威脅情報的前世今生

引言

今年五月，全國信息安全標準化技術委員會按照GB/T 1.1-2009規則起草的國家標準《信息安全技術 網路安全威脅信息表達模型》開始進入徵求意見階段，北京啟明星辰信息安全技術有限公司應邀成為模型起草單位。此項標準的制定意味著網路安全威脅情報將打破現有環境束縛，走向有國家標準的正軌，形成適合威脅情報發展的最佳秩序。

打破先手優勢的超人——威脅情報

棋盤上的黑白子之爭，先手自帶優勢，後手難免受掣肘，安全攻防之戰也是如此。不法攻擊方不單可以在暗中觀察、旁敲側擊，更有突發先手進攻的優勢，防守方事前無法察覺，唯有在事中、事後才能對進攻行為進行阻攔、修護，也正是因為長期的被動阻止讓防守方開始將安全防守的角度放在了事前階段。

四年前，也就是2013年，一個叫做「威脅情報」的技術在國內信息安全行業嶄露頭角，近兩年威脅情報開始大火，但如何快速理解威脅情報是什麼，先給大家舉個形象的例子：

我們假設路人將從A點走向C點，而劫匪在B點提前準備搶劫。

這樣就會發生兩種情況：

第一種，路人毫無防備的在B點被劫匪搶劫走錢物，造成不可避免的損失。

第二種，有預知能力的「超人」在A點的時候提前告知路人，在他走到B點時，會被劫匪用刀具威脅等方式搶劫，路人可選擇其他道路等合理的應對方式避免損失。

這第二種情況中提到的「預知能力的超人」就是——威脅情報

而威脅情報的種類很多，釣魚網站情報、殭屍網路情報、C&C遠程控制伺服器情報等等數不勝數。

聽說威脅情報被誤解了

然而想要理解威脅情報，要從消除誤解開始。

【漏洞情報是威脅情報的一種】——這句話揭示了大多數人對威脅情報的一個誤區，那麼正確的理解是什麼呢？

1、漏洞情報與威脅情報是平行關係，兩者不存在從屬關係，兩者都屬於安全情報。而安全情報包括安全威脅情報、安全漏洞情報、安全事件情報、資產情報等多個類型的情報。安全情報可以幫助企業和組織快速了解到敵對方對自己的威脅信息，從而幫助他們提前做好威脅防範、更快速地進行攻擊檢測與響應、更高效地進行事後攻擊溯源。

2、那威脅情報和漏洞情報又有什麼不一樣呢？筆者非常認同啟明星辰泰合產品部SOC產品總監葉蓬說法，企業敏感信息歷來是一塊「黑白」必爭之地，守方需處於常年的警戒狀態中，然而想要在這場持久戰中保持上風，還是要熟知你我的優缺點的，就如同《孫子?謀攻篇》提到的知己知彼者，方能百戰不殆。漏洞情報是知己，是一個了解內部情況、排查內部問題的過程；而威脅情報是知彼，為企業提供對方可能的攻擊地址、方法等手段，提前幫助企業做好威脅防範。

威脅情報的出現

消除了對威脅情報的誤解後，我們來看看威脅情報在國內的情況。

古希臘哲學家赫拉克利特曾說過——「世界上唯一不變的就是變化。」網路安全的戰場上敵暗我明，對手的攻擊手段一直在變換、升級，而企業在防禦過程中因為沒有前瞻性，一直處於太過被動的狀態。如何從突發的出現問題到應急解決問題，改變為預見問題從而提前防範成了重點行業的迫切需求之一，這個時候一個叫做「威脅情報」的詞就出現在了眾人眼前。

關於威脅情報當初是怎麼出現在國內的，有人說是來自民間力量的推動，有人說是大環境的需求，但實際上不論是哪一種，都離不開歷史發展的必然性。命運先推動了一群人進步，這群人又推動了歷史的發展，烽火台安全威脅情報聯盟的創始人金湘宇（江湖人稱：NUKE）就是先被推動的這群人中的一位。

2013年，金湘宇在尋找網路安全發展方向時，將目光轉向了行業發展相對比較成熟的國外，在研究大數據安全、雲安全、物聯網安全等安全新領域研究時，一個叫做「威脅情報（Threat intelligence）」的概念走入了他的視線。正所謂英雄所見略同，在與當時國內的安全圈同行交流中，金湘宇發現他並不是唯一關注研究威脅情報的人，也發現國外安全政府和產業早已對相關領域進行了探索和實踐。

威脅情報在美國

2001年美國9?11恐怖襲擊事件的發生震驚了全世界，也讓美國政府認識到保護國家安全、公民安全要依靠前沿的信息技術分析能力，2009年美國網路政策評估報告《確保信息通信基礎設施的安全性和恢復力》提出建立有效的信息共享和事故響應機制,要求聯邦政府、州政府、地方政府應與業界合作，預先改進現有計劃並加強現有資源，以有效檢測、預防及應對重大網路安全事故。

其後，美國政府於2011年發布了《國土安全網路和物理基礎設施保護法案》，2013年發布了白宮行政命令EO-13636《提升關鍵基礎設施的網路安全》，2013年美國第21號總統令PDD-21《關鍵基礎設施的安全性和恢復力》，2015年《網路安全情報分享法案》等不斷提出信息共享和威脅情報要求。美國安全產業產業也逐步的在產品中直接或間接的添加了威脅情報的屬性，形成了威脅情報相關的系列標準，並在其國家級安全防護系統，如愛因斯坦中逐步開始了對威脅情報技術的應用。

可以說在美國，威脅情報的推行是自上而下的，從國家政府內部開始建立的完整威脅情報體系到抓住先機的網路安全公司，已經形成了較為成熟、完整的威脅情報產業鏈。其中像FireEye、SecureWorks、CrowdStrike、Lancope、Lookingglass這樣的主營威脅情報的公司已經得到了政府、金融、能源、電信等行業廣泛的認可，同時也意味著現有網路安全防禦手段即將改變。

所以，美國威脅情報的成長之路=政治推動- -技術成熟- -產品落地- -企業認可

威脅情報在中國

如果說9?11恐怖襲擊事件是美國決定推行威脅情報的重要原因之一，那麼《中華人民共和國網路安全法》就是中國推行威脅情報的重要原因。

合作中有它的身影——「國家支持網路運營者之間在網路安全信息收集、分析、通報和應急處置等方面進行合作，提高網路運營者的安全保障能力。有關行業組織建立健全本行業的網路安全保護規範和協作機制，加強對網路安全風險的分析評估，定期向會員進行風險警示，支持、協助會員應對網路安全風險。」網路安全法第二十九條對信息收集、合作與建立相關行業標準和和協作機製做出了積極的指導意見。

監測預警與應急處置又見它來——網路安全法第五章監測預警與應急處置中的第五十一條至第五十四條，明確體現出了國家信息安全戰略中對信息共享與態勢感知的重視。從國家建立網路安全監測預警和信息通報制度，加強網路安全信息收集、分析和通報工作，按照規定統一發布網路安全監測預警信息，到關鍵信息基礎設施安全保護的部門建立網路安全監測預警信息通報制度，再到要求省級以上人民政府及時收集、報告有關信息，加強對網路安全風險的監測，這一系列政策強有力的推動了威脅情報中最重要的部分——本源數據的共享。

最終到網路安全產品中去——網路安全法第三十一條中提到「國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網路安全等級保護制度的基礎上，實行重點保護。關鍵信息基礎設施的具體範圍和安全保護辦法由國務院制定。」目前網路安全法中提到的重要行業已經開始部署全面的網路安全產品，而大型安全廠商從2015年就開始對在安全產品中應用威脅情報技術進行了積極的探索。

所以，中國威脅情報的成長之路=技術成熟- -政治推動- -產品落地- -企業認可