小議安全威脅情報(bào)

網(wǎng)絡(luò)安全中的情報(bào)，可以將其分為安全情報(bào)（狹義）和威脅情報(bào)兩個(gè)大類(lèi)。對(duì)于具體用戶來(lái)說(shuō)，安全情報(bào)就是指自己有什么，自己能夠防什么；威脅情報(bào)就是，對(duì)方有什么，***者能夠?qū)嵤┦裁础Ｒ布词侵号c知彼。

安全情報(bào)的來(lái)源主要就是系統(tǒng)的配置信息和漏洞掃描軟件的輸出，為安全人員提供了對(duì)已有系統(tǒng)的最基礎(chǔ)的認(rèn)識(shí)途徑。目前大家更關(guān)心的還是威脅情報(bào)，因?yàn)槿藗兛偸顷P(guān)注別人比自己更多。

威脅情報(bào)實(shí)際上才是人們印象中傳統(tǒng)的情報(bào)，那么從時(shí)間線上來(lái)看，又可分為***之前的預(yù)警與***完成之后的證據(jù)。預(yù)警用來(lái)指導(dǎo)安全人員部署防護(hù)，證據(jù)用來(lái)溯源定位。再進(jìn)一步，對(duì)于APT***來(lái)說(shuō)，前面一系列***的證據(jù)又是后續(xù)到來(lái)的***預(yù)警，反之亦然。

安全態(tài)勢(shì)感知中關(guān)于情報(bào)的主要內(nèi)容包括搜集與分析。那么情報(bào)從哪里來(lái)？對(duì)于安全情報(bào)，實(shí)際上就是盡可能多的從各大漏洞披露站點(diǎn)獲取最新漏洞信息以及盡可能的對(duì)自己進(jìn)行掃描檢測(cè)，用來(lái)判斷自己的系統(tǒng)是否存在漏洞或是否達(dá)到相應(yīng)的安全標(biāo)準(zhǔn)。

而對(duì)于威脅情報(bào)，搜集就需要除了從你的IDS、IPS、防火墻、anti-DDoS設(shè)備獲取足夠多的報(bào)告、日志以外，還要求你“主動(dòng)”地去尋找一些有用的信息，這里其實(shí)就是擴(kuò)充情報(bào)來(lái)源的問(wèn)題，目前來(lái)看，各廠商還沒(méi)有太多的渠道，因此，情報(bào)的共享就顯得非常重要，在未來(lái)將大有可為。當(dāng)然，雖然情報(bào)獲取的原則是×××，但千萬(wàn)不能像Norse-corp那樣采用蜜罐數(shù)據(jù)。

情報(bào)分析是搜集的目的，并且由于需要將分析結(jié)果直接提供給用戶，因此要求我們從海量數(shù)據(jù)中提煉出真正有價(jià)值的東西。目前業(yè)內(nèi)大多實(shí)現(xiàn)的其實(shí)還是情報(bào)內(nèi)容的可視化，把用戶系統(tǒng)中存在的安全漏洞和已發(fā)生的***通過(guò)圖表的形式呈現(xiàn)出來(lái)。

還有一些廠商通過(guò)某種算法模型，可以直接對(duì)***進(jìn)行識(shí)別和定位，甚至對(duì)未來(lái)可能發(fā)起的***進(jìn)行預(yù)測(cè)。這其實(shí)是態(tài)勢(shì)感知系統(tǒng)的一個(gè)重要目標(biāo)——預(yù)測(cè)未來(lái)的發(fā)展趨勢(shì)。不過(guò)功能的實(shí)現(xiàn)還是只簡(jiǎn)單的把一些強(qiáng)相關(guān)的日志信息按照時(shí)間順序進(jìn)行羅列，或者使用簡(jiǎn)單算法對(duì)***者進(jìn)行識(shí)別，那么如果***的行為有反復(fù)，或者故意采用一些“愚蠢”操作來(lái)進(jìn)行誤導(dǎo)，這些功能就得不到理想的結(jié)果。

因此在目前結(jié)果準(zhǔn)確率并不高的情況下，較中庸的做法，我們可以適當(dāng)提出一個(gè)“線索”的概念。這個(gè)就是源于我們生活中經(jīng)常用到的詞匯，警察破案需要尋找線索，作家寫(xiě)作也埋藏著幾條線索，那么對(duì)于情報(bào)的處理我們也需要找到線索。

這個(gè)線索的依據(jù)除了至少是目標(biāo)IP、***IP和***時(shí)間等的綜合因素，還需要加上更高維度的***者動(dòng)機(jī)、行為習(xí)慣等等各種能夠協(xié)助溯源的要素，這就要從技術(shù)上依靠大數(shù)據(jù)和神經(jīng)網(wǎng)絡(luò)來(lái)實(shí)現(xiàn)。這個(gè)線索功能的定位是弱于預(yù)測(cè)和***者識(shí)別，相較于預(yù)測(cè)等激進(jìn)的概念更容易使用戶接受，反而會(huì)受到更大的關(guān)注，得到更大的發(fā)展。

從后視鏡來(lái)看，所有的***都是有預(yù)兆的，我們拿著結(jié)果往前推，一切都是理所當(dāng)然。那么拋棄這種馬后炮的思維，安全態(tài)勢(shì)感知需要在***發(fā)動(dòng)之前從海量數(shù)據(jù)當(dāng)中探尋出蛛絲馬跡，這就要依賴(lài)于開(kāi)發(fā)者的強(qiáng)有效的算法來(lái)實(shí)現(xiàn)。并且，情報(bào)需求的原則就是寧可誤報(bào)不能漏報(bào)，用戶點(diǎn)開(kāi)這個(gè)功能，需要看到你問(wèn)一答十而不是自作聰明的忽略一些信息。當(dāng)然，后期更高級(jí)的實(shí)現(xiàn)就是用戶自己要能添加過(guò)濾規(guī)則甚至自定義算法。

對(duì)于單個(gè)機(jī)構(gòu)或公司來(lái)說(shuō)情報(bào)的價(jià)值關(guān)鍵在于情報(bào)的連接，對(duì)于全社會(huì)來(lái)說(shuō)，則在于共享，因此促進(jìn)情報(bào)數(shù)據(jù)共享的相關(guān)標(biāo)準(zhǔn)規(guī)范也需要逐步完善。除了知名的CVE、CVSS等，CybOX、 STIX和TAXII目前也正在被大力推廣和廣泛關(guān)注，希望國(guó)內(nèi)廠商也能在這方面有所作為。

情報(bào)共享的方式也需要由安全界所有廠商共同努力，我們希望有公司牽頭組建一個(gè)安全界的“opendata”社區(qū)，秉承著“相信他人更聰明”的理念，把一些統(tǒng)計(jì)數(shù)據(jù)、典型安全事件有組織有規(guī)范的發(fā)布出來(lái)，供業(yè)內(nèi)所有人員使用，也是幫助你分析，以達(dá)到共同提高的目的。

更進(jìn)一步的，我們還需要用欣賞的眼光去看待***者，因此甚至可以在安全界上線類(lèi)似分答之類(lèi)的問(wèn)答產(chǎn)品，你可以針對(duì)你的系統(tǒng)現(xiàn)狀提出一些安全問(wèn)題，匿名***們因貢獻(xiàn)出他們的智慧而被打賞，這將會(huì)極大的提高***們分享的積極性。這種方式實(shí)際上是***大賽的延伸，但卻能夠更快速更有針對(duì)性的給我們帶來(lái)啟發(fā)。

相較于傳統(tǒng)的諜報(bào)行業(yè)，網(wǎng)絡(luò)安全情報(bào)不僅十分重要，也根正苗紅，方興未艾，已經(jīng)足夠引起國(guó)家的重視。如果能夠做得好，既能為國(guó)家的信息安全戰(zhàn)略添磚加瓦，也會(huì)引來(lái)各路資本追逐，企業(yè)自然也不會(huì)差錢(qián)，更能促進(jìn)其為全社會(huì)造福。希望中國(guó)的網(wǎng)絡(luò)安全情報(bào)行業(yè)能夠健康發(fā)展，走在世界前列。