网络威胁情报,是情报学科的一门特殊分类,开源情报的研究同时也是网络威胁情报所需研究的方向之一。本文就让我们一起撩开开源情报的面纱。
开源情报的概念:
开源情报是由组织或个体发布的情报,可以公开获取,并且没有隐私限制的信息。
开源情报经典案例:
1952年,标题为“美国空军的经济学”让世人为之震惊,格林斯潘基于二战时期的数据基准,和有限的公开信息,准确的推算出了当时美国军事工业对金属、冶金、电力、运输等各行业的影响。这一案例充分说明,开源情报在天才分析师+合理的数学模型的前提下,可以获得意想不到的成果。
任何组织和个人都没有理由忽略开源情报的研究。甚至可以说,真正具备开源情报研究能力的机构,才是顶级的情报机构。
应用开源情报的优点/缺点:
优点:
开源情报是免费的,可以公开获取的;
开源情报的获取渠道是便利的,现代互联网的发展;
开源情报的使用是合法的,其使用可规避合规风险。
缺点:
开源情报犹如沙里淘金,需要在众多的情报中寻找有效信息,筛选情报需要投入相应资源;
开源情报犹如火炼真金,情报源可能是带有误导性的或者部分误导性的,不同的情报源的信息可能出现差异,这些都需要分析师去伪存真,因此也会消耗众多的分析资源。
接下来,让我们来看看开源情报管理的典型阶段:规划、收集、分析、分发。(需要注意,这里是情报管理的各项工作,情报应用典型阶段还包括应用情报进行决策并根据反馈形成闭环。)
规划开源情报策略:
在规划开源情报阶段第一要务是明确收集情报的的目的:保护网络安全。保护网络安全所需的信息包括识别潜在威胁者、对手攻击目的、攻击的手法等一系列信息,这通常可以用5w1h法则来进行管理(即Who,Why,When, What, Where, How)。而下图(Pain Pyramid)则显示了各类情报获取和管理的难度。
Pain Pyramid
笔者认为,这张图不仅仅显示出情报收集的难度,同时也是威胁情报价值的体现,金字塔顶层的情报价值远高于底层。
利用开源威胁情报是威胁情报体系的一部分,情报结果可用于威胁情报知识图谱、威胁态势感知等领域。
收集开源情报:
开源情报的来源可以是公开的演讲、文档材料、互联网(网站、论坛)等。其中互联网信息收集,可能还将使用到“爬虫”等技术。在使用该等技术的同时,需要注意:
- 收集信息的合法性;
- 反“爬虫”对抗技术。(有兴趣的朋友们可以去网上搜索“爬虫”与反“爬虫”对抗的相关文章。另外,网络上还有相当数量的“爬虫”代码可以降低初次开发成本。)
分析制作:
以下简单介绍几种开源威胁情报中使用的技术:
- NLP(Natural Language Processing):自然语言处理,在互联网上抓取的大量信息,已经是人工所无法处理的量级,需要经过自然语言分析技术处理。
- 小世界网络模型:来源于“6度分隔”假说,该模型认为通过网络节点的局部信息而非全局信息,即可找到网络节点间的最短路径。(有兴趣的朋友可以去阅读匈牙利作家Karinthy的短篇小说《链条》来回顾一下“6度分隔”假说)
Small-World
- 社交网络:是由一组社交行为者(例如:个人或组织)的二元关系集以及行为者之间的社交互动组成的社交结构。 社交网络视角提供了一套分析整个威胁实体结构的方法,是解释在这些结构中观察到的模式的理论工具。
Social Network: APT28
- 普赖斯指数:普赖斯指数常被用来计算科学文献的老化度,其公式为
普赖斯指数=近五年的被引用的文献数量 / 被引用的文献总量 * 100%
普赖斯指数可以用作威胁情报老化计算的参考,威胁情报的老化计算则更加复杂,其因素不仅仅与触发的次数、时间两者相关,计算因子还可以引入有效防护、防护失效、二次(多次)命中等参数进行精准修正。
- 威胁气候图:用于分析网络环境(略)。
- 其他大数据技术,例如:深度学习、加强学习等。
分发:
开源情报经过加工分析,其价值已经转化,情报的分发请参见TLP(“红绿灯”协议)。
开源威胁情报分析,分析师的试金石。