威脅情報真的是網路安全的「少數派報告「么？

01-26

本文首發於阿里雲先知論壇，現在轉載到我本人的知乎專欄里來T^T，由於此專欄已經被一些大佬關注，所以不敢發太水的文章了，專欄更新的會較慢一些。感謝對此文提供幫助的一些不願透露姓名的基友以及願意透露知乎id的 @職業欠錢 @邢星星 @Murasaki

0x00 寫在前面

威脅情報這個玩意兒可謂是借著數據驅動安全的東風變成了少數被吹上天的豬之一，雖然筆者不否認威脅情報對於日常安全運營和安全研究方面的作用，但是我們也需要認清楚某些現實情況——威脅情報目前還不能完全預測攻擊，至少目前行業沒有成功案例和最佳實踐可以佐證這一暫時看來不靠譜的觀點。那麼目前威脅情報到底發展到什麼樣的水平？威脅情報對於安全行業的意義在哪裡？威脅情報未來會發展為什麼樣的樣子？威脅情報真的是網路安全的「少數派報告「么？這些就是我們下面要討論的東西。

0x01 威脅情報1.0——數據之間的較量

威脅情報概念我們引用uk-cert的觀點：

[It is] evidence-based knowledge, including context, mechanisms,indicators, implications and actionable advice, about an existing or emerging menace or hazard to assets that can be used to inform decisions regardin個the subject"s response to that menace or hazard.

翻譯成中文就是：

關於基於證據的知識，包括背景，機制，指標，影響和可行的建議，關於現有或新興威脅或對資產的危害，可用於通知關於受試者對該威脅或危害的反應的決策。也就是說威脅情報是為了向決策者提供可行性的建議用來輔助反應決策。

我們舉個例子：

A是一個互聯網公民，我們假設A上午查看了一系列關於資料之後，準備下午對B公司發起一次掃描性質的攻擊，結果B公司的僱員C恰好知道了這個消息，然後立刻發微信給老闆D說：A下午準備掃我們公司的伺服器，請各位老大做好防範。

實際上C乾的這件事情站在B公司的角度上來看，就是在生產一種威脅情報。而這個也是我們理想中的威脅情報，因為可以輔助決策幫我們做好網路安全層面上的防禦。言歸正傳，我們理想中的威脅情報是：

威脅情報服務提供商告訴我們什麼人要在什麼時候用什麼樣的方法來攻擊我們的系統，請各單位做好相關的防禦工作。然後我們聽從建議去進行相對應的防禦就能夠阻止甚至反擊這次攻擊。

然而理想很豐滿，現實很骨感，在威脅情報概念剛剛普及的時候，很多廠商在宣傳頁中都會大肆宣傳我們有多少個國家CERT的數據和多少合作夥伴共享的情報，使得威脅情報廠商基於等同於大數據廠商，只要有威脅情報相關的數據就能幹這件事兒，沒人去關心這個數據是否準確，是否符合國情，是否已經脫離了時效性這些問題。但是鄧爺爺說過：不管白貓黑貓，能抓住老鼠就是好貓，在一項技術發展的初期，尤其是威脅情報這種數據服務偏重的技術上，堆數據確實是一個必須要走而且是不得不走的路，因為當時大家都吃不飽。當數據量達到一定程度的時候，我們就會發現問題了，由於威脅情報本質上就是數據，數據所包含的特性威脅情報就肯定存在，比如說威脅情報的滯後性、準確性、有效性等這些問題其實都是現在威脅情報產品的問題。舉一個很簡單的例子，我通過同一個IP地址在不同的三個威脅情報平台上查詢，很有可能就會得到三個不同的結果，如果這樣的數據直接拿來輔助攻擊防禦決策的話，很可能會陷入一系列決策上的混亂，甚至會造成更嚴重的運營層面的漏洞。但是很遺憾，從威脅情報這個概念開始火一直到現在已經有一段時間了，這個問題在在國內的某些威脅情報的產品裡面依然存在。其實這個階段，威脅情報產品就是：拿著一堆不靠譜的數據跟客戶說你有可能被攻擊了。

0x02 威脅情報1.5——從CERT到CIRT

威脅情報1.0時代其實解決了吃飽的問題，我們有了大量的數據、大量的情報作為支撐，畢竟威脅情報這件事跟玩相機的都是一個套路，底大就是厲害。所以我們在威脅情報1.0時代往往使用的感覺和我們使用Google百度這些搜索引擎的體驗差不多。

換個Logo就能當威脅情報平台用

我們不應該只局限於國內的眼光，是時候應該看一下國外了。說到國外的威脅情報服務就不得不說一件事兒，那就是2017年這一年其實對於安全行業來說是很有參考價值的一年，首先NSA武器庫泄露和WannaCry事件說明了互聯網攻擊武器化這件事兒是真實存在的，而且一旦利用這種東西去發起攻擊後果不堪設想，原來的網路攻擊可能是讓你電腦死機重裝系統，但是現在的網路攻擊很可能會讓你出門刷不了銀行卡，開車加不了油，去民政局辦結婚證甚至都辦不下來的情況；另一個比較有特點的案例就是Xshell-Ghost事件，2017年之前幾乎沒有人關心供應鏈的安全，但是Xshell-Ghost事件發生後，越來越多的人關注軟體供應鏈的安全，攻擊者利用常用軟體的漏洞製作帶有後門的版本來通過CDN等分發方式進行大規模分發，導致中招的人不計其數，這事情聽上去就覺得很可怕。回到威脅情報本身，威脅情報在1.0的時候使用體驗可以說就和Google沒什麼區別，敲關鍵字搜索，然後走你，但是到了1.5時代，威脅情報廠商意識到了這個問題，單個的IP結果並不能左右決策，換句話說，如果安全工程師拿著一個IP列表上現在的威脅情報平台上查了一遍，然後跟Boss說這裡面的IP全都被標記成殭屍網路，我個人認為專業的安全管理者是不會因為幾個IP地址被標記為惡意地址而左右的。

Alienvault的OTX平台，是不是感覺可用性更高了

但是如果把這個故事包裝一下，威脅情報平台返回這些IP跟某個網路安全事件相關的結果，這時候安全管理者會提高一些警惕，會去敦促排查我們是不是受害者，威脅情報的決策性大大增加了。但是這和你題目的CERT和CIRT有什麼關係？

CIRT是從CERT演變而來的，CIRT代表了對安全事件在哲學認識上的改變。CERT最初是專門針對特定的計算機緊急情況的，而CIRT中的術語incident則表明並不是所有的incidents都一定是emergencies，而所有的emergencies都可以被看成是incidents。

威脅情報1.5的核心在於Incidents，把孤立的IP、MD5、HASH等單個數據包裝成一個Incident並且通過郵件等方式推送至客戶處，我覺得會一定程度上提高決策層對於威脅情報數據來源的重視。

IBM X-Force Exchange的郵件推送

但是威脅情報的三座大山——時效性、滯後性和可靠性這三件事情上都沒有得到很好的解決，尤其是威脅情報的可靠性，至今沒有任何一個機構或者說有名氣的廠商敢站出來說我們的數據100%可靠，指哪兒打哪兒從不失手，因為我們缺乏一套完整的有效的科學的威脅情報評估體系來給威脅情報打分。值得欣慰的筆者在參加ISC2017互聯網安全大會的時候看到了信工所在威脅情報評估方面的努力，說明終於有人考慮到這一點了。

雖然這個分數很雞肋，但是還是會影響決策

在1.5的時代，個人覺得國外的IBM X-Force、Alienvault國內的微步在線都已經達到了1.5的水平。

微步在線的新版體驗還是不錯的

0x02 威脅情報2.0——定製和高指向

以上的改變其實只能上算得上是1.5的水平，之所以稱為1.5是因為威脅情報的三座大山完全沒有根除，2.0時代需要解決的問題是：

高質量的威脅情報數據輸出
定製化和PTIC（私有威脅情報中心）的建立
基於Kill-Chain的事件追蹤

我們逐條來說，首先先來說第一條，想獲得高質量的威脅情報，除了上文說的引入科學的威脅情報評估體系之外，我們還應該對數據進行更快的迭代，這裡面會涉及到很多大數據、機器學習相關的東西。除了這些之外還應該像toC業務一樣和用戶進行良性的互動，鼓勵用戶提交可靠有效的威脅情報（這裡其實很多SRC都已經在干這件事了）。

接著來說Kill-Chain，其實企業用戶也就是甲方的安全運營團隊在意的往往不是這個IP什麼來頭，他們往往更關心的是我們是不是被別人搞了，被誰搞了，怎麼搞的，搞到了什麼程度。其實換句話威脅情報服務提供商只告訴客戶這個IP是被殭屍網路控制了在甲方看來影響決策的因子幾乎為0，但是如1.5時代提供單個事件情報的話，可能會在一定程度上影響甲方的決策，但影響程度基本上還是不會變動太大，但是如果威脅情報服務提供商能夠提供諸如發起攻擊方相關的信息：諸如攻擊手法、攻擊程序、攻擊使用的IT資產、地理位置、歷史攻擊行為和攻擊目的的話，我個人認為甲方會更願意去使用這些服務，換句話說。

如果A公司發現有一台伺服器在提權，同時對攻擊進行取證並發送給威脅情報提供商，提供商返回給客戶這樣的信息：

攻擊者A歷史活躍時間是xxxx、擅長用的工具是xxx、攻擊手法是xxx，目標客戶是xxx類型的、一般是為了xxxxx，根據貴司返回的數據來看，你們應該內部有不少機器都中招了，建議進行大規模排查。

這樣的信息在甲方看來是有效的而且可靠地，也就降低了甲方的決策成本的同時還防禦了攻擊。

如果把情報輸出成這樣會不會更好？

接下來說定製化和PITC，專業的攻擊者往往會針對某一行業甚至是某一特定廠商進行攻擊，而且他的往往只是攻擊者使用掃描器的附屬產品，假設能源類行業收到了一條告警說某個IP地址觸發了某條規則，在1.0時代，可能威脅情報提供的就僅僅是：這個IP是個掃描器，言簡意賅但是是廢話（本地IDS/WAF也能看出來這是個掃描器），但是在1.5時代可能就會演變成為一個事件，比如說這個IP跟敲詐者病毒有關係。但是2.0時代，威脅情報提供商如果還是提供這些的話，我估計可能來到了一個假的2.0時代，真的2.0時代應該是：這個IP跟B攻擊團隊有關係，但是他們的攻擊目標和您所在的行業無關，您可能不會是他的目標。這樣的話，甲方的決策成本會進一步降低。但是站在服務提供商的角度看，我們如果給特定攻擊者/攻擊團隊進行分類，然後以服務形式提供給客戶，甚至直接將由威脅情報生產出的威脅情報直接落在客戶本地機房內，形成私有的PTIC，同時根據云端來補充PTIC的量，這樣對於甲方安全防線又進一步的補充。遮掩會不會更好？

0x03 總結

威脅情報其實是一個非常具有前景的技術，和態勢感知更是相輔相成，正如我在ISC2017上所講的那樣，成熟的SOC未來都會是「兩線作戰」：一線注重於安全應急響應和事件調查，二線注重於安全監控和事件分析，對於一線而言，我個人認為縱深防禦是剛需，縱深防禦可以說是拖垮攻擊者的良藥，而對於二線分析團隊來說，威脅情報可以彌補安全運營團隊在態勢感知能力上的不足，減小安全盲區的覆蓋，使得能看見的攻擊種類更多。但是威脅情報現在的發展水平來說，真的可能連上學的水平都打不到，更別說畢業。但是正因為威脅情報的潛力無限，所以信息安全行業真的很需要很多精通數據挖掘技術和機器學習技術的懂安全的工程師加入到這個行業中來，相信威脅情報的未來一片光明。

但是話雖這麼說，一定要注意威脅情報只能用來輔助決策，不能用來直接決策，所以現在一般說威脅情報可以用來預測攻擊的基本上都是xxx。與其他的技術相結合可以使威脅情報的作用最大化，諸如互聯網攻擊溯源、用戶實體行為分析（UEBA）、事件調查與取證等技術結合威脅情報往往會產生意想不到的結果。

關於作者：一個沒事喜歡瞎想而且還在學習階段的安全研究員，研究方向為互聯網攻擊溯源和APT分析，知乎id：elknot