淺談情報的實踐與落地

淺談情報的實踐與落地

作者:Piz0n

更多文章,請訪問 
ightarrow sec-un.org

這可以說是一篇日記,記錄了我的探索和實踐。因為這一切都發生的磕磕絆絆,所以記錄的也就難成體系。

但,此文貴在真實、可落地、不矯情、不吹牛、有硬貨 …但也錯在沒體系、少數據、多抽象、字太多…

  • 全文主要內容集中在三個部分:

第一部分:情報的術與道。理論部分,這些理論並非權威理論,只是我在閱讀權威和自己的實踐之後所總結出來的理論;

第二部分:情報實踐與落地。關於情報落地的考慮,不過我盡量不會描述探索過程,直接放出我的結論,免得浪費時間;

第三部分:情報團隊建設。其實算不得嚴格意義上的團隊建設思路,只是結合實踐提出一些我期望團隊所具備的特質,這樣可以為大家組團招聘時提供參考;


【第一部分】情報的術與道

不談威脅情報,先說情報。

關於情報的定義有很多,我綜合了一些材料之後,說一下我對情報的認識。情報的本質是,在事件發生前或發生過程中產生的信息,並通過分析人員對信息加以處理從而形成可以協助判斷甚至決策的有價信息。這個有價信息就是情報。威脅情報也是此類範疇之內,只不過事件、信息和分析這些過程,都發生在特定的信息安全領域之內。所以,我認為,情報本身不是一個信息也不是一個結果,而是一個過程。這個過程我將其劃分為幾個環節:事件、信息、分析、決策。下面拆分來說。

1、事件

此處就是最原始的本意,只不過特指那些即將發生或正在發生但還沒有影響到情報需求方的事件。這類事件往往是客觀存在的,也是在所謂的「虛假情報」中最容易被忽略的。

戰爭歷史上有很多虛假情報的案例,例如,知名的霸王行動(諾曼底登陸行動代號/Operation Overlord/著名的D-Day),其中涉及到的衛士計劃(保鏢計劃/Operation Bodyguard)便是經過精心策劃的欺騙行動。其欺騙的本質便在於,霸王行動本身調動工作巨大,不可能完全瞞過德軍的情報機構,因此,索性製造另一場演出,來把 真·霸王行動 演繹成一場 偽·霸王行動。把德軍的力量吸引到 偽·霸王行動 中去。

在這個 偽·霸王行動 的過程中,德軍獲取了大量的虛假情報。而虛假情報的本質是在於信息的虛假,而非是事件的虛假。也就是說,即將有一場登陸作戰發生是事實,而 偽·霸王行動 表現出來的信息是虛假,這份虛假將作戰引向了別處,致使德軍將兵力用錯了地方 —— 換個視角來看,正所謂無風不起浪,有些信息在判斷的過程中分析人員會因否定掉「浪」而也不相信「風」的存在。所以,在判斷出情報的虛假性的同時,也應有更多的疑問,那就是為什麼會有這個假情報的出現,這個假情報所要迷惑的是誰、又想要掩蓋什麼、背後必然會發生的事件又是什麼?

(圖:諾曼底登陸 / 衛士計劃)

2、信息

這個是極易理解的,卻也是極難獲取的。因為對情報的分析,需要信息的全面性。而信息的全面其實並不只是包括圍繞事件本身的信息,還包括可能會對信息造成影響的其他外部信息。就好像一個生態圈一樣,食物鏈某一環的重大變故,可能是來自上一環、同時也可能引起下一環的變化。如果只是盯住當前變化這一環去看的話,就無法對事件最終的走向做出準確的判斷,這樣的結果就很可能會造成錯誤的決策。

3、分析

上面提到了信息的完整性,而信息的完整性除了採集手段以外,還取決於分析環節中分析人員的知識容量。黑客們一直在暢談的想像力不僅僅來源於邪惡,更來源於對知識的全面掌握,當你見到別人的hacking過程之後驚呼「還有這樣的操作」時,我們更應關注背後知識的深度和廣度。

另外,有人驚訝於另一些人的敏銳觀察力,但這些敏銳的觀察力實際上都是來自於對知識的掌握和對知識的不斷打磨和訓練(持續、深度的思考和使用),進而將知識植入到更深的意識層面,這樣在遇到某些特定事件時就會立刻在腦中匹配到對應的知識並將其激活。在昆汀的《無恥混蛋》中,Hicox 在小酒館中一個簡單的 Order 3 glasses 的動作就暴露了他的偽裝,這並不是什麼偶然。

(圖:電影 無恥混蛋)

4、決策

基於我對事件這一環節的定義,情報的獲取、分析工作就與事件拉出了時間空隙。而這個空隙,就是決策窗口期。

情報的價值如何體現,就體現在這個窗口期之內。好的情報,可以先於事件推演走向甚至結果,壞的情報,可能就只是一個事件轉發器。

但這裡似乎又出現了一個衝突 —— 我們說將要發生的未來,我們該如何判斷他就是未來?難道就是算命先生說要有血光之災一樣,你除了信與不信,就沒了其他選擇?如果選了相信,進而選擇「破財免災」的方式處理,那在過後又該如何評價算命先生的靈與不靈?

其實,仔細思考其中的細節就會發現不同,情報所說的未來,是基於信息的積累、分析、判斷而來,而算命先生的血光之災卻是真的只是口說無憑。

所以情報需要有結果,更需要有(分析)過程,這樣才能讓結果有足夠的信服力和權威性,甚至可以幫助決策選擇決策的方式與方法。所以,這也是為什麼我說,情報不只是一個結果,而是一個過程。

【第二部分】情報實踐與落地

暫時拋開上面的幾個環節,這裡簡單描述一下實踐與落地的過程。最後再看,到落地之後與上面所講的術和道是如何匹配的。

1、切入點:業務情報

業務側無疑是威脅情報的最佳切入點。

業務不但距離企業的核心能力最近,也有對抗的強需求,而業務又缺少信息安全技術的積累。

所以業務往往是目前威脅情報團隊的切入點之一。

不過業務情報工作又太過於具象化,與每個環境中的業務有著強關聯,因此,也就簡單列舉一下幾個切入點,後面就不再詳述。

發現:敵人在哪裡 — 信息傳播渠道(交流、發布渠道)– 技術(或工具)使用目標和範圍 — 樣本

分析:技術原理分析 — 相似性(技術同源/社交關係同源)分析 — 歸類整理

打擊:橫向(社交關係維度)– 縱向(技術維度) — 無規律打擊(我們自己知道規律卻不讓對手看到規律,打到讓對手懵逼、讓對手懷疑人生) — 威懾式打擊(宣傳或定向投放信息,利用好輿論恐嚇)

監控:效果評估 — 整體技術態勢 — 技術流向 — 業務流向

除此之外,還需要對自身業務有深度的剖析、跟蹤的能力。及時發現變化、及時發現問題,結合外部態勢做好驗證和預警。

2、有點尷尬:技術情報

如果我說業務是情報的最佳切入點的話,很多從技術情報起手的人可能會感覺到尷尬。

不說這份尷尬,先說為什麼選擇業務作為切入點,簡單來說是因為,業務系統一定是一個公司所有系統中最健全的系統,畢竟業務是一個公司的生存之本,什麼系統都可以破破爛爛,唯有業務系統不能破、不能爛,退一步講,即便業務系統又破又爛,但也一定是公司所有系統中最好的那一個 —— 這就引發出為什麼不把技術情報作為切入點的另一個原因,那就是系統的健全性。

從業務情報的視角去思考,為什麼業務需要安全的對抗能力?

因為業務環境內原有的對抗體系都已經被發揮到了極致,如果想要錦上添花,除了繼續壓榨自身能力外,就要考慮引入新的能力。所以,威脅情報在業務環境中得以生長。

也就是說,情報這種偏門的增值能力在完善的體系中可以發揮的更好。

切換到現有的安全防護體系中去看。

整體來看,目前的安全不要說把配套能力發揮出來,就連安全建設可能都存在很多問題。在行業不斷抱怨安全產品沒人用、用不好的同時,還存在大量的安全產品甚至都沒有被放到正確的位置和環境中去。

這就如同一個沒有作戰能力甚至連軍隊都沒有的國家,偏偏要組建一支情報部隊去收集敵方軍隊情報一樣。這種情況下,情報即便帶來了高價值信息,結果也很可能是無的放矢。

所以,不完善的體系本身就會或直接或間接的導致情報的增值能力變差。

當然,這也並不意味著就無事可做。

目前,威脅情報多以IOC和STIX形式存在,不過它們都只是信息的載體。只是【事件、信息、分析、決策】這四個環節中的信息那一環而已。技術情報唯有將這四個環節重新串聯落地,才能在尷尬的安全建設中找到合適的去處。

3、有點希望:繼續說技術情報

不得不說,威脅情報是對很多深耕於安全領域的技術人員的第二次挖掘與激活。

威脅情報對【事件、信息、分析、決策】這四個環節強烈的串聯需求,讓很多原來沉寂已久的分析人員有了新機會。但同時也提出了巨大的挑戰。

什麼挑戰?簡單講,懂得分析漏洞,但卻不一定明白漏洞對於所處環境的價值,甚至無法判斷這個漏洞是否會來到你的面前。

說到這裡,可能很多人會想到前幾年開始流行的資產發現平台,通過資產發現平台掃描到的資產指紋信息來進行漏洞匹配,這是一個可以很好的說明情報深度和四個環節打通的案例,一張圖來簡單展示一下:

(圖:資產發現探測示意圖)

這件事的整個邏輯簡單清晰。

資產發現可以通過指紋識別來判斷精確的版本(此處不討論結果準確性問題)。然後再根據出現的漏洞影響到的版本來進行比對、判斷。

但實際上,這件事情的最終決策是不應該如此簡單、粗暴甚至可以說不可靠的。

這裡,主要三個目標:資產發現A、資產發現B、被探測伺服器X,下面簡稱A、B、X並描述一下上面說的邏輯:

(1) A可以發現X,說明互聯網都能看見X的問題;

(2) A看不到只有B能看到X,說明只能內網可以看到X的問題;

這是這張圖裡最明確的兩個邏輯,僅這兩個邏輯就可以推導出不同的結果:

(1) A發現X,意味著X面臨來自整個互聯網的威脅;

(2) X僅對B可見,意味著X面臨內部威脅;

如果從這兩個視角去評價漏洞這件事情的話,其決策結果可能截然不同,對於情況1大概是需要立刻行動,對於情況2則可能延後行動,甚至根據B的位置還可能不行動。但上面的兩種情況實際上只是完成了內部的信息採集和分析,在術與道的部分曾提到,還需要考慮其關聯的生態環境。

跳出X和A、B這些視角之外,最重要的信息就來自於漏洞了,對漏洞有幾個可以快速評價的維度:能與不能、有或沒有、難易程度、危害等級。

第一,能與不能:眾所周知,很多漏洞從生到死連個PoC都沒有,對於這種情況,一般都很容易理解該如何忽略掉;

第二,有或沒有:隨著這兩年安全市場變熱,很多PoC造假就不說了,還有很多是捕風捉影。因此是否真的有可用PoC則是判斷問題升級的一個關鍵卡點;

第三,難易與否:就算有了PoC,還需要考慮PoC本身的利用難度,或是漏洞本身是否有什麼先決條件。對於先決條件複雜的,往往只要控制好先決條件無法得到滿足就可以降低風險;

第四,危害等級:拋開X的環境不談,漏洞自身的利用方式、獲得的許可權等情況,也決定了漏洞的危害等級。當然,這種等級一般廠商都給的很準確了,所以只需要參考原始信息即可;

另外,還有伺服器X在整個系統中的角色、地位,如果受到入侵或攻擊後可能產生的影響。這也是重要的評價來源。

作為一個通用產品能夠做到圖中勾畫出來的功能和場景似乎就足夠了,但在實際使用過程來看,需要考慮到各種內部信息、外部信息再結合經驗進行分析和判斷,才能使得其發揮期望中的效用。這也是情報所追求的。

而除了漏洞場景外,還有其他相當豐富且複雜多樣的場景。我在日常都是將這些場景非常的具象化,每碰到一個場景,就將場景羅列出來,並且結合kill chain定義了一個通用的威脅路徑,並進一步描述:

  • 每個場景在每個環節所可能面臨的問題(Attack)
  • 在這個環節中防護所應具備的能力(Protection)
  • 情報視角(外部黑客視角+內部滲透團隊視角)所能使用的信息和手段(Intelligence)
  • 情報如何將這些信息使用起來(Deployment)

(圖:威脅路徑策略表 / 戰術清單)

這裡只列出部分,而且不同的環境下,對於不同環節的定義方式可能也會有所不同,所以主要看套路就好(因為敏感的關係,大部分信息已打碼)。

通過枚舉的方式,可以做一張持續更新的記錄表格,當出現新的威脅方式和技術手段時,根據情況進行更新和跟進。但即便如此,工作依然處於被動的局勢,所以下面就談談主動性的問題。

4、更進一步:技術情報的主動性

至此技術情報已經以攻擊視角將一些威脅信息完整的映射到了內部。

但是,如果走出內部,來到廣闊的互聯網上去看,實際上馬上又能發現很多不足之處。因為內部這些所定義好的都是歷史上有存證的手法,而手法不斷演進、甚至在黑客不斷失敗的滲透後逐步摸清楚這些防護和情報手段之後,可能形成了一套專門針對這張表格的繞過手段,那時候就會回到「我不知道我被黑了」的尷尬境地。因此,在外部信息這個層面,需要更深入的擴展和挖掘。而在這個層面的挖掘上,應該是重人工、輕設備的一個環節。而這個過程,想要從「敵人是誰」這個問題入手並不容易。所以從技術手段、技術工具這個層面入手反而是更好的選擇。簡單來說,不斷研究對手的工具是什麼、工具在哪裡、工具什麼特徵、技術原理如何,然後將這些成果放入到內部的不同維度去驗證,簡單一例,反爬蟲是幾乎所有在互聯網上暴露業務的公司都會去做的事情,那麼,回顧一下反爬蟲的能力建設,是否可以回答以下幾個問題:

第一:爬蟲的使用場景是什麼?是純粹的技術場景還是業務場景?(技術場景:純粹為了獲取數據;業務場景:為了破壞業務或影響業務)

第二:場景的閉環在哪裡?例如,接觸過爬蟲的都知道一類很噁心的爬蟲,就是惡意佔座,那麼,惡意佔座之後能夠達到爬蟲使用者(使用者有可能不同於製造者,這點非常重要)的什麼目的呢?因為知道他們的目的,就知道去哪裡找你的敵人了。

第三:爬蟲的常用技術實現和技術特徵有哪些?從最簡單的wget、curl,以及各種開源爬蟲,再到那些形成了規則市場的收費採集工具。而技術特徵又不僅僅局限於UA,技術特徵是想像空間和利用空間最大的入手點。

第四:爬蟲閉環之外的商業模式是什麼?上面提到了爬蟲技術和閉環去哪裡找。那除此之外,爬蟲的製作、規則的編寫、爬到數據後的二次處理、甚至高級技術對抗,這些生態,又在哪裡?

第五:附加題,與爬蟲相關極強的代理問題。國內代理資源最常見的形式有哪些?集中在什麼地區?集中在什麼運營商?除了代理之外還有什麼類似的方案?方案原理和特性如何?

如果能以此為方向反向去入手,不再以事故的結果去分析原因,而是以客觀存在的現狀去推導可能的影響,並分析這些影響是否可能作用於自身。這樣做下來所推進的決策,才能更好的防患於未然。

依據這個方向去思考,可以簡單畫一張如下的關係圖。僅做一個簡單場景的關係映射,考慮不算周全。

(圖:主動情報內外部映射關係圖-非完整示例)

5、硬幣的另一面:反情報

反情報不是單純的將情報手段反向利用。

在傳統的情報領域,反情報的主要意圖在於預防和保護重要情報不外泄。也就是,圍繞情報的對抗。

那麼,圍繞威脅情報的對抗工作,又有哪些?

(1) 提升效率。威脅情報最初的主要目標之一就在於快速分享,提升轉化的效率。因此,從效率方面去對抗,必然是入手點。

(2) 提升隱蔽度。除了效率外,就是技術方面的對抗升級。隱蔽度是目前各種威脅情報的通用技術對抗切入點。

(3) 知己知彼。情報講究知己知彼,反情報也不會缺少這樣的套路。所以黑產往往也會是威脅情報的消費方。

(4) 套路你的套路。利用獲取威脅情報的套路來反套路,例如,污染情報源。

當威脅情報能夠被合理使用的時候,考慮反情報場景、以及對反情報場景的對抗,將會推進威脅情報的升級。

6、歸宿:全景能力

有人問過我,情報最需要的能力是什麼。

當時我回答的是 —— 記憶力超群。這是我的短板。所以我一直期望有一個信息管理平台,能夠幫助我記憶。這些記憶到底有什麼作用?

在一定的時間窗口內,從宏觀視角來看,我們的對手是不會變的。

那如何能夠了解對手的方方面面呢?

如果假設我們知道對手是一個人(重點在「一個」不在「人」),而這個人現在只有一歲大小,而我就是知道,當天他長大到20歲的時候就會成為我們的強敵,而因為各種狗血人設的原因,我們又沒辦法在他20歲之前殺死他。

那麼,我們想要做的無非就是從現在開始就儘可能的近距離觀察他、記錄他,了解他的方方面面,一直熟悉到能推測出他的每一步動作為止(當然,其實還有更高端的情報手段,就是「影響他」,但不在本次話題內)。

我的大腦無法持續記錄一個敵人20年的所有信息。更何況,多數情況下我們要記錄的不止一個敵人,這就是我們情報工作面臨的另一個難題。

如果搞清楚了敵人、信息的獲取能力到位了、分析能力也足夠,那麼,全景能力實際上就只剩下一個門檻了 —— 信息的跟蹤記錄。

將敵人的所有有效信息(是有效信息,而不是信息)全部記錄下來,應用好分析團隊的分析能力,那我們距離全景境能力就很近了。

那麼,全景能力到底能給我們什麼呢?

全景能力的入口不會是一個很具體的事件,而應該是一個態勢。它就好像地圖上的熱力圖一樣,你無法看清楚到底是哪條街道擁堵,但卻足以判斷哪個區域目前不適合駕車前往。

但是,這種態勢經過持續的挖掘又可以變得很具體。就好像,如果歷史告訴我們,A區域的擁堵必然在20-40分鐘之內會影響到B區域,那麼,在我們無法快速有效的挽救A區域的擁堵時,可以先去想辦法避免B區域也迎來一場大堵車。

所以,全景能力的宏觀層面可以給我們負面的指導 —— 告訴我們哪裡危險,微觀層面則可以給我們正面指導 —— 接下來哪裡會變的同樣危險。

當然,只是這樣抽象的描述,依然無法展現一個全景能力的到底需要思考哪些方面,此處列舉一例。

每逢新漏洞的PoC出現,便有一波批量探測的互聯網行為出現,這類攻擊是大面積撒網,而非針對性攻擊。如果我們將全景能力具象化到這一個事件上,我們需要了解的要素有:漏洞是否有PoC、攻擊是否開始出現、攻擊是撒網式的還是定點式的、我們自己是否存在這樣的問題。回答了這幾個問題,就可以有效規避和應對。

同樣的套路,可以套用到很多地方,比如,羊毛黨:人群是誰、用的什麼工具和技術、成熟的套路是什麼、這些套路和技術對我們是否適用、我們是否有被薅的價值、哪裡會被薅 … 等等。

如果一群人掌握著大量貓池並善於以此來薅羊毛,那就意味著我們所有需要簡訊資源的地方都可能被對方盯上並利用。

如果對方用群控在做批量點擊,那就意味著我們在沒有非人類操作做判斷的地方,都可能面臨被模擬點擊薅掉的風險。

類似的適用場景很多,就不再深論了。

那麼,從上面的例子中可以看到,在全景的前置過程,是無數情報源的持續輸入,在情報進入的時候,這是一個態勢級別的全景能力,只能看到客觀的全景(對手視角) —— 這種全景的價值在於觀看熱度,換言之,對手最集中的手法(熱度最高),就是我們最優先考慮的防護建設方向。

當把具體的一條情報引入到我們的場景中時,就不再只是一個態勢全景,它可能會很具體,具體的就好像上面的例子一樣 —— 這種具體的場景會給我們進行預警和響應指導。

有沒有聽起來和態勢感知很像?其實每個領域內工作做得到位後,都可以建設以自己領域視角為主的態勢感知能力。情報也是如此。

7、立足點與差異

這裡簡單說一下情報使用者和生產者的立足點和差異。

也就是我們常說的甲方和乙方對情報的視角有什麼不同。

其實看過上面的內容就應該不難看出,使用者會更關心落地的場景,也就是說,哪些情報是對我有用的、而哪些情報可以被我用來作為線索(注意,僅是作為線索而非結果)用來切入我的場景。

而情報生產者則不同,一般情況下生產者是很難看到或是即使看到也無法看清使用者的使用環境的。所以生產者往往追求完整而不是有效,而加上每個情報生產者的立足點和視角不同,就會導致不同的生產者,在同一類情報上的質量有差異。

所以,當使用者對生產者的情報僅使用特定場景去測試或按照數量去比對,往往就會造成結果的偏頗。

8、總結

最後,第二部分說了這麼多,總結一下並套用到情報的術與道的四個環節中來看:

事件 —— 定義你的敵人,畫出敵人分類中的最小圈子。例如,如果我們將使用了不合法手段的人都視為黑客的話(雖然有些人配不上此稱號),那麼,其中可能會被分出一群人叫白帽子,他們很可能不是你的敵人。而另一群人可能是爬蟲製造者,他們很可能是你的人。當鎖定了敵人之後,有一些客觀存在的事實就必然會存在。換句話說,當你知道有一群人每天琢磨著去哪裡爬點數據的話,就會明白,只要你手裡的信息有價值,爬蟲這種事遲早會來;

信息 —— 尋找你的敵人的活躍地點(如:論壇、社交圈等),了解他們的知識層面、技術深度、常用手段、生產工具等。這些都是事前的,還有一些事後的。比如,你的機器被黑掉後可能會用來做什麼,其中的變現過程是怎樣的,銷贓過程是如何發生的,等等;

分析 —— 事件和信息兩個環節都清晰的話,實際上分析過程就是將這些事實像拼積木一樣拼合在一起。你的哪些敵人,用了哪些手段。而另一些敵人,是否用了其他完全不同的手段。是通過手段或技術工具來識別敵人,還是通過定位到的敵人來識別出新的工具和技術手段?總之,組合方式非常之多,甚至由於業務場景的差異,還能細分出更多的組合套路;

決策 —— 基於事件、信息和分析的反覆推演,最終形成對特定情報鏈的分析與匯總,這樣的情報屬於戰術情報,用於決策某類或某個特定事件的提前處置與事發時的響應。而進一步看的話,對這些鏈條進行追蹤分析,並將所有同類別的情報鏈條整合在一起,形成對特定類別事件的動態全景能力,這類情報屬於戰略情報,可用於更高層面的策略和建設工作的決策輔助。

【第三部分】情報的團隊建設

這部分我並不打算描述一個情報團隊應該由什麼樣的人員組成,因為作為一個興起才沒幾年的方向,我並相信簡歷中的「威脅情報分析師」能有多深的經驗積累。

所以說來,情報分析團隊的組成,還是要依靠對原有安全行業內已長期存在、並逐步成熟的崗位的再利用。而具體的利用方式也會因環境不同而有所差異,因此我只是列舉我所認為應具備的特質,以及工作中碰到的一些問題和應對方式。

希望通過這樣的說明,能夠為團隊的搭建提供一些思路。

1、耐心與嚴謹

這兩個選項幾乎是所有崗位都需要的,卻又都略有不同。

耐心是一個過程,很難描述清楚。

簡單講,當我們從10GB數據里抽取想要的結果時,靠技巧就能做到。而從1TB數據里想要找到目標時,除了技巧還可以依靠計算能力。但如果是從10TB數據里去尋找線索,就必須要有足夠的耐心。

其中的道理,自不必強調了。擼過數據的都知道其中的辛酸。只要明白,當你堅信結果就在數據中時,除了運氣以外,其他的,就交給耐心好了。

至於嚴謹,分析工作不是一個單純的技術點,往往是一條線,甚至可能是一張網。

因此,組成這張網的證據鏈是否嚴謹就顯得格外重要。就好像一個問題,當眼前存在兩個事實A和B時,往往當我們發現可以從A推出B,則認為這兩者的存在是有著關聯的。但這並不嚴謹。

至少在我經歷過的很多案例中,一些明顯看似具有關聯關係的兩個數據,最終卻都被證實毫無關係,甚至我還見過一些啼笑皆非的巧合。所以,大膽假設的同時必須小心求證,並不斷反問自己,所有的可能性都求證過了嗎?

另外,對一個人的嚴謹性的考量,可以從日常很多工作中看得出來,相信大家都有很多手段也就不再闡述。只是需要注意的是,在團隊作戰時,一個環節不嚴謹的結果,可能導致最終整體的結論錯誤並為此付出大量無用功,因此,不嚴謹的人,不要讓他去穿線或織網,做好自己擅長的技術點就好。

2、知識雜亂但有體系

其實我想說知識淵博、或知識面廣,但我想,也許並不需要那麼高的等級。

我經常聽說的就是,做黑客或是做安全,要有足夠的好奇心,我也見過很多好奇心足夠充足的人,但可惜,我發現大多數人只有好奇心,卻沒有探索好奇心背後知識的行動。

而情報的過程中,除了已掌握的知識可以覆蓋的那些分析工作外,其他還有很多在我們知識體系之外,這些往往都是在好奇心的支配之下去探索,如果只是有好奇心卻沒有探索行動的話,往往就會在門前徘徊而始終無法入門。

而「有體系」又是什麼?

無論一個人的知識多麼的零散,當達到一定積累之後,都是有可能通過某個體系將其關聯起來的。

換言之,我想像的情報分析人員就是,有足夠的好奇心並且能為好奇心付諸行動去探索。而知識的零散卻不凌亂,就證明他有很強大的抽象與歸類能力。

這樣的人,會善於發現、善於總結,既能很好的完成探索工作,也具備知識的傳承能力。

3、少積累多試錯

這裡我想說兩層意思,第一層意思就是,數據不是寶、用好的數據才是寶;第二層意思就是,多試錯少想像。

第一層:數據不是寶、用好的數據才是寶

曾幾何時,一談到情報就互相攀比數據的豐富性,甚至有些人為了豐富自己的數據而故意在清洗數據過程中放水,留下很多模稜兩可的數據。

情報分析的工作本質上是不斷篩選數據的過程,一味求多、求全,並不能因數量積累就帶來質量的改變。而在有限的數據樣本中能夠摸索出適合自己、適合場景的套路,進而再引入新數據,然後在新數據中使用老套路進行驗證、修正和調整,如此不斷反覆,才是一個循序漸進的良性過程。

否則過分依賴數據,很可能會出現貪多嚼不爛的情況。

第二層:多試錯少想像

一萬次的想像不如動手一次。這個沒什麼好說的,在過去一年裡,我很多想像中的結果都被最終的數據推翻。

而數據也給出了更多我意想不到的結果。所以,只要智商沒離線,多動手總是沒錯的。

4、眼尖心細好奇心強

眼尖來自於知識的積累和不斷應用,這一點在最開始就已經提到了。

但最大的問題就是,沒有一個人的知識體系能夠強大到覆蓋整個世界的圖書館。所以,這裡所說的眼尖就不僅僅是基於知識豐富性的下意識反應了,更應該加上細緻的內心和好奇心。

下圖來自一個長度為 2分10秒 的視頻,在一次幫助朋友分析case的過程中,當我們已經進入死胡同的時候,我就開始在電腦上翻看所有跟對手有關的圖片或視頻。在看了一下午之後,終於通過這一幀找到了突破口。

相信很多人都已經看到了問題所在,答案就在於右下角的iTools[D***TC***C],通過這個信息,獲得裝有iTools的電腦主機名,並以此撬開了一個口子。

當這個字元串放到一個被無數馬賽克遮蓋的圖片中,它就變得異常顯眼,而對於當時的我來說,這個字元串卻隱藏在一段100多秒視頻中的某一幀的某一個角落......沒錯,當時我是一幀一幀看的視頻。

(圖:iTools與主機名)

5、案例的轉化與傳承

之所以上面會提到視頻的例子,就是因為這就涉及到一個案例的轉換問題。

阿基米德只要一個支點就能撬動地球,而很多情報工作可能只需要一個字元串就能突破所有困境。

而這個字元串從哪裡來,往往就是難題 —— 這也是很多情報工作無法細緻講解的原因所在,因為有些問題一旦說破就會被人以鄙夷的鼻孔瞪著說:「原來就是這樣,我還以為是什麼高科技」。但有時候情報分析就是由很多這種不入眼的小套路組合起來的大套路,而這種套路中套著套路的套路,也套路了很多人。

另一方面,很多時候這些不太能看得上眼的小套路,其背後也可能隱藏著對知識的深度理解。

基於這樣的原因,情報的案例積累與傳承就很重要。就好像現在,所有媒體文件我都會留存一份,不管這些文件目前看起來是否有用,因為我也不知道什麼時候就需要轉回頭,去從它們身上尋找那個可以撬動地球的字元串。

【第四部分】結束語

情報工作源於人,也終於人。人強,則情報強。人弱,則情報弱。

我這樣說,並非是抗拒人工智慧這樣的未來科技,我甚至相信有一天我們從夢中醒來時發現,原來我們早已深陷於母體。

但不管哪個才是真相,至少我們還生活在一個雙眼所及之處,只有人類智慧的世界中。

在人工智慧來到之前,情報還是要依靠人肉智能。

踏踏實實做好分析工作。相信科技,但不要過分迷信科技。信賴數據,但不要過分依賴數據。


推薦閱讀:

TAG:情報 | 情報機構 |