搞清楚网络威胁情报是什么和有什么,才能让我们避免陷入片面的威胁情报观。
关于威胁情报是什么,网络上最常见引用的就是Gartner做出的定义:“威胁情报是基于证据的知识,包括场景、机制、指标、含义和可操作的建议。这些知识是关于现存的、或者是即将出现的针对资产的威胁或危险的,可为主体响应相关威胁或危险提供决策信息。”然而就网络威胁情报是什么,从不同的角度去看,就会得到不同的结论,需要注意的是避免以点盖面的偏见。笔者尝试从以下角度进行来观察威胁情报。
- 层次分类法
一个常见的分层方法是将网络威胁情报分为“战略威胁情报“、”战术威胁情报“、”操作威胁情报“,这个分层方法和企业架构也能进行映射,同时也将威胁情报的使用者进行了匹配。
在层次分类法中,需要注意避免的偏见是“技术偏见”,该偏见否定了战略情报存在的意义,将威胁对抗简单的定义在了操作层面,网络战争是一场看不见硝烟的战争,而“看不见的对手” 才是网络世界中最可怕的对手,网络威胁战略情报正是希望将对手从“黑暗”中抓出来,分析他们意图、能力和惯常手法,从而形成针对性的防御策略。“技术偏见”片面强调了在网络对抗中的技术因素,从而可能带来“一叶障目”的风险。例如:简单的将恶意软件的情报作为唯一的威胁情报的分析方法。
- 时序分类法
笔者推荐在使用时序分类法可参考“cyber kill chain”的7个阶段进行分类。关于“cyber kill chain”的分阶段技术响应,详情请参见笔者《“网络杀链”的B面》一文。在该文中我们可以看到,针对载荷进行有效杀灭或阻止虽然能够中断威胁,但少量的载荷可能不会在第一时间被发现并被终止,否则也不会有各种安全事件的发生,因此,从以“网络杀链”为代表的时序分析法中我们需要关注的是针对各阶段的情报收集、利用,并采取相应措施进行防范和阻止攻击。
需要注意区别于随后的“存活性”分类方法,时序分类法是根据攻防的阶段进行划分的,而不是根据威胁情报的生命周期划分。“存活性”是威胁情报生命周期的体现。
- 属性分类法
根据属性进行分类,能够对威胁情报和使用场景进行匹配,有利于管理策略和流程的制定和实施,以及利用威胁情报的技术实现。
较为常见的根据网络威胁情报属性进行分类结果有:基础信息类(例如:IP地址、域名等)、资产类(例如:资产风险、漏洞等)、威胁类(例如:恶意软件、黑客组织等)、事件类(例如:同行业遭受的威胁、同类系统遭受的攻击等)。
采用属性分类法,笔者建议从风险管理的角度来进行,即考虑资产、漏洞、威胁三角,形成风险管理矩阵。如果说基础信息是溯源工作必不可少的元素,那么事件情报则可以为预防工作提供重要输入。
- 存活性
存活性是由威胁情报的生命周期决定的,需要注意的是部分威胁情报的存活性可能存在不断的转换,例如:一台设备是否属于“僵尸网络”的一员。
对威胁情报存活性的管理,是威胁情报使用者的情报管理和使用的重要能力之一,也是威胁情报管理质量的衡量标准之一。
存活性分析的两个重要工作是发现“新情报”和“情报老化处理”。
- 可读性
可读性是从情报使用者和使用方法的角度进行划分的,通常分为“机读”情报和“人读”情报。
以上分类方法并未穷尽威胁情报的所有特性,欢迎大家探讨。