今年最热门的安全技术之-安全智能威胁交换（也叫安全情报交换）

    转发以前微信公众号发的文章，Sec-UN独家。

    今天八卦的是安全威胁智能，这个国外也有很多种叫法，IBM叫Security Intelligence、Gartner叫Security Threat Intelligence，RSA叫Threat Intelligence，也有比较土和直白的Security Information Sharing，中国还有更土“信誉库”（其实指的范围要窄，但是对着这个窄的范围也还算只管）。

    我将Security Intelligence叫做安全智能，也有人觉得叫安全情报合适，其实这个怎么翻译，都是看最后的目的。我们这些狗血的天天就琢磨骗人的“专业”顾问，都是习惯于目的性比较强的表述^_^。单就这个分享信息的形式，是情报合适，但是我想表达的是后面还有一个更大东西~和商业智能BI同样牛逼的SI。这些共享信息，都是为了实现SI的，SI的范畴不仅包括信息的共享，还涵盖跟以前相比更高级的分析和展现，这一下就高端大气了不是。

    这个技术实际上在去年下半年开始逐渐进入主流视线，在今年上半年开始成为热门技术，并已经成为国外很多产品的标配功能。

    那这是个什么东西呢？就直接说我认为的定义吧，安全威胁智能就是一种可以包含漏洞、威胁、特征、名单、属性、解决建议等多种内容的动态更新的知识库。国外部分厂家将其作为知识来提供给用户（如Mandiant之前发的我朝APT报告，就算是一种，有点像我朝更丰富版本的漏洞/安全形势预警），部分厂家甚至可以提供结构化的升级库，可以用来做SIEM、FW、IDS/IPS、Anti-APT等安全产品可识别的升级库。国内做的“信誉库”，目前就是IP信誉、文件信誉之类的，也可以算是安全威胁智能中的一种形式。国外的垃圾邮件黑名单，其实也算是这的一种形式。

    我认为，提供结构化、可被设备识别的安全威胁智能库，已经是未来安全设备所必不可少的一种能力。简单举两个热门场景实例：

1.目前困扰的IDS/IPS/SIEM应用的一个问题就是垃圾事件过多，一个设备的一天的报警起码上千条，SIEM汇总的事件就更多了，只有一定攻防经验的专业维护才能发现隐藏在这些垃圾事件、误报事件中真正的攻击事件，而这对绝大多数用户来说是不可能的事。如果有这么一个升级库，里面包括了目前网络中最新正存活的C2主机、正在挂马的服务器、刚给其他用户发过APT邮件的地址….这些库和海量事件一匹配，马上就可以发现其中真实的攻击事件，解决报警不准无法分析的问题。

2.棱镜门虽然很多细节已经曝光，但是目前尚没有一起可以确认的对国内的事件被发现和公开。按照目前的安全架构，未来也无法解决这个问题。如果有这么一个升级库，里面包含DoD、NSA之类的地址库、某些已经公开或被发现的NSA工具或协议特征、某APT文件HASH等，并且可以快速在大网中分发，这就可以快速发现可能的真实“棱镜门”事件。事实上，上次棱镜门曝光的时候，英国就有黑客发现BT电信modem中的官方后门，并且将其很多C2 IP、控制协议等细节公开，如果我们可以根据其形成特征，并快速进行下发，发现其他存活的后门也不是什么难事。

    继续说这个我理想中的安全威胁智能，其可以包括的内容：

1.威胁信息，IP、域名、URL、HASH、主机名、文件名

2.事故信息，被识别的被攻击对象的文件、漏洞、IP等

3.防御信息，访问控制列表、IDS规则库、特征字符串等

4.漏洞信息，漏洞及利用信息

    目前支持机读智能威胁信息的厂家有很多了，AlienVault、McAfee、CheckPoint、HP、IBM、Cisco、RSA、等等，甚至还有标准了！Mitre 的STIX和TAXII、OpenIOC、IF-MAP。

    目前机读智能威胁管理已经成为各种NGFW、NGIPS、NGSIEM标配，大部分是厂家对自己设备提供的，也有少部分是用开放标准来进行跨厂家共享的。

    我曾经想过一个绝户计，国内由相关部门牵头，做一个国家的智能威胁标准，然后国内设备来兼容它，形成国内特色的NG系列产品，然后在一些市场要求支持这个能力，然后国外产品嘛，肯定难以支持。怎么样，是不是又繁荣市场，还能起到干掉棱镜的奇效。

这篇敲了不少字啊，最后再多泄一下，这篇说的这个智能威胁交换只是我构想中的理想智能威胁一部分，它还可以有上延和下延的扩展，比如还可以包含对于疑似威胁协议和文件的收集协议/方法。哈，不多八了，请等下回。

    补充，配图是IBM的，俺只学知识不偷图^_^