楔子:互联网是蓝色的。
作为威胁情报专业工作人员,你是不是经常被亲朋好友问到你是做什么的,当他们听到威胁情报这个名词的时候,是不是把你和间谍等称谓联系到了一起?而这时的你怎么向他们解释你的工作?“孙子兵法云:‘知己知彼,百战不殆……‘;情报起源于……;Gartner定义的威胁情报……”最后还是一头雾水。
绝大多数的情况下,他们应当知道有一种东西叫做通缉令。以下是一个威胁情报工作人员(简称:情报员)与友人(简称:友)的对话。
友:很久不见了,你现在在做什么?
情报员:我在做威胁情报相关工作。
友:你不是做信息安全的吗?改行做间谍了?我和你在一起会不会有危险?
情报员:我们和间谍没关系,没有任何危险,威胁情报是合法的商业领域。我给你解释一下吧,你知道红色通缉令吗?
友:知道,红色通缉令是追捕罪犯用的。你们和通缉令有啥关系?
情报员:我们也可以算做是发通缉令的,只不过发布的是互联网通缉令。我喜欢蓝色,互联网也是蓝色的,所以,你可以认为我是发蓝色通缉令的,我们的通缉令是起到警示作用,不抓人。
友:那你们的蓝色通缉令是啥样子的?
情报员:就像是红色通缉令中的关于罪犯的描述,只不过我们蓝色通缉令是关于哪些针对互联网的罪犯信息的整理,包括他们是谁,用什么工具、方法,干过啥坏事……
友:我有点理解了,那你们的通缉令分类吗?
情报员:我们在整理的过程中是分类的,包括黑名单、灰名单、白名单;简单的理解,它们可以对应罪犯档案、嫌疑犯档案、无犯罪记录人群档案。
友:通缉令通常会对罪犯分级,以提醒大家被通缉者的危险程度,你们的蓝色通缉令也有吗?
情报员:这个逻辑是近似的,通常使用信誉值这个词,综合了网络不安全因素者的活跃度、能力等因素。
友:谁会使用这些蓝色通缉令呢?
情报员:和互联网相关的机构、企业、个人都可以用,就像警察(执法人员)、门卫/保安(企业的安全人员)、个人去参考通缉令防范罪犯、追捕罪犯一样。
友:那么具体怎么使用这些蓝色通缉令呢?
情报员:这个和警察抓罪犯的思路也很相像。场景比较多,我对比给你看。
友:愿闻其详。
情报员:你见过警察设置路障检查驾照和身份证吗?
友:见过,经常造成堵车。
情报员:所以,用逐一查身份证去查罪犯,需要更加科学的方法,现在比较流程的蓝色通缉令所使用的装备叫做威胁情报网关,如同ETC通道和人工通道的效率区别,甚至效率倍数更高。
友:那如果没有这样的装备呢,可不可以先拍照,然后再慢慢查,这样就不堵车了?
情报员:可以先拍照再查,但是如果发现是罪犯,Ta已经跑远了。我们这个行业叫做已经横向移动了。
友:的确是这样,容易放跑罪犯。
情报员:还有一种情况,你在地铁站等公共场所,看到过警察抽查身份证吧?
友:是的。
情报员:抽查,一般是针对性的,例如行为鬼鬼祟祟,就像地铁站查到罪犯的比例不高一样,采用针对鬼鬼祟祟行为进行检查,会漏过很多经过伪装的高手,这些高手的攻击我们叫做APT攻击。
友:那给你们提供更多的蓝色通缉令有没有奖励?
情报员:有的,和通缉令一样,最基本的汇报是互联网更安全,你能安全的上网,如果价值更高的蓝色通缉令,也会有奖金。
友:真厉害!那你们是不是通缉了所有的网络罪犯?
情报员:如同全世界的警察都做不到破案率100%一样,任何情报厂商都不具备“上帝之眼”。需要情报厂商间互相协同,才能知道的更多,就像国际警察那样跨区域合作。
友:那通缉令上都有什么主要信息去使用,就像通缉令上罪犯的头像那样的,可以用于识别的?
情报员:专业名词叫IP、Domain、URL、eMail、Hash,可以这么理解,从某个门牌号—里出来的人都是潜在的罪犯,门牌号不好记,我们就用小区名—即Domain辅助记忆,但是这个小区可能并不都是坏人,更精准点就是URL—某户某人,而eMail就像是Ta家的信箱,Hash是他的犯罪工具的识别码,你知道每支枪都有自己独特的击发指纹的,Hash就是这样的指纹。
友:枪的指纹我懂,明白了。对了,很久没有一起去射击场了,改天一起去?
情报员:好滴,友谊的小船漂啊漂,漂到射击场。
友:挺有意思,我好像懂了,回去我和领导讲一讲,应该有使用价值。这些情报到哪里买,你的电话号码还没告诉我呢。
情报员:(贴着耳朵窃窃私语…….)
两人爆出银铃般的笑声………….
好吧,既然没听清Ta的电话,直接来找我好了。
后记:高铁去武汉途中偶得。