威胁情报真的是网络安全的“少数派报告“么？

本文首发于阿里云先知论坛，现在转载到我本人的知乎专栏里来T^T，由于此专栏已经被一些大佬关注，所以不敢发太水的文章了，专栏更新的会较慢一些。感谢对此文提供帮助的一些不愿透露姓名的基友以及愿意透露知乎id的 @职业欠钱 @邢星星 @Murasaki

0x00 写在前面

威胁情报这个玩意儿可谓是借着数据驱动安全的东风变成了少数被吹上天的猪之一，虽然笔者不否认威胁情报对于日常安全运营和安全研究方面的作用，但是我们也需要认清楚某些现实情况——威胁情报目前还不能完全预测攻击，至少目前行业没有成功案例和最佳实践可以佐证这一暂时看来不靠谱的观点。那么目前威胁情报到底发展到什么样的水平？威胁情报对于安全行业的意义在哪里？威胁情报未来会发展为什么样的样子？威胁情报真的是网络安全的“少数派报告“么？这些就是我们下面要讨论的东西。

0x01 威胁情报1.0——数据之间的较量

威胁情报概念我们引用uk-cert的观点：

[It is] evidence-based knowledge, including context, mechanisms,
indicators, implications and actionable advice, about an existing or emerging menace or hazard to assets that can be used to inform decisions regardin个the subject's response to that menace or hazard.

翻译成中文就是：

关于基于证据的知识，包括背景，机制，指标，影响和可行的建议，关于现有或新兴威胁或对资产的危害，可用于通知关于受试者对该威胁或危害的反应的决策。也就是说威胁情报是为了向决策者提供可行性的建议用来辅助反应决策。

我们举个例子：

A是一个互联网公民，我们假设A上午查看了一系列关于资料之后，准备下午对B公司发起一次扫描性质的攻击，结果B公司的雇员C恰好知道了这个消息，然后立刻发微信给老板D说：A下午准备扫我们公司的服务器，请各位老大做好防范。

实际上C干的这件事情站在B公司的角度上来看，就是在生产一种威胁情报。而这个也是我们理想中的威胁情报，因为可以辅助决策帮我们做好网络安全层面上的防御。言归正传，我们理想中的威胁情报是：

威胁情报服务提供商告诉我们什么人要在什么时候用什么样的方法来攻击我们的系统，请各单位做好相关的防御工作。然后我们听从建议去进行相对应的防御就能够阻止甚至反击这次攻击。

然而理想很丰满，现实很骨感，在威胁情报概念刚刚普及的时候，很多厂商在宣传页中都会大肆宣传我们有多少个国家CERT的数据和多少合作伙伴共享的情报，使得威胁情报厂商基于等同于大数据厂商，只要有威胁情报相关的数据就能干这件事儿，没人去关心这个数据是否准确，是否符合国情，是否已经脱离了时效性这些问题。但是邓爷爷说过：不管白猫黑猫，能抓住老鼠就是好猫，在一项技术发展的初期，尤其是威胁情报这种数据服务偏重的技术上，堆数据确实是一个必须要走而且是不得不走的路，因为当时大家都吃不饱。当数据量达到一定程度的时候，我们就会发现问题了，由于威胁情报本质上就是数据，数据所包含的特性威胁情报就肯定存在，比如说威胁情报的滞后性、准确性、有效性等这些问题其实都是现在威胁情报产品的问题。举一个很简单的例子，我通过同一个IP地址在不同的三个威胁情报平台上查询，很有可能就会得到三个不同的结果，如果这样的数据直接拿来辅助攻击防御决策的话，很可能会陷入一系列决策上的混乱，甚至会造成更严重的运营层面的漏洞。但是很遗憾，从威胁情报这个概念开始火一直到现在已经有一段时间了，这个问题在在国内的某些威胁情报的产品里面依然存在。其实这个阶段，威胁情报产品就是：拿着一堆不靠谱的数据跟客户说你有可能被攻击了。

0x02 威胁情报1.5——从CERT到CIRT

威胁情报1.0时代其实解决了吃饱的问题，我们有了大量的数据、大量的情报作为支撑，毕竟威胁情报这件事跟玩相机的都是一个套路，底大就是厉害。所以我们在威胁情报1.0时代往往使用的感觉和我们使用Google百度这些搜索引擎的体验差不多。

换个Logo就能当威胁情报平台用

我们不应该只局限于国内的眼光，是时候应该看一下国外了。说到国外的威胁情报服务就不得不说一件事儿，那就是2017年这一年其实对于安全行业来说是很有参考价值的一年，首先NSA武器库泄露和WannaCry事件说明了互联网攻击武器化这件事儿是真实存在的，而且一旦利用这种东西去发起攻击后果不堪设想，原来的网络攻击可能是让你电脑死机重装系统，但是现在的网络攻击很可能会让你出门刷不了银行卡，开车加不了油，去民政局办结婚证甚至都办不下来的情况；另一个比较有特点的案例就是Xshell-Ghost事件，2017年之前几乎没有人关心供应链的安全，但是Xshell-Ghost事件发生后，越来越多的人关注软件供应链的安全，攻击者利用常用软件的漏洞制作带有后门的版本来通过CDN等分发方式进行大规模分发，导致中招的人不计其数，这事情听上去就觉得很可怕。回到威胁情报本身，威胁情报在1.0的时候使用体验可以说就和Google没什么区别，敲关键字搜索，然后走你，但是到了1.5时代，威胁情报厂商意识到了这个问题，单个的IP结果并不能左右决策，换句话说，如果安全工程师拿着一个IP列表上现在的威胁情报平台上查了一遍，然后跟Boss说这里面的IP全都被标记成僵尸网络，我个人认为专业的安全管理者是不会因为几个IP地址被标记为恶意地址而左右的。

Alienvault的OTX平台，是不是感觉可用性更高了

但是如果把这个故事包装一下，威胁情报平台返回这些IP跟某个网络安全事件相关的结果，这时候安全管理者会提高一些警惕，会去敦促排查我们是不是受害者，威胁情报的决策性大大增加了。但是这和你题目的CERT和CIRT有什么关系？

CIRT是从CERT演变而来的，CIRT代表了对安全事件在哲学认识上的改变。CERT最初是专门针对特定的计算机紧急情况的，而CIRT中的术语incident则表明并不是所有的incidents都一定是emergencies，而所有的emergencies都可以被看成是incidents。

威胁情报1.5的核心在于Incidents，把孤立的IP、MD5、HASH等单个数据包装成一个Incident并且通过邮件等方式推送至客户处，我觉得会一定程度上提高决策层对于威胁情报数据来源的重视。

IBM X-Force Exchange的邮件推送

但是威胁情报的三座大山——时效性、滞后性和可靠性这三件事情上都没有得到很好的解决，尤其是威胁情报的可靠性，至今没有任何一个机构或者说有名气的厂商敢站出来说我们的数据100%可靠，指哪儿打哪儿从不失手，因为我们缺乏一套完整的有效的科学的威胁情报评估体系来给威胁情报打分。值得欣慰的笔者在参加ISC2017互联网安全大会的时候看到了信工所在威胁情报评估方面的努力，说明终于有人考虑到这一点了。

虽然这个分数很鸡肋，但是还是会影响决策

在1.5的时代，个人觉得国外的IBM X-Force、Alienvault国内的微步在线都已经达到了1.5的水平。

微步在线的新版体验还是不错的

0x02 威胁情报2.0——定制和高指向

以上的改变其实只能上算得上是1.5的水平，之所以称为1.5是因为威胁情报的三座大山完全没有根除，2.0时代需要解决的问题是：

• 高质量的威胁情报数据输出
• 定制化和PTIC（私有威胁情报中心）的建立
• 基于Kill-Chain的事件追踪

我们逐条来说，首先先来说第一条，想获得高质量的威胁情报，除了上文说的引入科学的威胁情报评估体系之外，我们还应该对数据进行更快的迭代，这里面会涉及到很多大数据、机器学习相关的东西。除了这些之外还应该像toC业务一样和用户进行良性的互动，鼓励用户提交可靠有效的威胁情报（这里其实很多SRC都已经在干这件事了）。

接着来说Kill-Chain，其实企业用户也就是甲方的安全运营团队在意的往往不是这个IP什么来头，他们往往更关心的是我们是不是被别人搞了，被谁搞了，怎么搞的，搞到了什么程度。其实换句话威胁情报服务提供商只告诉客户这个IP是被僵尸网络控制了在甲方看来影响决策的因子几乎为0，但是如1.5时代提供单个事件情报的话，可能会在一定程度上影响甲方的决策，但影响程度基本上还是不会变动太大，但是如果威胁情报服务提供商能够提供诸如发起攻击方相关的信息：诸如攻击手法、攻击程序、攻击使用的IT资产、地理位置、历史攻击行为和攻击目的的话，我个人认为甲方会更愿意去使用这些服务，换句话说。

如果A公司发现有一台服务器在提权，同时对攻击进行取证并发送给威胁情报提供商，提供商返回给客户这样的信息：

攻击者A历史活跃时间是xxxx、擅长用的工具是xxx、攻击手法是xxx，目标客户是xxx类型的、一般是为了xxxxx，根据贵司返回的数据来看，你们应该内部有不少机器都中招了，建议进行大规模排查。

这样的信息在甲方看来是有效的而且可靠地，也就降低了甲方的决策成本的同时还防御了攻击。

如果把情报输出成这样会不会更好？

接下来说定制化和PITC，专业的攻击者往往会针对某一行业甚至是某一特定厂商进行攻击，而且他的往往只是攻击者使用扫描器的附属产品，假设能源类行业收到了一条告警说某个IP地址触发了某条规则，在1.0时代，可能威胁情报提供的就仅仅是：这个IP是个扫描器，言简意赅但是是废话（本地IDS/WAF也能看出来这是个扫描器），但是在1.5时代可能就会演变成为一个事件，比如说这个IP跟敲诈者病毒有关系。但是2.0时代，威胁情报提供商如果还是提供这些的话，我估计可能来到了一个假的2.0时代，真的2.0时代应该是：这个IP跟B攻击团队有关系，但是他们的攻击目标和您所在的行业无关，您可能不会是他的目标。这样的话，甲方的决策成本会进一步降低。但是站在服务提供商的角度看，我们如果给特定攻击者/攻击团队进行分类，然后以服务形式提供给客户，甚至直接将由威胁情报生产出的威胁情报直接落在客户本地机房内，形成私有的PTIC，同时根据云端来补充PTIC的量，这样对于甲方安全防线又进一步的补充。遮掩会不会更好？

0x03 总结

威胁情报其实是一个非常具有前景的技术，和态势感知更是相辅相成，正如我在ISC2017上所讲的那样，成熟的SOC未来都会是“两线作战”：一线注重于安全应急响应和事件调查，二线注重于安全监控和事件分析，对于一线而言，我个人认为纵深防御是刚需，纵深防御可以说是拖垮攻击者的良药，而对于二线分析团队来说，威胁情报可以弥补安全运营团队在态势感知能力上的不足，减小安全盲区的覆盖，使得能看见的攻击种类更多。但是威胁情报现在的发展水平来说，真的可能连上学的水平都打不到，更别说毕业。但是正因为威胁情报的潜力无限，所以信息安全行业真的很需要很多精通数据挖掘技术和机器学习技术的懂安全的工程师加入到这个行业中来，相信威胁情报的未来一片光明。

但是话虽这么说，一定要注意威胁情报只能用来辅助决策，不能用来直接决策，所以现在一般说威胁情报可以用来预测攻击的基本上都是xxx。与其他的技术相结合可以使威胁情报的作用最大化，诸如互联网攻击溯源、用户实体行为分析（UEBA）、事件调查与取证等技术结合威胁情报往往会产生意想不到的结果。

关于作者：一个没事喜欢瞎想而且还在学习阶段的安全研究员，研究方向为互联网攻击溯源和APT分析，知乎id：elknot