usdt「支付平」台（caibao.it）：威胁情报的艺术

本文作者为瀚思科技资深产物市场司理Thomas。

随着当今网络攻击的多样化、复杂化、专业化，传统方式越来越难检测并阻止这些新式攻击。越来越多的企业认识到威胁情报的价值，威胁情报也从观点逐渐走入企业的一样平常运营。许多企业最先采购专业的情报，但并不是所有企业都领会若何行使好这些威胁情报，让它们施展最大的作用。

情报的作用

「知己知彼，百战不殆；不知彼而知己，一胜一负；不知彼不知己，每战必殆。」——《孙子·谋攻篇》

当前企业逐日都面临林林总总的网络攻击，在和网络攻击的匹敌中，企业平安团队经常发现自已处于一种异常被动的局势。为什么会这样？ 由[于现在的网络攻防很不对等，守方往往处置敌众我寡、敌暗我明的不知彼的劣势状态下。

攻击者往往藏身于宽大网络中，从远端提议攻击，打一枪换个地址。同时由于攻击工具的简朴化、自动化，越来越多的黑产者为了利益使用自动化的攻击『工具对大批』量企业开展攻击，从中发现可行使的受害者。而现在大多数企业的平安建设还跟不（上）企业的信（息）化建设，企业引入了众多的信（息）系统和装备，同时也引入了不少潜在的危险和破绽，攻击者往往只【要】针对企业的一个或几个破绽就可以顺遂攻破防线，以是企业的平安团队往往处于被动挨打的焦虑中。

网络的快速生长为攻击者提供了不少时机，但同时大数据生长也为防守方提供了有利的工具，那就是威胁情报。在大数据时代，任何行为都可以被纪录、被剖析，一旦黑产在某个地方作案，他的行为方式会被纪录和剖析，再天生响应威胁情报供其它守方参考，制止中招。

由于传统平安的被动防护方式已逐渐失效，平安转向了以检测和剖析为手段的自动防御方式。但当前全球对于攻击的检测状态也不容乐观，凭据 ZDnet 的调整效果，一个企业被攻击后，往往【要】花几个<月>的时间才知道并接纳措施。美洲区域的攻击平均探测时间是 99 天，亚太区域长达 172 天，靠近半『年』。〖而威胁情报的〗使用能够辅助企业应对攻防信（息）不对等的状态，提高企业平安团队的工作效率。

相对于其它平安市场，全球威胁情报市场被普遍看好，增进迅速。凭据 Gartner 展望，2018 『年』全球威胁情报市场将〖跨越〗 10 亿美元，2016 『年』—2021 『『年』复合『年』均增进率』高达 22%。

什么是威胁情报

「情报是可用来决议的信（息）。」

那什么是威胁情报呢？业内关于威胁情报的讨论许多，对此的界说也有不少，大多数文献中援引的是 Gartner 在 2014 『年』揭晓的《平安威胁情报服务市场指南》(Market Guide for Security Threat Intelligence Service) 中提出的界说:

「威胁情报是一种基于证据的知识，包罗了情境、机制、指标、影响和操作建议。威胁情报形貌了现存的、或者是即将泛起针对资产的威胁或危险，并可以用于通知主体针对相关威胁或危险接纳某种响应。」

这里我们【要】强调下威胁数据，信（息）和情报之间存在伟大差异，领会这些差异对于充分行使威胁情报至关主【要】。

在看他们的区别之前，我们先领会下几个观点。

• 数据是对客观事物的数目、属性、位置及其相互关系的抽象示意。

• 信（息）是具有时效性的、有一定寄义的、《有逻辑的》，有价值的数据聚集。

• 情报是运用相关知识对大量（信（息）举行剖析后）产出的剖析效果，可以用于判断生长现状与趋势，并可进一步得出时机和威胁，提供决议服务。

• 知识是可沉淀下来并与已有人类知识系统相连系的有价值的信（息）。

数据、信（息）和情报之间的主【要】 区别有两种形[式：容量和可用性。

数据通常可以大量提供，形貌了怪异的和无可争议的事实。好比今天中午的紫外线指数是 12，就是数据的一个很好的例子，它只是简朴的事实陈述。若是没有（上）下文信（息）和相关知识，这个数据也没什么可用性。

当一系列相关数据组合处置起来可以回覆一个简朴的问题时，就会发生信（息）。例如，将多组差别时间点的紫外线指数数据合起来看，我们可以看出当天紫外线指数在夜间最低为 0，日间最大可到达 15。

将大量信（息）举行剖析后可以得出情报，从而推出结论，可用来作决议。例如，历久暴露在紫外线下的人的皮肤会受伤，容易引起皮肤癌，当紫外线指数大于 10 时，在户外 40 分钟以（上）皮肤就易受损。连系这些信（息），当我们知道今天的紫外线指数是 12，‘而我们需【要】户外活动’ 1 小时时，我们的皮肤就会受损，以是我们必须接纳响应的防晒措施。

随着数据加工处置为信（息），信（息）剖析成为情报，产出的数据急剧削减，但产出的价值大幅增进。（情报的观）点最初来自军事领域，下图是来自美国国防部的讲述（U.S. Department of Defense』s「Joint Publication 2-0: Joint Intelligence」），很好的展示了这一历程。

在此加工转化历程中，知识起到了支持的作用。若是没有响应的知识，单个数据是无价值的。

没有知识，数据很难被加工处置为有价值的信（息），信（息）也无法被剖析成为可供决议的情报。

让我们以网络平安举例看看威胁数据、威胁信（息）和威胁情报的转化历程。

一台远程主机向我们的服务器发送了一个毗邻请求。这是一个平安职员常见的数据，除了知道从特定 IP 地址接收到一个毗邻请求之外，无法从数据确定任何内容或结论。

接着平安职员获得更多的数据，得知这一服务器在‘短’时间内收到大量的请求。思量到平时服务器平时的请求量，我们可以知道这是一个异常现象，通过对大量数据的组合处置我们可以获得有价值的信（息）。

再接着查看这些异常请求的 IP 地址，许多与已知的僵尸网络的 IP 地址相关，连系领会 DDOS 的攻击手段等知识，我们可以基本判断这是一个 DDOS 攻击，并可接纳处置行动。这儿通过对信（息）数据的剖析，连系相关知识，可以得出结论，并可指导决议，这就是情报。

情报的艺术- 适用化的情报

「情报不是越多越好，适合的情报才是适用的。」

由（上）面剖析可知威胁数据，威胁信（息）和威胁情报之间存在伟大差异，威胁情报是我们需【要】的，可以指导平安决议的。

由于各个企业的平安环境差异伟大，【要】想更好施展情报的作用，必须找到适合企业的适用化情报。那么什么样的情报才是对企业平安有价值的适用化情报呢？这儿我们不得不谈谈情报的「艺术」（ART）。

相符「ART」原则的情报才是对企业有用的情报。

• Accuracy(准确性)：情报是否足够详细和可靠

• 情报的作用是为企业平安团队提供相关信（息）并指导决议，若是情报不准确，不只没有发生价值，〖反而会〗对企业的平安决议会造成负面影响。

  ,

  欧博allbet“注册”ALLbet6.com

  欢迎进入欧博allbet“注册”（Allbet Game）：www.aLLbetgame.us，欧博官网是欧博集团的官方网站。欧博官网开放Allbet“注册”、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。

  ,

• Relevance(相关性):：情报是否可适用于你的营业或行业

• 在大数据的时代，天天都有海量的数据和情报发生，不是所有的情报对你的企业是适用的，大量非相关的情报会虚耗平安剖析职员的时间，将真正相关的有价值的情报淹没掉。

• Timeliness(时效性)：在你行使些情报前，情报是否已经失效

• 情报是可指导决议的信（息），也是有时效性的，特别是在当今信（息）瞬（息）万变的时代，情报的有用时间往往很‘短’，攻击者为了隐藏踪迹也经常变换工具和手法。

由于每个企业所处的行业差别，自身平安环境的差别，没有一家情报提供商可以提供完全适合所有企业的情报。那企业若何才气获得适合自己的适用化情报呢，〖这样就不得〗不引入情报的评估和反馈机制。‘运用评估机制将最适合’自己的情报挑选出来，再行使反馈机制不停改进评估系统来获得更高质量的适用化情报。（这部分内容另篇再讨论）

情报落地最主【要】

「威胁情报是无用的，除非它可用于改善网络平安。」

适用化的威胁情报对企业平安有着异常大的辅助，许多企业也购置了相关威胁情报，但若何能行使好这些情报往往是企业的挑战。情报产出出来是为了协助提升网络平安的，若何让情报真正有用的落地才是最主【要】的。

对于同样的情报，差别企业会有差别的使用方式，情报落地的效果也截然差别。

有的企业购置威胁情报只是为了在告警事宜确认或溯源剖析时供平安团队职员查询用，天天的查询量不会太大。

有的企业购置威胁情报是为了和现有的平安系统集成，行使威胁情报中的高可信度 IOC（Indicator Of Compromise）对比平安日志或流量中的 IP、Domain、文件 Hash 或 URL 等，从而可以自动识别恶意攻击并天生威胁告警，天天的查询量凭据企业的营业流量可能会异常大。

有的企业购置威胁情报是为了领会当前威胁状态、接纳响应对策完善自己的防御系统或制订平安计划和投资计谋。这部企业更看重战略级情报。

当然有许多企业是多方面行使威胁情报，当威胁情报能和企业平安环境中的（上）下文发生关联时，威胁情报就越能施展出效果。当前有许多企业的 SOC（Security Operation Center）团队行使 SIEM（Security Information Event Management）<或大数据>平安平台来治理剖析企业内部的平安数据，而正由于威胁情报可以提供全球的外部威胁信（息），让 SOC 【团队知已又知彼】，它已成为企业 SOC 团队的最佳选择。凭据 SANS 讲述《SANS 网络威胁情报观察：网络威胁情报主【要】性与<成>熟度》（The SANS State of Cyber Threat Intelligence Survey: CTI Important and Maturing），有 69% 的企业使用 SIEM 系统来对接和治理威胁情报。

将威胁情报和可举行平安剖析的 SIEM 或大数据平安剖析平台连系，可让情报有用的落地，提高平安团队对各种攻击的识别能力并极大提高平安团队对攻击的处置响应效率。

• <威胁情报>可为平安团队提供了实时识别和应对攻击的能力。

虽然也可从其它地方获得一些威胁攻击的相关信（息），〖但行使威胁〗情报提供的信（息）往往可将这些碎片化的信（息）通过情报的（上）下文知识慎密连系起来，让平安团队知己知彼，用以准确确认攻击行为。

• <威胁情报>可为平安团队提供了快速提高运营效率的手段。

通过将 SIEM 与威胁情报连系，企业有能力以迅速和快速响应的自动方式应对不停进化的、大批量、高风险的威胁。若是没有威胁情报，企业则是在盲目地起劲而且还【要】面临不停增大的杂乱局势。

平安建设比较好的企业有专门的 SOC “运营团”队，他们大多行使 SIEM 或大数据平安剖析平台来自动网络企业内部各种平安装备或系统的平安日志数据，还会行使 NTA（Network Traffic Analytics）网络流量剖析来侦测和剖析网络流量中的平安数据，并将这些数据汇聚到 SIEM 或大数据平安剖析平台（上），行使平台（上）的智能剖析规则和算法从海量数据中找出潜在的威胁攻击。连系外部的全球威胁情报，可以领会攻击者的信（息），从而更快速准确的发现恶意攻击。

这是一个真实的案例，在某企业部署的 NTA 的网络流量数据中我们发现有一台内部服务器对外部 IP（121.29.X.X）的接见请求，连系我们领会的资产状态，这是一台内部服务器没有向外毗邻的营业，行使大数据平安剖析平台（上）的剖析规则自动天生了一个告警；（实在行使） UEBA（User & Entity Behavior Analytics）用户及实体行为剖析算法也可以发现这个服务器的异常行为（平时无外连行为，突然有对外的毗邻）并自动告警。接着自动查询威胁情报 IOC 库，效果发现外连的服务器 IP 在威胁情报库中被定为 C&C（Command and Control）下令与控制服务器，这基本就可以确认这是一个内部服务器被攻陷的事宜，由于有了情报的支持，‘平台自动将这’一告警提升到危急状态，提请平安团队立刻处置。

平安团队在大数据平安剖析平台（上）查看这一事宜的相关平安数据以举行溯源剖析，从威胁情报的详细信（息）中平安团队可以领会到与这个 IP 相关的攻击信（息），攻击者诱使用户安装「驱动人生」等软件从而使客户内网熏染 Kuzzle 木马，释放恶意模块「drvtmpl.sys」，并修改“注册”表内容，将恶意驱动添加至「System Reserved」(系统保留) 组。连系这些情报详细信（息），平安团队最终确认相关熏染木马的终端和服务器，并消灭和增强相关平安措施以预防类似的攻击事宜再次发生。

「人」是情报行使的焦点

「决议决议成败。」

情报是可供决议的信（息），适用化的威胁情报为平安决议提供了有价值的信（息），可以极大的辅助平安团队作出准确的决议。【虽然现】在有许多盘算机辅助决议的系统，但决议照样【要】靠「人」来完成。

大数据时代，『人』类行使机械的超级盘算能力辅助网络和处置海量数据，从中找出有价值的信（息）和情报，若何行使好这些信（息）和情报照样【要】依赖人的知识和决议能力。

获得适用化情报虽然主【要】，但一个高水平的平安团队对于行使好这些情报，作出准确的决议是更主【要】的。任何一个先进的平安情报系统也不可能取代平安团队。

以是企业平安向导人在增强平安系统建设时，不可不思量平安团队的建设。

凭据中国信（息）平安测评中央公布的《中国信（息）平安从业职员现状调研讲述（2017 【 『年』度[】）》，我国信（息）平安从业职员岁数大部分在 20-40 岁之间（占比 88.4%），65.9% 的职员从业『年』限在 5 『年』以内，仅 15% 是由信（息）平安专业结业。可见，当前信（息）平安从业职员相对较为『年』轻，信（息）平安行业履历较‘短’，且绝大部分并非信（息）平安专业结业的「科班生」。随着平安形势日益严重以及《「网络平安法」》、《【要】害信（息）基础设施平安珍爱条例》等法律法规的出台，企业重产物轻服务的现状有望获得扭转，对于平安团队的职员数目和质量的需求都将继续快速增进。

企业平安向导人可以捉住这个契机增强平安团队的建设，提高平安职员的能力和水平，从而可以更好的运用威胁情报的艺术来提升企业整体的平安防御水平。

Reference

Threat Intelligence, Information, and Data: What Is the Difference? By RFSID, RecordedFuture, March 8, 2017

The ART of Making Threat Intelligence Actionable, By Marc Solomon, SecurityWeek, January 12, 2017

The SANS State of Cyber Threat Intelligence Survey: CTI Important and Maturing, August 2016

SIEM + Threat Intelligence: Quickly Identify the Threats that Matter to You, ThreatConnect

Competitive Landscape: Threat Intelligence Services, Worldwide, Gartner, July 2017

《中国信（息）平安从业职员现状调研讲述（2017 【 『年』度[】）》, 中国信（息）平安测评中央, 2018 『年』 2 <月> 5 日

《数据、信（息）、知识与情报转化关系的探讨》，郑彦宁化柏林，《情报理论与实践》2011 『年』 07 期

《数据，信（息），知识，智慧剖析与对比》，刘锋，2006 『年』 11 <月>