01 什么是威脅情報

　　網絡空間的安全對抗日趨激烈，傳統的安全技術不能全面滿足安全防護的需要。當前，安全業界普遍認同的一個理念是：僅僅防御是不夠的，更需要持續地檢測與響應。然而要做到持續有效的檢測與快速的響應，安全漏洞、安全情報必不可少。

　　2013年，Gartner 首次提出關于威脅情報的定義：威脅情報是關于現有或即將出現的針對資產有威脅的知識，包括場景、機制、指標、啟示和可操作建議等，且這些知識可為主體提供威脅的應對策略。簡單來講，威脅情報就是通過各種來源獲取環境所面臨的威脅的相關知識，主要描述現存的、即將出現的針對資產的威脅或危險。Forrester 認為威脅情報是針對內部和外部威脅源的動機、意圖和能力的詳細敘述，可以幫助企業和組織快速了解到敵對方對自己的威脅信息，從而幫助提前威脅防范、攻擊檢測與響應、事后攻擊溯源等能力。

　　威脅情報顛覆了傳統的安全防御思路，它以威脅情報為核心，通過多維度、全方位的情報感知，安全合作、協同處理的情報共享，以及情報信息的深度挖掘與分析，幫助信息系統安全管理人員及時了解系統的安全態勢，并對威脅動向做出合理的預判，從而將傳統的“被動防御”轉變為積極的“主動防御”，提高信息系統的安全應急響應能力。如果說了解漏洞信息是“知己”，那么掌握安全威脅則是“知彼”。

　　02 威脅情報的用途

　　1. 安全模式突破和完善

　　基于威脅情報的防御思路是以威脅為中心的，因此，需要對關鍵設施面臨的威脅做全面的了解，建立一種新型高效的安全防御體系。這樣的安全防御體系往往需要安全人員對攻擊戰術、方法和行為模式等有深入的理解，全面了解潛在的安全風險，并做到有的放矢。

　　2. 應急檢測和主動防御

　　基于威脅情報數據，可以不斷創建惡意代碼或行為特征的簽名，或者生成NFT（網絡取證工具）、SIEM/SOC（安全信息與事件管理/安全管理中心）、ETDR（終端威脅檢測及響應）等產品的規則，實現對攻擊的應急檢測。如果威脅情報是 IP、域名、URL等具體上網屬性信息，則還可應用于各類在線安全設備對既有攻擊進行實時的阻截與防御。

　　3. 安全分析和事件響應

　　安全威脅情報可以讓安全分析和事件響應工作處理變得更簡單、更高效。例如，可依賴威脅情報區分不同類型的攻擊，識別出潛在的APT高危級別攻擊，從而實現對攻擊的及時響應；可利用威脅情報預測既有的攻擊線索可能造成的惡意行為，從而實現對攻擊范圍的快速劃定；可建立威脅情報的檢索，從而實現對安全線索的精準挖掘。

　　03 威脅情報的發展

　　以威脅情報為中心的信息安全保障框架對于生活和生產關鍵基礎設施的穩定運行、軍事作戰指揮能力保障及國際社會的和平穩定具有重大意義，它受到了來自各國政府、學術界以及全球大型互聯網企業的高度重視。近幾年，威脅情報行業增長迅速，如 CrowdStrike、Flashpoint、iSight Partners等威脅情報廠商通過建立的威脅情報中心可從網絡犯罪、信譽庫、漏洞、惡意軟件等多個角度滿足不同用戶的特定需求。

　　隨著網絡安全態勢日趨復雜化，威脅情報的研究越顯重要。參與威脅情報感知、共享和分析的各方結合自身業務流程與安全需求，針對核心資產增強威脅情報感知能力，積極融合云計算、大數據等前沿技術，建立威脅情報深度分析系統，在深度挖掘與關聯融合的基礎上做好安全態勢評估及風險預警，動態調整安全策略，部署快速可行的安全響應戰術，確保關鍵資產的信息安全。

　　威脅情報要發揮價值，一個關鍵問題在于實現情報信息的共享。只有建立起一套威脅情報共享的機制，讓有價值的威脅情報有效流通，才能真正建立起威脅情報的生態系統。當然，威脅情報的生態系統包括兩個方面，即威脅情報的生產和威脅情報的消費。威脅情報的生產就是通過對原始數據的采集、交換、分析、追蹤等，產生和共享有價值的威脅情報信息的過程；威脅情報的消費則是指將監測到的安全數據與威脅情報進行比對、驗證、關聯，并利用威脅情報進行分析的過程。

　　因此，一個先進的防御系統應本著“和平利用、利益均衡”的原則開展安全協同共享，努力構筑和諧、健康、成熟的威脅情報生態圈，而威脅情報的生產和消費過程則可更有利構筑一個安全情報生態系統的閉環。

　　04 威脅情報的數據采集

　　威脅情報是從多種渠道獲得用以保護系統核心資產的安全線索的總和，在大數據和“互聯網+”應用背景下，威脅情報的采集范疇極大擴展，其獲取來源、媒體形態、內容類型也得到了極大的豐富，如防火墻、IDS、IPS等傳統安全設備產生的與非法接入、未授權訪問、身份認證、非常規操作等事件相關的安全日志等都是威脅情報的數據來源，還包括沙盒執行、端點偵測、深度分組檢測（DPI）、深度流量檢測（DFI）、惡意代碼檢測、蜜罐技術等系統輸出結果，及安全服務廠商（如FireEye）、漏洞發布平臺（如 CVE）、威脅情報專業機構（如CERT）等提供的安全預警信息。

　　05 威脅情報的分析方法

　　威脅情報本來只是一種客觀存在的數據形態，只有通過先進的智能分析才能被安全防御者感知和利用。關聯融合、時間序列、流數據技術等可應用于從海量的網絡信息中提取威脅特征，有助于威脅情報的橫向和縱向關聯分析；聚類分析、協同推薦、跨界數據融合等技術可用于深度挖掘多維線索之間隱藏的內在聯系，進而實現對系統的整體威脅態勢進行行為建模與精準描述。大數據分析、深度學習、人工智能 2.0 等新技術則可用于協助構建威脅情報的智能研判與綜合預警平臺。

　　06 威脅情報的服務平臺

　　1. IBM-X-Force

　　X-Force Exchange能夠為全球提供對IBM及第三方威脅數據資源的訪問，包括實時的攻擊數據。它整合了IBM的威脅研究數據和技術，包括Qradar安全情報平臺、IBM客戶安全管理服務分析平臺。IBM聲稱該平臺集聚了超過700 TB的原始數據，并在不斷更新。X-Force Exchange的用戶可以共享利用多種數據資源，包括：世界上最大的漏洞目錄之一、基于每天150億起安全事件監控的威脅情報、來自2700萬終端網絡的惡意威脅情報、基于250億網頁和圖片的威脅信息、超過 800萬封垃圾郵件和釣魚攻擊的深度情報、接近 100萬惡意 IP地址的信譽數據等。

　　X-Force 平臺還包括幫助整理和注釋內容的工具，以及在平臺、設備和應用程序之間方便查詢的API庫，允許企業處理威脅情報并采取行動。IBM表示，該平臺還將提供對STIX和TAXII的支持，以及自動化威脅情報共享和安全方案整合新標準的支持。

　　2. 360威脅情報中心

　　360威脅情報基礎信息查詢平臺向業界開放免費查詢服務，這是國內首個向公眾開放的威脅情報數據查詢服務平臺。360威脅情報基礎信息查詢平臺的上線標志著國內安全威脅情報共享進入新階段，所有安全廠商、政企用戶的安全研究與分析人員在經過線上注冊審核后，都可以免費進行查詢。

　　360威脅情報中心具有關聯分析和海量數據兩大特色。互聯網安全的數據是多種多樣且相互關聯的，但依靠孤立的數據無法進行未知威脅的分析和定性，只有將信息關聯起來才能看清整體的威脅態勢。平臺可以將用戶所提交的查詢信息關聯起來，協助用戶進行線索拓展，對安全分析工作提供有力幫助。360 公司基于多年的互聯網安全大數據積累，擁有全球獨有的安全樣本庫，總樣本量超過95億，包括互聯網域名信息庫（50億條DNS解析記錄），還包括眾多第三方海量數據源。基于情報中心大數據，可有效幫助用戶進行多維關聯分析，挖掘出在企業自身或組織內部分析中無法發現的更多安全隱患線索。

　　3. 阿里云盾態勢感知

　　阿里云盾態勢感知是全球唯一能感知“滲透測試”的安全威脅服務平臺，如可以區分腳本小子和高級黑客、識別零日應用攻擊、捕捉高隱蔽性的入侵行為、溯源追蹤黑客身份等。云盾平臺利用大數據，可對高級攻擊者使用的零日漏洞攻擊進行動態防御，如可以采用新型病毒查殺，并通過爬取互聯網泄露的員工信息，實時告警、杜絕黑客“社工”；能夠對各種潛在威脅及時識別和匯總分析；能夠實現基于行為特征的Webshell檢測、基于沙箱的惡意病毒精確查殺等。

　　07 威脅情報的開源項目

　　1. 安全威脅情報共享框架OpenIOC

　　MANDIANT 公司基于多年的數字取證技術積累，將使用多年的情報規范開源后形成OpenIOC（Open Indicator of Compromise）框架，它是一個開放靈活的安全情報共享框架。利用OpenIOC，重要的安全情報可以在多個組織間迅速傳遞，極大縮短檢測到響應的時間延遲，提升緊急安全事件響應與安全防范的能力。OpenIOC本身是一個記錄、定義以及共享安全情報的格式，以機器可讀的形式實現不同類型威脅情報的快速共享。OpenIOC本身是開放、靈活的框架，因此可以方便添加新的情報，完善威脅情報指標IOC。

　　OpenIOC的工作流程如下。

　?。?）獲取初始證據：根據主機或網絡的異常行為獲取最初的數據。

　　（2）建立IOC：分析初步獲得的數據，根據可能的技術特征建立IOC。

　?。?）部署IOC：在企業的主機或網絡中部署IOC，并執行檢測。

　　（4）檢測發現更多的可疑主機。

　　（5）IOC優化：通過初步檢測可獲取的新證據進行分析，優化已有的IOC。

　　OpenIOC推出了IOCeditor和Redline兩款工具。IOCeditor用來建立IOC，Redline負責將IOC部署到主機并收集信息進行分析。

　　2. CIF

　　CIF（Collective Intelligence Framework）是一個網絡威脅情報管理系統，它結合了多個威脅情報來源獲取已知的惡意威脅信息，如IP地址、域名和網址信息等，并利用這些信息進行事件識別、入侵檢測和路由緩解等。

　　3. OSTrICa

　　OSTrICa 是一個免費的開源框架，采用基于插架的架構。OSTrICa 自身并不依賴外部的庫，但安裝的插件需要依賴庫。OSTrICa可以實現自動從公開的、內部的、商業的數據源中收集信息，并可視化各種類型的威脅情報數據，最終由專家來分析收集的情報，并顯示成圖形格式，還可基于遠程連接、文件名、mutex等，顯示多個惡意軟件的關聯信息。

　　4. CRITs

　　CRITs 也是一個網絡威脅數據庫，不僅可作為攻擊和惡意軟件庫的數據分析引擎，還提供了惡意軟件分析能力。CRITs 采用簡單實用的層次結構來存儲網絡威脅信息，這種結構具備分析關鍵元數據的能力，可以發現未知的惡意內容。