納尼?威脅情報(bào)是什么鬼?

　　互聯(lián)網(wǎng)安全曾經(jīng)歷經(jīng)了流氓互毆，俠客對(duì)決、黑社會(huì)火并等等階段，現(xiàn)在已經(jīng)形成了攻擊者有組織有預(yù)謀，防御者有偵查有戰(zhàn)術(shù)的局面——無(wú)論是攻擊還是防御，都超越了點(diǎn)對(duì)點(diǎn)的戰(zhàn)術(shù)，而越來(lái)越倚仗于全面的戰(zhàn)法。簡(jiǎn)單來(lái)說(shuō)，就是搞安全的不僅要看編程指南，還要看孫子兵法了。

　　既然是正規(guī)軍對(duì)壘，戰(zhàn)法就要變得相對(duì)立體。所謂知己知彼，百戰(zhàn)不殆。威脅情報(bào)，就像是八百里加急快報(bào)送來(lái)的敵情。

　　先來(lái)看看信息安全教主級(jí)公司 Gartner 怎么解釋威脅情報(bào)：

　　威脅情報(bào)是針對(duì)一個(gè)已經(jīng)存在或正在顯露的威脅或危害資產(chǎn)的行為的，基于證據(jù)知識(shí)的，包含情境、機(jī)制、影響和應(yīng)對(duì)建議的，用于幫助解決威脅或危害進(jìn)行決策的知識(shí)。

　　由于安全行業(yè)的特殊性，各位大神對(duì)自己經(jīng)手的安全事件和服務(wù)對(duì)象守口如瓶，不過(guò)，他們提出了一些理念，還是讓人覺(jué)得新鮮有趣。

　　攻擊只需數(shù)分鐘 防御卻需數(shù)天

　　木桶理論失衡，現(xiàn)在玩的是塔防

　　“所有的系統(tǒng)一定可以被入侵。”這是威脅情報(bào)專家，Sec-UN網(wǎng)站創(chuàng)始人金湘宇給出的“悲觀論斷”。他認(rèn)為，互聯(lián)網(wǎng)攻擊的技術(shù)在不斷提高，而所有的系統(tǒng)都存在漏洞，避免被攻擊在邏輯上并不成立。

　　原來(lái)認(rèn)為安全就是做木桶，只要補(bǔ)上短板就可以高枕無(wú)憂，現(xiàn)在發(fā)現(xiàn)安全玩的是塔防，要實(shí)時(shí)應(yīng)對(duì)到來(lái)的威脅。以目前的網(wǎng)速來(lái)看，拖庫(kù)的攻擊甚至在一天內(nèi)就能搞定，往往是網(wǎng)站信息已經(jīng)泄露到了網(wǎng)上，被攻擊者才得知自己遭受攻擊，這樣的攻防已經(jīng)完全失衡了。所以做應(yīng)急響應(yīng)的關(guān)鍵，實(shí)際上是在努力減少攻擊者的“自由攻擊時(shí)間”。

　　通俗來(lái)講，自由攻擊時(shí)間就是在被打者反應(yīng)過(guò)來(lái)之前，進(jìn)攻者可以肆無(wú)忌憚出拳的時(shí)間段。

　　藍(lán)色時(shí)間段為“自由攻擊時(shí)間”

　　知道了自己被攻擊，好歹還可以斷電嘛。被爆菊后還無(wú)動(dòng)于衷，該是多么悲傷啊。

　　錦囊里有什么?

　　中國(guó)信息安全評(píng)測(cè)中心首席信息安全咨詢師蔣魯寧說(shuō)，只有情報(bào)收集者能夠采取應(yīng)對(duì)行動(dòng)的情報(bào)，才是真正意義上的情報(bào)，否則就僅僅是一種知識(shí)。所以，可以說(shuō)安全企業(yè)提供的威脅情報(bào)不僅是一份報(bào)告，還應(yīng)該包括可以應(yīng)對(duì)的錦囊妙計(jì)

　　常見(jiàn)的網(wǎng)絡(luò)安全威脅情報(bào)清單

　　根據(jù)上圖的情報(bào)分類，不難推斷出一般企業(yè)面臨最多的威脅有哪些。除去打擊黑客的攻擊威脅之外，品牌輿情也是企業(yè)最看重的。也就是說(shuō)，情報(bào)的收集，已經(jīng)不僅僅局限于安全領(lǐng)域，甚至可以拓展到企業(yè)的社會(huì)評(píng)價(jià)，甚至是輿論走向預(yù)測(cè)。例如，錘子發(fā)布T1的時(shí)候，如果提前進(jìn)行威脅偵查，就可能會(huì)知道：產(chǎn)能嚴(yán)重不足將導(dǎo)致一大波口誅筆伐的到來(lái)。

　　情報(bào)不是輪子，而是一臺(tái)車

　　攻擊是一個(gè)行為體系，包含動(dòng)機(jī)、攻擊方法、攻擊事件、被攻擊系統(tǒng)、應(yīng)對(duì)行動(dòng)等等諸多要素。如果你發(fā)現(xiàn)一把刀，并不能認(rèn)為這把刀是對(duì)自己有直接威脅的。一個(gè)工具只有在有行兇動(dòng)機(jī)的人手中，并且做出了威脅你的事情，才可以成為兇器。

　　蔣魯寧認(rèn)為，所有的情報(bào)都需要根據(jù)企業(yè)自身的業(yè)務(wù)流程來(lái)加工，才能形成有指導(dǎo)意義的威脅報(bào)告。金湘宇舉了一個(gè)形象的例子：

　　威脅信息就像汽車的一個(gè)零件——一個(gè)車輪，但一個(gè)車輪并不能工作，而威脅情報(bào)是一部車。只有協(xié)同配合，才能讓沒(méi)有生命的信息躍遷成為一個(gè)更高級(jí)的整體。

　　威脅情報(bào)行業(yè)這兩年在全球以60%的復(fù)合增長(zhǎng)率膨脹，仰仗的是大數(shù)據(jù)的整合能力。然而， 在實(shí)踐的操作中，防護(hù)體系有著諸多的問(wèn)題。

　　對(duì)于一個(gè)企業(yè)，每天僅僅是高度匯總的威脅信息都有上千條，而其中，真正有用的也許只有幾條。另外，常規(guī)的安全防火墻只能應(yīng)對(duì)普遍的攻擊，對(duì)于有特殊目的的針對(duì)性“點(diǎn)殺”根本無(wú)能為力。

　　360高級(jí)產(chǎn)品總監(jiān)韓永剛認(rèn)為，數(shù)據(jù)驅(qū)動(dòng)非常重要，但是數(shù)據(jù)量不一定要很大，數(shù)據(jù)的處理方法也直接決定了處理效果。也就是說(shuō)，評(píng)價(jià)這臺(tái)車的的好壞，不能只看它的體量，最重要的是發(fā)動(dòng)機(jī)的精密結(jié)構(gòu)和技術(shù)含量。

　　威脅情報(bào)可以改變攻防態(tài)勢(shì)

　　我就靜靜地看著你裝X

　　360高級(jí)產(chǎn)品總監(jiān)韓永剛認(rèn)為：“看見(jiàn)，是防護(hù)的第一步。”這也是威脅情報(bào)的意義所在。有了威脅情報(bào)，某種意義上講等于開掛，因?yàn)榉朗胤接辛松系垡暯?。韓永剛表示，360已經(jīng)建成了國(guó)內(nèi)首個(gè)可商用的威脅情報(bào)中心，并已經(jīng)發(fā)現(xiàn)了13個(gè)APT(高級(jí)持續(xù)性威脅)組織。

　　說(shuō)到這里，還可以講一個(gè)小故事。

　　二戰(zhàn)中，盟軍依靠計(jì)算機(jī)之父圖靈的天才破解了德國(guó)的密碼，得知德國(guó)馬上要對(duì)考文垂進(jìn)行轟炸。但是為了爭(zhēng)取更大的決定性勝利，盟軍選擇不讓德國(guó)人知道對(duì)手已經(jīng)破譯了其密碼。因此盟軍方面沒(méi)有對(duì)考文垂進(jìn)行有針對(duì)性的的防御措施。于是德國(guó)人相信其密碼依然是安全的，從而一步步走進(jìn)了盟軍的圈套。

　　在威脅情報(bào)中，安全公司同樣運(yùn)用類似的方法和黑客斗法。例如：穿梭各大安全論壇，裝作黑客的樣子，開心地與之討論最近哪種攻擊方式最流行，有哪些漏洞可以利用。然后回家修補(bǔ)漏洞。

　　于是，通過(guò)威脅情報(bào)，企業(yè)會(huì)對(duì)未來(lái)的攻擊擁有免疫力，這就徹底改變了原本的攻防態(tài)勢(shì)。原來(lái)也許黑客可以用上整整一年的攻擊手段，一旦進(jìn)入威脅情報(bào)，就被重點(diǎn)監(jiān)控。如果攻擊者第二次還在用同樣的后門，就等于主動(dòng)跑到了探照燈下。

　　某大神爆料，目前美國(guó)正在有計(jì)劃有組織地曝光其他國(guó)家對(duì)其基礎(chǔ)設(shè)施發(fā)動(dòng)的攻擊。這句話讓人細(xì)思極恐，這表明美國(guó)已經(jīng)擁有了一份精準(zhǔn)的威脅情報(bào)，對(duì)其攻擊者的攻擊路徑已經(jīng)了如指掌。為了不打草驚蛇，其中有60%-70%的攻擊路徑，美國(guó)并沒(méi)有曝光。沒(méi)錯(cuò)，美國(guó)正在靜靜地看對(duì)手裝X。