如何用大數據做威脅情報？

大數據、威脅情報，這兩個辭彙聽起來非常性感。在我們的想像中，掌握大數據的人就像先知和上帝，俯視我們所不能完全理解的事態，精準地預言我們將要面臨的危機。然而，對於大數據的利用是非常考驗功力和技巧的。很多學藝不精的團隊稍不留神就可能把威脅情報搞成「擺攤算卦」。

本期硬創公開課我們請來了白帽匯的創始人劉宇，白帽匯擁有一樣獨門武器，那就是NOSEC大數據平台，可以匯總諸多白帽子網羅的獨特情報。像黑客一樣去思考，就是他們的自我要求，今天就請劉宇來聊聊白帽匯在真槍實彈的對抗中，究竟如何把大數據究竟轉化成有用的威脅情報。

劉宇，白帽匯聯合創始人。2004年畢業於湖南大學計算機通信學院。擁有微軟MCSEC,MCDBA,MCP證書，從事信息安全行業7年。2009年與趙武（zwell）一起成立諾賽科技，負責穿山甲，竭思，億思的銷售與推廣。億思是全球第一款在線Web應用安全掃描平台，2011年擁有幾萬企業用戶。2015年，作為聯合創始人創立白帽匯。

白帽匯究竟是神馬？

Q：白帽匯是什麼意思呢？和大數據威脅情報有什麼關係呢？

白帽匯，顧名思義，是白帽子匯聚。

我們覺得白帽子和企業是相互服務的關係：

• 我們的NOSEC大數據平台上的情報可以幫助白帽子更好地挖掘漏洞；

• 同時白帽子提交威脅情報到NOSEC，這些威脅情報為企業信息安全提升而服務。

這就是我們「匯」字的含義。

有關威脅情報的一切

Q：威脅情報是怎麼出現的？

安全由一個公司來完成，這在很早期，還沒有互聯網公司前是可行的。你的安全，用一個殺毒軟體就可以搞定。比如：國內的瑞星、江民、金山，國外的諾頓、卡巴斯基、小紅傘、Avast 等等。到了現在，技術的發展這麼迅猛。安全，尤其是企業安全就不再是殺毒軟體就足夠的事情了。

講最直白的例子：

十年前阿里巴巴還沒有正規的安全團隊，你和淘寶說：有人刷單。人家保准罵「你有病」，而現在，阿里巴巴的安全團隊明確將「有人刷單，某個人提供刷單服務」當成威脅情報，並且還會獎勵情報提供者金錢。

從殺毒軟體，到現在「威脅情報」，這種變化是沒人可以預計的，都是隨著業務發展，技術變化，慢慢養成的安全需求。

【白帽子提交的威脅情報/ 圖片由 NOSEC 平台提供】

Q：什麼是威脅情報呢？不用會死嗎？

SANS 研究院對威脅情報的定義是：針對安全威脅、威脅者、利用、惡意軟體、漏洞和危害指標、所收集的用於評估的應用的數據集。

幾年前，我們將漏洞看做唯一的威脅信息安全的途徑，而實際威脅企業的太多方面，漏洞只是其一。還有比如：釣魚郵件，員工的個人信息，密碼習慣等等。根據我們的調研，目前許多的漏洞非直接來源於IT資產的漏洞，而是企業員工個人信息等。通過員工與企業相關的郵箱，OA，VPN賬戶入侵，再入侵到企業伺服器。

威脅情報還有一個相關的詞——社會工程學。也是到目前為止，全球最牛的安全人員——凱文·米特尼克使用的最重要手段。他不是挖漏洞的高手，但是是社會工程學方面，他是最牛的人。他每天去撿廢紙，通過這些企業倒出的廢紙，黑掉那些企業。

所以，毫不誇張地說，社會工程學可以獲得企業的很多機密情報，比如：打電話欺詐獲得root密碼，通過釣魚郵件獲得員工帳號密碼等等。

威脅不只是漏洞，還有企業泄露的人員通訊錄；企業上傳到網盤的記事本；企業的一段代碼，甚至是垃圾堆里的廢紙。所有的一切威脅企業信息安全的都是威脅情報。

Q：是否能舉一些例子，講講真實世界的威脅情報究竟是什麼樣子的？

企業最希望了解外面的攻擊者在幹什麼。

哪些人？

什麼目的？

針對我的哪些業務？

做了什麼？

還想做什麼？

這些都是威脅情報提供的。

比如前段時間，我們發現了噹噹和小米的訂單數據泄露。這個不是漏洞，而是一個信息安全事件後的數據泄露。我們第一時間告訴噹噹和小米。這個事情發生了，他們了解到這個事件，首先要做的是保護用戶，通知用戶保護自己帳號，提醒可能的電話詐騙等等。然後再尋找自己的信息安全問題。當然我們也會告訴噹噹和小米，你有哪些漏洞可能導致數據泄露。

Q：誰需要威脅情報呢？

以我們為例，白帽匯的威脅情報得到新浪、小米、噹噹、華為等互聯網公司的重視。還有BAT的漏洞，這些都是經過我們團隊驗證的。

但是需要威脅情報的遠遠不止這些大企業。對於企業里的員工，使用企業服務的客戶，在聽我說話的每一個人，也需要威脅情報。比如之前發生的CSDN信息泄露，攜程信息泄露，網易郵箱信息泄露。這些都讓每一個在互聯網混超過幾年的人都非常緊張，趕緊去改密碼，趕緊查自己的開房數據有沒有泄露。其實，我想告訴所有人一個事實，你只要使用了互聯網，你的信息就很可能被泄露了。

想想你用的哪一個APP不是問你要通訊錄讀取許可權，有的輸入法申請的許可權跟殺毒軟體的許可權一樣，你不裝又不方便。所有程序把我們的通訊錄，簡訊，系統設置許可權統統拿走。以至於當我們收到釣魚簡訊，裝惡意App時，毫無警覺得就裝上了。因為這些惡意App和常見的App許可權是一樣的。

此時，一定會有人笑我，講了太多App行業的內幕。實際上造成這些現象的內幕是，用戶根本不懂得保護自己隱私，企業想要你的一切信息，連女性的生理期都想要。（哈哈笑）

總結一下：

企業可以關注威脅情報，提升企業的信息安全

個人可以關注威脅情報，對保護自己隱私有幫助。

大數據怎麼玩？

Q：怎麼用大數據做威脅情報呢？

收集到一堆的數據，對企業來說無任何意義。威脅情報里有一個重要的情報來源就是對於安全大數據的分析，一大堆數據不能算情報。

我們NOSEC大數據平台有幾塊。企業IT資產透視、全球網站檢索、NOSEC威脅情報。除此以外，還有：子域名庫，URL庫，Emai地址庫，全球網站指紋庫，這些都是花了許多精力積累起來的，不斷更新。

Q：這麼多種類的大數據，有哪些是構成威脅情報不可或缺的呢？

有很多，我可以舉兩個例子。

企業 IT 資產透視

很多企業不了解自己資產。例如有多少伺服器，多少IP，每個伺服器跑啥業務。他們想搞清楚，但是一直沒能搞清楚。有個巨大的公司告訴我們：前段時間他們發現1個 1Day 漏洞，想給自己的伺服器打補丁。但是這個過程非常緩慢，打了三天才終於把所有伺服器打完。

這時候肯定有人會問：為什麼打個補丁要這麼長時間呢？把全部伺服器找出來，一併打了不得了？

原因就在於他們對自己的資產並不熟悉。這也是我們在做的事情，讓企業了解和掌握自己的資產，對每個資產打標籤，檢索出企業泄露的員工信息。這種情況下，企業 IT 資產的數據就變得非常有用，它可以為企業防患安全風險，遇到風險也可以及時補救。

全球網站檢索

安全行業的朋友知道 Shodan（撒旦），這是一個全球的伺服器埠指紋系統。它可以識別這個埠跑的是Http，還是 Mysql，還可以進一步知道是什麼版本。

我們做了一個『全球網站檢索』，只針對 Http協議、Web 應用層。把全球的web服務指紋收集起來。這樣就能標識出一個網站在哪個埠，使用哪一種 Web Server，哪種編程語言，哪種開源框架（如：CMS等）。通過這些功能，可以找到全球在線的 Squid 代理伺服器；全球有哪些網站使用了 Jquery；全球有哪些在線H3C路由器；哪些網站使用了GeoTrust證書；哪些網站掛了某一種木馬；哪些網站使用了CloudFlare的 CDN 等等。

這些大數據，對於探測企業面臨哪些威脅，都是必不可少的。

我拿到了威脅情報，然後呢？

Q：企業拿到威脅情報之後，有哪些應對的措施呢？

這個根據情報的不同類型，需要採取不同的措施。

泄漏事件：企業需要第一時間知道發生數據泄露事件。比如噹噹和小米的訂單泄露事件。我們通知給受害企業，企業第一時間準備公關，查漏補缺。

漏洞威脅：對於漏洞等威脅情報，提交給客戶，他們收到後，可以修復漏洞。我們還會將一些著名的黑客團隊習慣的攻擊手法，打標籤，讓企業對頂級的黑客團隊有所掌握，首先防患。

Github代碼泄露：還有部分github的數據泄露事件，包含企業的伺服器ip，帳號和密碼，這些威脅情報企業得知可以改密碼，換伺服器等等。

總之，威脅情報，是企業知己知彼的一個重要途徑，關起門來做信息安全，是與時代背離的。技術每天變化，威脅情報能讓企業信息與黑客信息同步，為信息安全建設提供巨大幫助。而且隨著技術的發展，威脅情報能夠提供的幫助，會越來越強大，甚至超過我們的想像。

推薦閱讀：