安全威脅情報有效使用的基礎

作者：snow

更多文章，請訪問 http://www.sec-un.org

威脅情報是近兩年來被安全界提及最多的辭彙之一。有人說威脅情報是解決現有安全問題的良藥，有人說威脅情報不是新鮮事兒，上古」就已有之，這種百家爭鳴的形勢必將對國內網路信息安全的發展帶來巨大影響。

2013年5月16日，Gartner給出了威脅情報的定義：「Threat intelligence is evidence-based knowledge,including context, mechanisms, indicators, implications and actionable advice,about an existing or emerging menace or hazard to assets that can be used to inform decisions regarding the subjects response to that menace or hazard.」?

即：「威脅情報是基於證據的知識，包括場景、機制、指標、含義和可操作的建議。這些知識是關於現存的、或者是即將出現的針對資產的威脅或危險的，可為主體響應相關威脅或危險提供決策信息。」?

1、Evidence：證據，是證明事實的材料，即證據是必須經過查證屬實。

2、Context：可翻譯為語境、上下文、背景、環境。在這個定義中見到過翻譯成情境、上下文等，這裡翻譯為場景，指每個情報都有其適用的環境和時機。

3、mechanisms：機制，指情報所涉及威脅所採用的方法和途徑。

4、indicators：指標，描述威脅情報的時涉及一些指標。

5、advice：建議，針對威脅的消減或響應處置的建議。

6、an existing or emerging menace orhazard to assets：威脅情報針對的對象是資產。?

威脅是一個常被濫用的術語，特別是當一個威脅對某組織存在而對另一個組織「不存在」時。很多組織沒有正確理解威脅的含義，沒能準確識別威脅，導致在錯誤方向投入了大量的安全資源，或花費了太長的時間去進行風險和脆弱性分析，而不是將寶貴的時間花費在消減或修復問題上。?

威脅是意圖、能力和機會三部分的結合。缺乏這三要素，對於個人或組織而言，在那個時間點，那個場景下「威脅」或「危害」不存在。威脅的三要素，即：

1. 意圖：指惡意行為者把你的組織定為目標；

2. 能力：指惡意行為者能使用的手段和方法（例如特殊類型的惡意代碼等）；

3. 機會：指惡意行為者所需的缺口（例如脆弱性、無論它是軟體的、硬體的還是人員的）；?

如果惡意行為者有意圖有能力，但組織沒有脆弱性，或者說現在沒有機會，惡意行為者並不構成威脅。注意，這裡講的是「構成威脅」，而不是"威脅",「構成威脅」等同於風險的概念。

雖然威脅情報的供應商們進行了各種嘗試，威脅情報通常不用XML擴展格式來描述，而是以感染指標（Indicators of Compromise，簡稱為IoCs）或威脅饋送（threat feeds）的形式來表達，因此，威脅情報的有效指標指示或饋送要求組織要先了解自己，然後才是了解對手，即《孫子兵法》中的「知己知彼」。 ?

如果一個組織不了解自己的資產、基礎設施、人員和業務運營情況，將無法了解是否給了惡意行為者可乘之機。因此，對自己沒有足夠的了解的組織，無法識別可能對其感興趣的惡意行為者，更不能正確識別惡意行為者的意圖。

相比於惡意行為的意圖，惡意行為者的能力更容易被識別（很多時候我們看到的威脅情報偏重於這部分內容）。很多能力是盡人皆知的，還有一些是經常被有效使用的，例如釣魚郵件（phishing emails）。有效的威脅情報可以識別新型惡意能力，其中有些主要用於專用目標。儘管惡意行為者使用的大部分方法和手段易於識別，但那些連最基礎安全措施都沒做好的組織將無法充分利用威脅情報。?

威脅情報是對惡意行為者的攻擊意圖、時機和能力分析後所得到的信息，是情報的一種。情報的生命周期對其適用，即計劃、收集、處理、製作和傳播相關信息。威脅情報有別於其他情報之處在於著眼於威脅的識別。?

與組織的情況匹配與否是判斷威脅情報是否對組織有價值的依據，因此，情報的計劃階段變得至關重要，如果收到情報的組織無法知道哪些信息適合於自己，威脅情報毫無價值。如果情報供應商能為組織量身定製，客戶化後的威脅情報看起來將是完美的，而沒有做過定製的威脅情報對組織而言很可能僅僅是一堆不相干的數據。?

製作和消費定製化威脅情報的能力有戰略和戰術兩種應用選擇，這將對組織的安全狀況產生影響。共享戰術級別的威脅情報，不僅能達到戰術級目標，而且可有助於運用感染指標構建出戰略級的更高層面威脅圖示。?

威脅情報通常不是戰略情報就是戰術情報，戰略威脅情報通常是較為寬泛，更高級別抽象的數據，用於識別威脅以及研判組織如何減少威脅，決策如何配置安全預算，人員應聚焦在哪些方面。?

戰術級的威脅情報則廣泛的處理所收集的數據，以獲取正確的網路信息，通過分析，識別威脅並響應。這類處理通常是在網路安全監控過程實現，威脅情報提供分析出的感染指標（IoCs）用於尋找被入侵的跡象。?

感染指標（IoCs）一般表現為以下幾種情況：

1. 原子級的信息，如IP地址，郵件地址；?

2. 可計算的信息，如惡意文件的數字哈希；?

3. 行為指標信息，如惡意行為者的行為概覽；?

被識別出來的感染指標（IoCs）可以通過STIX/TAXII 和OpenIOC等標準共享，如特定行業通常從信息共享與分析中心（ISACs）獲取和共享威脅信息，對於大組織來說，ISACs是為面向特定行業的威脅識別的不錯的始點。?

隨著安全威脅概念被廣泛認知，國內相繼成立了幾家安全威脅情報中心，後續會有更多的安全威脅情報中心湧現，但沒有任何一種方式可以覆蓋所有的威脅情報。儘管如此，還是有些重要的結論有助於人們和組織在威脅情報這個領域開個好頭兒。

1. 不要重複製造輪子：摒棄細節後，你會發現自己所理解的事情可能已經被做出來了，或者和很多人的想法不期而遇。因此，儘可能的收集可用的信息，運用已知的方法按需進行定製，不要重複製造輪子！?

2. 工具不能自動生成情報：無論供應商如何宣傳，都請堅信數據饋送（data feeds）不能直接給出威脅情報。任何類型的情報都需要分析，而分析這項工作一定要人參與，各種各樣自動分析工具的作用是提升分析效率，獲取有效結果的分析過程必須有分析師參與。?

3. 不「知己」情報無用：在不能識別哪些情報適用於你的組織時，獲取多少情報都是無用的。需要從業務處理過程到組織里有哪些資產，網路上提供了哪些服務等方面了解自己的組織。?

4. 盈虧平衡點前必須加大基礎建設投入：基礎安全措施已經消除了針對組織無以計數的威脅。當基礎安全措施建完後，像威脅情報這種高級手段更有助於組織對高級對手實施的威脅進行識別、消減和響應處理。基礎安全措施不必苛求完美，但肯定存在一個盈虧平衡點，在此之前，必須加大基礎建設的投入，否則將無法收回安全上的投資。

最後不得不說：當面對數不清的威脅時，防禦是件困難的事。一定要先了解自己，再基於情報信息處理了解對手，儘管這兩件事做起來都不容易，但一旦完成就可使防禦可為，有可能使讓防禦者轉處於上風。

參考：http://www.tripwire.com/state-of-security/security-data-protection/cyber-threat-intelligence/