威脅情報(bào)是近兩年來(lái)被安全界提及最多的詞匯之一。有人說(shuō)威脅情報(bào)是解決現(xiàn)有安全問(wèn)題的良藥，有人說(shuō)威脅情報(bào)不是新鮮事兒，上古”就已有之，這種百家爭(zhēng)鳴的形勢(shì)必將對(duì)國(guó)內(nèi)網(wǎng)絡(luò)信息安全的發(fā)展帶來(lái)巨大影響。

2013年5月16日，Gartner給出了威脅情報(bào)的定義：“Threat intelligence is evidence-based knowledge,including context, mechanisms, indicators, implications and actionable advice,about an existing or emerging menace or hazard to assets that can be used to inform decisions regarding the subject's response to that menace or hazard.”‍

即：“威脅情報(bào)是基于證據(jù)的知識(shí)，包括場(chǎng)景、機(jī)制、指標(biāo)、含義和可操作的建議。這些知識(shí)是關(guān)于現(xiàn)存的、或者是即將出現(xiàn)的針對(duì)資產(chǎn)的威脅或危險(xiǎn)的，可為主體響應(yīng)相關(guān)威脅或危險(xiǎn)提供決策信息。”‍

1、Evidence：證據(jù)，是證明事實(shí)的材料，即證據(jù)是必須經(jīng)過(guò)查證屬實(shí)。

2、Context：可翻譯為語(yǔ)境、上下文、背景、 環(huán)境。在這個(gè)定義中見(jiàn)到過(guò)翻譯成情境、上下文等，這里翻譯為場(chǎng)景，指每個(gè)情報(bào)都有其適用的環(huán)境和時(shí)機(jī)。

3、mechanisms：機(jī)制，指情報(bào)所涉及威脅所采用的方法和途徑。

4、indicators：指標(biāo)，描述威脅情報(bào)的時(shí)涉及一些指標(biāo)。

5、advice：建議，針對(duì)威脅的消減或響應(yīng)處置的建議。

6、an existing or emerging menace orhazard to assets：威脅情報(bào)針對(duì)的對(duì)象是資產(chǎn)。‍

威脅是一個(gè)常被濫用的術(shù)語(yǔ)，特別是當(dāng)一個(gè)威脅對(duì)某組織存在而對(duì)另一個(gè)組織“不存在”時(shí)。很多組織沒(méi)有正確理解威脅的含義，沒(méi)能準(zhǔn)確識(shí)別威脅，導(dǎo)致在錯(cuò)誤方向投入了大量的安全資源，或花費(fèi)了太長(zhǎng)的時(shí)間去進(jìn)行風(fēng)險(xiǎn)和脆弱性分析，而不是將寶貴的時(shí)間花費(fèi)在消減或修復(fù)問(wèn)題上。‍

威脅是意圖、能力和機(jī)會(huì)三部分的結(jié)合。缺乏這三要素，對(duì)于個(gè)人或組織而言，在那個(gè)時(shí)間點(diǎn)，那個(gè)場(chǎng)景下“威脅”或“危害”不存在。威脅的三要素，即：

意圖：指惡意行為者把你的組織定為目標(biāo);

能力：指惡意行為者能使用的手段和方法(例如特殊類型的惡意代碼等);

機(jī)會(huì)：指惡意行為者所需的缺口(例如脆弱性、無(wú)論它是軟件的、硬件的還是人員的);‍

如果惡意行為者有意圖有能力，但組織沒(méi)有脆弱性，或者說(shuō)現(xiàn)在沒(méi)有機(jī)會(huì)，惡意行為者并不構(gòu)成威脅。注意，這里講的是“構(gòu)成威脅”，而不是"威脅",“構(gòu)成威脅”等同于風(fēng)險(xiǎn)的概念。

雖然威脅情報(bào)的供應(yīng)商們進(jìn)行了各種嘗試，威脅情報(bào)通常不用XML擴(kuò)展格式來(lái)描述，而是以感染指標(biāo)(Indicators of Compromise，簡(jiǎn)稱為IoCs)或威脅饋送(threat feeds)的形式來(lái)表達(dá)，因此，威脅情報(bào)的有效指標(biāo)指示或饋送要求組織要先了解自己，然后才是了解對(duì)手，即《孫子兵法》中的“知己知彼”。 ‍

如果一個(gè)組織不了解自己的資產(chǎn)、基礎(chǔ)設(shè)施、人員和業(yè)務(wù)運(yùn)營(yíng)情況，將無(wú)法了解是否給了惡意行為者可乘之機(jī)。因此，對(duì)自己沒(méi)有足夠的了解的組織，無(wú)法識(shí)別可能對(duì)其感興趣的惡意行為者，更不能正確識(shí)別惡意行為者的意圖。

相比于惡意行為的意圖，惡意行為者的能力更容易被識(shí)別(很多時(shí)候我們看到的威脅情報(bào)偏重于這部分內(nèi)容)。很多能力是盡人皆知的，還有一些是經(jīng)常被有效使用的，例如釣魚(yú)郵件(phishing emails)。有效的威脅情報(bào)可以識(shí)別新型惡意能力，其中有些主要用于專用目標(biāo)。盡管惡意行為者使用的大部分方法和手段易于識(shí)別，但那些連最基礎(chǔ)安全措施都沒(méi)做好的組織將無(wú)法充分利用威脅情報(bào)。‍

威脅情報(bào)是對(duì)惡意行為者的攻擊意圖、時(shí)機(jī)和能力分析后所得到的信息，是情報(bào)的一種。情報(bào)的生命周期對(duì)其適用，即計(jì)劃、收集、處理、制作和傳播相關(guān)信息。威脅情報(bào)有別于其他情報(bào)之處在于著眼于威脅的識(shí)別。‍

與組織的情況匹配與否是判斷威脅情報(bào)是否對(duì)組織有價(jià)值的依據(jù)，因此，情報(bào)的計(jì)劃階段變得至關(guān)重要，如果收到情報(bào)的組織無(wú)法知道哪些信息適合于自己，威脅情報(bào)毫無(wú)價(jià)值。如果情報(bào)供應(yīng)商能為組織量身定制，客戶化后的威脅情報(bào)看起來(lái)將是完美的，而沒(méi)有做過(guò)定制的威脅情報(bào)對(duì)組織而言很可能僅僅是一堆不相干的數(shù)據(jù)。‍

制作和消費(fèi)定制化威脅情報(bào)的能力有戰(zhàn)略和戰(zhàn)術(shù)兩種應(yīng)用選擇，這將對(duì)組織的安全狀況產(chǎn)生影響。共享戰(zhàn)術(shù)級(jí)別的威脅情報(bào)，不僅能達(dá)到戰(zhàn)術(shù)級(jí)目標(biāo)，而且可有助于運(yùn)用感染指標(biāo)構(gòu)建出戰(zhàn)略級(jí)的更高層面威脅圖示。‍

威脅情報(bào)通常不是戰(zhàn)略情報(bào)就是戰(zhàn)術(shù)情報(bào)，戰(zhàn)略威脅情報(bào)通常是較為寬泛，更高級(jí)別抽象的數(shù)據(jù)，用于識(shí)別威脅以及研判組織如何減少威脅，決策如何配置安全預(yù)算，人員應(yīng)聚焦在哪些方面。‍

戰(zhàn)術(shù)級(jí)的威脅情報(bào)則廣泛的處理所收集的數(shù)據(jù)，以獲取正確的網(wǎng)絡(luò)信息，通過(guò)分析，識(shí)別威脅并響應(yīng)。這類處理通常是在網(wǎng)絡(luò)安全監(jiān)控過(guò)程實(shí)現(xiàn)，威脅情報(bào)提供分析出的感染指標(biāo)(IoCs)用于尋找被入侵的跡象。‍

感染指標(biāo)(IoCs)一般表現(xiàn)為以下幾種情況：

原子級(jí)的信息，如IP地址，郵件地址;‍

可計(jì)算的信息，如惡意文件的數(shù)字哈希;‍

行為指標(biāo)信息，如惡意行為者的行為概覽;‍

被識(shí)別出來(lái)的感染指標(biāo)(IoCs)可以通過(guò)STIX/TAXII 和OpenIOC等標(biāo)準(zhǔn)共享，如特定行業(yè)通常從信息共享與分析中心(ISACs)獲取和共享威脅信息，對(duì)于大組織來(lái)說(shuō)，ISACs是為面向特定行業(yè)的威脅識(shí)別的不錯(cuò)的始點(diǎn)。‍

隨著安全威脅概念被廣泛認(rèn)知，國(guó)內(nèi)相繼成立了幾家安全威脅情報(bào)中心，后續(xù)會(huì)有更多的安全威脅情報(bào)中心涌現(xiàn)，但沒(méi)有任何一種方式可以覆蓋所有的威脅情報(bào)。盡管如此，還是有些重要的結(jié)論有助于人們和組織在威脅情報(bào)這個(gè)領(lǐng)域開(kāi)個(gè)好頭兒。

不要重復(fù)制造輪子：摒棄細(xì)節(jié)后，你會(huì)發(fā)現(xiàn)自己所理解的事情可能已經(jīng)被做出來(lái)了，或者和很多人的想法不期而遇。因此，盡可能的收集可用的信息，運(yùn)用已知的方法按需進(jìn)行定制，不要重復(fù)制造輪子!‍

工具不能自動(dòng)生成情報(bào)：無(wú)論供應(yīng)商如何宣傳，都請(qǐng)堅(jiān)信數(shù)據(jù)饋送(data feeds)不能直接給出威脅情報(bào)。任何類型的情報(bào)都需要分析，而分析這項(xiàng)工作一定要人參與，各種各樣自動(dòng)分析工具的作用是提升分析效率，獲取有效結(jié)果的分析過(guò)程必須有分析師參與。‍

不“知己”情報(bào)無(wú)用：在不能識(shí)別哪些情報(bào)適用于你的組織時(shí)，獲取多少情報(bào)都是無(wú)用的。需要從業(yè)務(wù)處理過(guò)程到組織里有哪些資產(chǎn)，網(wǎng)絡(luò)上提供了哪些服務(wù)等方面了解自己的組織。‍

盈虧平衡點(diǎn)前必須加大基礎(chǔ)建設(shè)投入：基礎(chǔ)安全措施已經(jīng)消除了針對(duì)組織無(wú)以計(jì)數(shù)的威脅。當(dāng)基礎(chǔ)安全措施建完后，像威脅情報(bào)這種高級(jí)手段更有助于組織對(duì)高級(jí)對(duì)手實(shí)施的威脅進(jìn)行識(shí)別、消減和響應(yīng)處理。基礎(chǔ)安全措施不必苛求完美，但肯定存在一個(gè)盈虧平衡點(diǎn)，在此之前，必須加大基礎(chǔ)建設(shè)的投入，否則將無(wú)法收回安全上的投資。

最后不得不說(shuō)：當(dāng)面對(duì)數(shù)不清的威脅時(shí)，防御是件困難的事。一定要先了解自己，再基于情報(bào)信息處理了解對(duì)手，盡管這兩件事做起來(lái)都不容易，但一旦完成就可使防御可為，有可能使讓防御者轉(zhuǎn)處于上風(fēng)。

參考：http://www.tripwire.com/state-of-security/security-data-protection/cyber-threat-intelligence/