开展攻击的外部威胁联系起来。

3)对环境的观察

对所处的内外部环境(即攻防对抗可能出现的区域和情境)的感知,我们在概念理解上可以参考飞行员对可能的交战区域外部环境的观察,例如天气情况、地面情况、所属空域等等。通过这些观察,飞行员可以初步判断环境对自身作战是否有利,敌方在这样的环境下对自己的威胁会升高还是会降低。

同样,在我们对抗外部威胁时,也要注意威胁是一个相对的概念,在不同的业务情境和安全区域内,威胁的等级并不一样。举个例子,一个专门攻击工控系统的木马程序,对于一家不存在任何工控系统的电商企业而言,并非一个值得关注的威胁,但对于拥有大量工控系统的能源企业而言,如果出现在其生产网内,其威胁程度不言而喻。

而威胁情报在用户侧的应用,同样也需要基于一定的情境和区域条件来考虑,也就是情报用在哪,怎么用的问题。比如,一些恶意手机号、黑卡黑户类的威胁情报可以用在业务风控领域;在流量分析场景下,IP、域名、URL类的IOC指标情报更为适合;而对于沙箱和防病毒软件而言,木马样本及样本HashIOC指标情报作用更大。

目前常见的解决办法,一是由情报厂商自行和设备厂商对接,协调确认不同的设备需要哪些情报,即由厂商来预设场景。二是对情报打上更细粒度的标签,以标签作为情报应用场景的判断依据,标签越细越丰富,情报应用场景就越具体,这需要厂商和用户共同参与。三是用户通过自建情报管理平台,对外部情报进行信誉评价和内部的情报再加工,结合结果判断情报的真实价值和在预设场景下的应用方式,再进行定向分发,这是用户自行预设场景。这三种方式在效果上各有优劣,需要的成本投入也有很大差异,用户需要根据自己的实际情况进行考虑。

可以说,观察类场景是当前威胁情报应用最多的领域,也是相关技术和产品较为成熟的一个发展方向。

2、调整类场景

OODA循环模型始终强调“调整”是最为关键的步骤,因为错误的调整必将导致错误的决策和行动。而在冲突中,干扰、延长、打断对方的调整和完成、加快、优化自身的调整,是决胜的前提。

因此,对于攻击方而言,调整就是信息收集后到开始攻击前的准备和尝试阶段,包括“杀伤链”中提到的“武器构建”和“载荷投递”过程。而在防守方一侧,调整则是根据观察到的威胁,在事前进行快速的资源调配和策略调整的过程。和空战中在交战前飞行员对战机方位、状态等的调整和优化一样,调整类场景侧重的是事前预防,即在事件发生前,通过优化自身的防护体系,起到强化对观测到的威胁所可能引发的各类事件的应对能力的作用,并采取手段遏制攻击方的攻击意图,让其知难而退。

在很多场合和模型中,调整类场景与后面提到的行动类场景(侧重事中的响应)常被放在一起,并统称为“行动”。然而,对于防守方而言,由于攻击中的各种不确定性因素,再好的行动(响应)能力,终会百密而一疏。因此,通过情报来强化事前预防能力,减少攻击事件的发生,在效果上可可谓事半功倍。

事前预防,同样也是威胁情报较为常用的应用场景类型。在机读情报方面,调整类场景更多的是和防护类系统进行基于情报的联动,这与观察类场景强调和检测系统的联动有所不同。由于防护类系统大多执行的是阻断操作,这就使得用户在使用威胁情报提升防护类系统的预防能力时,必须对情报的置信度进行合理的评价,仅选取其中信誉评分较高的情报予以采纳。因此,用户在选取情报管理平台类产品时,应当重点考察是否具备信誉评价功能、信誉评分能否支持对多源情报的评价、信誉评分模型是否合理、能否基于评分对情报分发进行调整等方面的能力。

而人读情报、画像情报和知识情报在调整类场景的应用,则偏向于支撑战略、运营层的安全决策者调整己方的安全体系和管理策略,以更好地适应内外安全态势的变化。这些情报的服务目前在国内尚处于空白,少有情报厂商涉及。而在国外,已有部分厂商正在实践。

3、决策类场景

因为都和人的因素有强相关性,决策和行动在很多场合往往被放在一起来说。在OODA循环模型中,决策依赖于观察和调整的结果,正确的观察和调整必然导致正确的决策,而错误的观察和调整必然导致错误的决策。因此,对于决策本身而言,强调的是如何将观察和调整的结果完整地输入到决策机制中,以及保证决策能完全指导行动。

借用OODA循环模型的理论,我们可以将情报的决策类场景定义为在发生安全事件时,情报该如何指导用户进行快速决策,制定应对措施,以及如何将这些应对措施快速、完整地传递给具体的执行者和设备这两类场景。

在决策类场景中,情报厂商提供的解决方案可大致分为以下两类:

一是提供基于多种分析模型的情报分析平台。在厂商的宣讲中,这类平台可以结合外部情报和用户本地的观测数据进行情报分析,形成告警并提供相应的应对措施,让用户可以快速根据情报进行决策。然而,这类平台仅依靠外部情报和本地观测数据进行匹配,而并不具备态势感知或SOC/SIEM平台那种基于上下文和基于行为的关联分析能力,在分析能力上远远落后。就效果而言,许多这类平台产生的告警和应对措施,实际只能作为一个参考,而不能直接指导行动,且不可避免地会存在漏报和误报(漏报很好理解,而误报大多是由厂商将大量基础信息和历史情报信息当作情报输入引起的,因为这样可以简单粗暴地从告警数量上宣传平台能力),使得许多情报分析平台的实际效果和传统的IDS并没有什么两样,比之SOC或态势感知类平台更是有很大差距。同时,这类分析平台大多只是为用户提供一个情报分析工具,不具备对情报分析工作流的管理能力,也无法形成一个基于情报的事件分析决策响应的工作闭环。从这几点可以看出,情报分析平台还有很长的路要走。

二是借助情报强化已有的态势感知平台或SOC平台。这类解决方案的思路时用情报去增强用户已有的分析和决策能力,而不是另起炉灶建立一套新的分析决策体系。我们都知道,态势感知平台或SOC平台的设计理念,就是为了更好地辅助用户实现一个事件分析决策响应的工作闭环。而情报与平台的结合点,一是作为输入,为平台提供更多的辅助决策的有用信息;二是将平台输出的事件信息和决策,以情报为载体,实现快速地决策分发,传递给具体的执行者和设备;三是将情报信誉机制和标签机制引入平台的事件优先级决策机制中,如事件与情报相关,可提升优先处理级别;四是在与平台的对接过程中,为平台提供基于先验知识的规则模型和算法,也就是前面提到的知识情报,优化和提升平台的分析能力。相比前一种解决方案,这种解决方案的成本更低、效果更好,但需要态势感知平台或SOC平台进行相应的改造。孰优孰劣,还需用户自己拿捏。

4、行动类场景

OODA循环模型中,行动是对决策的具体执行。因此,行动类场景主要关注的是如何对事件进行具体应对处置。情报在行动类场景中的应用不外乎两类:一是通过用户内部的情报共享机制,以情报为载体,将决策中的应对措施下发至指定的行动终端(人或设备),由其执行并反馈行动结果。二是在行动中,为执行者提供威胁溯源和威胁反制能力。

在第一种行动类场景中,速度是关键。用户在建立内部情报共享机制时,除了需要理清哪些情报需要共享,共享内容和共享范围如何界定外,还要尽量实现自动化的情报分发和反馈,以减少人工参与带来的时间和效率成本。

而在第二种行动类场景中,威胁溯源是大部分厂商都已具备的成熟服务能力,各家的威胁溯源平台可提供的信息大同小异,可视化和数据钻取也不是什么技术瓶颈。而威胁反制,大多还停留在概念,成型的产品并不多,效果也有待考察。

此外,还有些厂商另辟蹊径,针对一些特定领域提供一些行动支持,例如品牌保护领域的钓鱼网站关停服务。当然,严格意义上来说,与情报的关系并不大。

四、结语

从诞生的理论体系逻辑,到其技术应用的场景,我们可以看到,威胁情报并不是类似云计算、人工智能这类从理念、架构、模式上进行重构的革新性安全技术,而是一项旨在对已有的安全理念、架构和模式进行补充和改进的增强性安全技术。

因此,相关技术及应用的价值体现并非像某些国内厂商所宣扬的“重构一个基于威胁情报的安全体系”,而是在于提升已有安全体系的“效率”:这包括了更快的速度、更高的准度、更细的精度和更多的选择。所以,威胁情报确有其独到的价值,但也有能力的天花板,而不是可以解决一切的“银弹”。在这点共识下,我们需要理清的,就是怎么用好威胁情报,让其发挥其应用价值。

最后,历经两周方成此文,如有想法,欢迎交流。

发表评论