威胁情报浅析

2017 年 11 月 15 日 计算机与网络安全 c.j

信息安全公益宣传，信息安全知识启蒙。

加微信群回复公众号：微信群；QQ群：16004488

加微信群或QQ群可免费索取：学习教程

教程列表见微信公众号底部菜单

在过去的几年中，术语“威胁情报”迅速出现在信息安全领域，许多安全厂商现在为消费者提供威胁情报服务。由于威胁情报并没有一个明确的工业化定义，不是所有人对它的定义都一致。导致的结果是威胁情报这一术语如此广泛地使用在安全工业领域，但对于“情报”的真实定义却一直没有。今天正在提供给市场的威胁情报服务完全没有提供正确的威胁情报——他们只是提供对经过最简单（或者甚至是原始的）数据的访问权。

一、什么是威胁情报？

中央情报局（CIA）关于情报的定义：

用最简术语表示，情报是我们所处世界中的知识和预判。美国政策制定者决策和行动的先导。情报机构将这种信息以某种方式提供给消费者、国民领导或军队指挥官，（以便让他们）去思考可替换的选项和结果。情报处理过程涉及漫长细心和通常是枯燥耗时的对事实的搜集、对它们的分析、快速和清晰的评估、仔细判断后形成产品，并且不时递知给消费者。综上，这个分析过程必须是完整而冗长的，经常性的和与政治需求及企业相关的。

商业威胁情报的目标是去传递与中央情报机构提供的具有相似能力的事物。然而，取代了向政府官员提供军事和政治情报，当前关注范围在信息安全工业内，主要是向组织机构相关人员提供关于他们企业系统的数字威胁的威胁情报。

这种威胁情报，和与之相关的价值，经常与特定情报目标的实现（也被称为优先情报要求（PIR））关联起来。PIR可被视为是收集信息以满足情报要求的特殊使用案例。

有时候“威胁情报”这一术语经常被定义为数据或与潜在的网络安全相关的数据馈送这样的错误名词。这个定义极大地简化了应当被收集为情报供给内一部分的的情报类型，和将原始数据转换为顾客可用来行动的情报的（被要求的）过程。

网络威胁情报要处理的远不止如此。它的目的是成为一个跨学科的和整体的，可以提供一个人可理解的和真实的情报产品的，可以在多层面上给股东们提供价值的解决方案。它从一个组织周边的物理（PESTLE，STEEPLED）和数字环境中同时收集数据，而且要顾及更广泛的攻击面。（我们）可以这样阐述观点：在情报圈内有一个很小但正在发展为联盟的，限制伙伴关系和在物理与网络世界威胁里面广泛联系、关联的角色。许多跨国犯罪组织无一例外地擅长于用来寻找新的犯罪企业的环境扫描。网络威胁情报是用来应对这些因素的唯一准备。

核心情报原则

情报是一种谍报。它结合了可以被用来横跨整个产业的方法论和技术。它的收集包括五个核心原则和它们的附属原则。传统情报社区辨别情报的原则基于他们的计划目的和收集来源。对五个情报原则的描述如下。

1. 人力情报（HUMINT）- HUMINT是从一个线人那里收集信息。这种来源也许拥有第一手或者第二手的资料，且通常通过看、听和活动来获得。它可以包括威胁、中立或友好的（政府）文职人员。

2. 开源威胁情报（OSINT）- OSINT探索、利用和提高可公开获得的公众信息。由于海量的可利用信息，数据挖掘和高级搜索技术显得尤为重要。这种情报包括电视、雷达广播、书籍、报纸和网络这些来源。

3. 信号情报（SIGINT）- SIGINT被定义为对交通系统、雷达和武器系统的信号转换的收集和利用。SIGINT的结果来自收集、锁定、处理、分析和报告被拦截的通讯和没有通讯功能的发射器。SIGINT被归为电子情报（ELINT）和通讯情报（COMINT）的子类。

4. 图像情报（IMINT）- IMINT是被大量陆地、航空或卫星探测器收集的地理空间信息。

5. 测量和特征情报（MASINT）- MASINT是情报的一个技术分支，使用通过诸如雷达、声呐、无源电光传感器、地震仪和其他用来测量物体或事件以通过它们的特征来辨别它们的传感器所收集的信息。这包括去离散标记一个人、一个地方或有特殊特征的事物的能力。

可辨别的网络情报

网络情报（CYINT）- 不是核心情报原则里的一种，但是一个相对新颖且在不断发展的领域，它是一个混合体，而且可以包含任何组合或所有上述五个原则。尽管它可以被用来作为网络安全的关键组件，网络情报操作却与网络安全任务独立，而且可以支持涵盖政府和工业的各个方面的大量操作。

对组织机构来说，意识到情报领域的这个迅速出现的（事物）的更广泛能力和怎样在未定义网络威胁角色、关于漏洞的技术数据、恶意代码或知识产权信誉数据之前使用它，是关键的。网络情报走在这些狭小的因素之前，而且包含与一个组织机构的物理环境相关的行动或事件的分析，它可以做到对数字威胁的预测。

情报圈

情报圈包含以下几个短语：

1. 计划、要求和方向 – 情报收集的计划和方向包括对整个情报工作的管理——从优先情报要求（消费者3领导和进一步需求的定义）到最终情报产品。

2. 收集 – 根据建立好的方向，威胁情报服务从相关来源里面收集潜在有用的原始数据。

3. 处理 – 将收集到的数据加强为适用于更详细分析的标准格式。

4. 分析和产品 – 收集到的数据被领域专家分析以辨识出对消费者环境的潜在威胁。用来对被辨识出的威胁产生响应的对策也在这个阶段被开发。

5. 传播 – 情报分析结果被提交给客户，以便合适的保护性措施可以被执行。

情报漏斗

情报天生不是作为一个完整产品被发现的，而是来源一个结构的派生——对包含有助于达到特定优先情报需求的噪音或数据的完整仔细的辨识过程。它最终被分析和评估。如果它满足要求，将会被转换成传递给情报买家的情报产品。

噪音是根据优先情报需求收集的一系列事物。

数据是噪音经过过滤和没有应用价值的条目被去除后的遗留。

信息是有特定用途的数据。一旦它被分配给一个用途，它就有了价值。

情报是带有战略性目的的信息，可以被用来获取优势。情报是一项仅以人类为中心的活动。

可行动的情报是情报主导的，基于对可被初始化、用以行动和提供清晰的结果的证据的评定，它被用来提供对优先情报需求的支持。

从信息中辨识情报

许多安全威胁情报厂商实际上停留在情报漏斗处理过程的“数据”和“信息”阶段，但仍然将传递的信息叫做威胁情报。信息和情报有着定义上的不同。

信息：一个对Java零日漏洞的利用被公开在一个安全邮件列表中。马上，有恶意软件被发现使用了该漏洞。安全厂商将这个威胁通知客户并且给出减缓威胁的建议。这叫做威胁信息（这像是非常有用的信息），但是在定义上，这不是威胁情报。

情报：一家监控着Java漏洞的安全厂商注意到该漏洞在亚太地区的感染率远高于美国。会在用户计算机设备上安装代码和僵尸网络命令和与控制系统关联的新变种恶意代码正在被观察到。与此同时，一家大型的金融机构宣布若干小型的、区域性的银行猛涨股票价格，与此同时，发起了对他们的空头支票费用从20美元到35美元的猛涨，因此激怒了消费者。若干黑客团体开始在推特和其他社交网站上讨论对美国银行系统的抗议活动，希望使主要交易机构的网上交易宕机一天。一个黑客活动的推特账号上发布了使用僵尸网络命令和控制软件的指令，这些正好与通过Java漏洞安装在客户机的僵尸网络恶意代码相关。

将这些数据点连接起来可以得到一幅清晰的图片：美国的银行极有可能被黑客团体作为利用基于Java漏洞的僵尸网络进行DDoS（分布式拒绝服务）攻击的目标。基于已经知道的感染特征，银行可以预测出用来进行攻击的那些来自亚洲的IP地址。这才是威胁情报——信息被从分散的来源收集起来，通过人为分析合成，去辨识出针对某一特定目标的特定威胁。

威胁情报收集

定向攻击、零日漏洞和恶意软件的利用工具是许多组织机构的担心之处。然而，大多数组织机构并没有独立研究和评估威胁必须要具备的资源和知识技能，更不用说去决定这些威胁与他们的组织机构有多大的相关性。

威胁情报服务经常被当做一种外包能力的形式来使用，用来提供那些别的地方无法提供的，对高级安全议题的知识技能和资源的访问权。有资历的威胁情报人员经受过广泛的训练，拥有特殊定制的工具，并且理解现代攻击者的思维方式和方法。他们也擅长从相关收集到的资源里面进行数据挖掘，如下图所示：

情报事件中可辨别的特征

迹象性事件和事件性事件——在情报词库里，“事件”是指分析员用来预测一个威胁增加或者减少的原始数据。这些事件被用来界定那些已经发生或者将要发生的威胁环境的改变的关键迹象。

这些就是能被用来确认一个威胁正在增长的风险，或唯一标志一次袭击的特定碎片化数据。迹象性事件和事件性事件本身都可以是技术性（数字的）或非技术性的（物理的），而且可以被用来辨识围绕一个潜在的或已表现出来的威胁或攻击的环境因素。这些包括：

物理的 – 集体诉讼、立法或者影响立法的行为尝试、许可证的吊销、政治捐赠、被关键人物公开或者私下做出的个人社交媒体上的有争论的陈述、买入大量关键的真实的房地产、不受欢迎的政策变化、裁员、（企业的）合并或收购、环境破坏、总部迁移、在特定人口或经济中心的商店的开张或关闭，等等。

数字的 – 大量失败的密码登陆尝试、缓冲区溢出、端口扫描、网络钓鱼活动、SQL查询注入、统一资源定位符（URLs）、文件名称、文件扩展、文件哈希值、服务或者可执行文件、命令序列、HTTP请求、注册表设定、使用的协议和端口，等等。

威胁情报提供的信息

威胁情报处理的最终结果是去回答股东的下面几个问题：

威胁 – 当前的哪些威胁是组织机构必须要知道的？组织机构所面对的网络威胁被归入为一个独特的分类，因为它们本身就带有不易理解性和不对称性。不易理解性指的是数字环境的不规律和不易追踪的特征，不对称性是指在一个位置范围的可执行策略下威胁房和目标方在实力上的巨大不平衡。

威胁方 – 特定威胁下的（团体/个人）（是谁/是什么/在哪里）？他们的能力、动机、目标、运作的范围、活动的历史有哪些？

目标方 – 谁被威胁视为目标？这些威胁是基于地理的、政治的还是行业的？

方法和策略 – 攻击者们所采用的策略性方式是什么？威胁被设计用来做什么？它关注的是什么？他们使用的是什么工具和设施？哪些技术、版本和用户类型被作为目标？攻击怎样被传递到目标？

对策 – 组织机构可以采取怎样的行动去应对特定威胁？威胁措施可以包括：入侵检测系统特征、反病毒系统特征、需要阻塞的端口/协议或者其他可被用来帮助保护组织机构被特定威胁攻击的反应行动。

二、威胁情报在信息安全中的重要性

有四个原则性的原因说明威胁情报正在变成一个关键的信息安全要求：

1. 组织机构必须抵御的安全威胁类型的根本性变化，和理解攻击表面包括的远不止一个已被定义的技术参数。

2. 别处无法提供给组织机构的对资源的访问和利用能力，和知识技能。

3. 组织机构必须响应的数量巨大的安全漏洞和攻击向量。

4. 组织机构必须保护的持续扩张的技术范围和环境。

网络威胁轮廓的改变

风险和威胁的轮廓在这几年发生了突然的变化。网络威胁从业者不再局限于那些有癖好的或反政府的个人或团体。他们现在包括代表国家立场的角色和受赞助的团体，和有具备相当多资源、支持和知识技能的传统有组织的网络犯罪团体。这些攻击者经常一起工作和分享或出售能攻下目标的工具。这些攻击者也具备时间和资源去搜索组织机构环境中的漏洞。相反地，，那些需要防御任务的组织机构经常只有有限的资源和预算去准备一个充足的防御体系，威胁的不平等本质就这样形成了。

下图中，文档化数据丢失事件的逐渐增长为当前正在成功增加的攻击提供了证据。

由于这个原因，许多组织机构正在转向威胁情报服务以帮助辨识正在将他们的环境视为目标的威胁者，和定义能帮助用来抵抗这些攻击的合适的反应措施和机制。

信息安全漏洞的数量

安全人员分析的海量数据是非常巨大的。组织机构必须对每天遇到的大量缺陷、零日漏洞威胁、恶意代码、利用工具、僵尸网络、高级可持续性威胁（APT）和定向攻击做出反应。

最近十五年每年被标注的通用漏洞披露（CVEs）数量如下图所示——从2005年起，每年有超过4000个新的安全漏洞被标注。

恶意代码的辨识率近几年也在增长，如下图所示。它同时也表现了从2011年开始被辨识出的恶意代码的数量的戏剧性增长。

对大多数组织机构来说，有效预防所有可见漏洞和恶意软件变种是不可能的。然而威胁情报可以帮助组织机构理解未知环境下的漏洞利用和恶意代码活动、理解将漏洞利用于一个特定区域，或被威胁者团体用来针对特定工业部门。针对特定组织机构环境的情报可以帮助规划调整行动的优先级，所以用来减轻危害的努力和资源可以被直接用在最需要和最具有防御价值的地方。

技术成长和使用改变

威胁情报服务的另一个驱动因素是现代计算环境中技术使用的演化和扩张。大多数组织机构里面的技术，即使与两三年前相比，都有了戏剧性的改变。BYOD方式，利用VPN加入网络来访问个人设备的远程工作者、无处不在的无线网络、对虚拟化和云计算使用的增加，都戏剧性地增加了典型组织机构中的技术使用。新的技术并不是简单地替换原有的技术——它们经常是一种添加，形成对组织机构的攻击表面和里面漏洞的分析结果的网状添加。

有了技术上的这些改变——对BYOD的使用、远程用户、虚拟化、云计算——已被辨识的的周边具有相同本质的有组织的网络将不复存在。一个具有不同本质的、分布式用户的、技术性的基础变成了新的标准。这个新的现实伴随着更复杂和和潜在的风险。威胁情报可以帮助组织机构理解这个新架构现实下的新兴威胁。

三、不同的组织机构都从威胁情报中期望得到什么？

每一个组织机构都有不行的信息安全优先权、要保护的财产、不同级别的专业技能和许多类型的安全技术。所以，不同的组织机构可以有不同的理解、需求和对威胁情报服务的期待。

影响组织机构的威胁情报需求的因素包括：

组织机构大小。

组织机构与政府、服务商和其他垂直市场的合作。

组织机构的依赖团体，包括供应链、商业伙伴、第三方供应商，云供应商等。

组织机构信息安全资源的数量、精细化和能力。

组织机构的危险态势，和被视作目标的趋势：

（1）针对政治的、经济的或知识产权的国家级的角色/高级可持续性威胁（APT）。

（2）出于金融目的的跨组织犯罪。

（3）黑客行为/关注点的寻找者，这些人一般想着怎样去让组织机构难堪。

那些有限暴露给公众的，并且不存储和转发被攻击者设计的数据类型的组织机构，与那些在公共领域高度可见的，拥有高度需求性数据或与争论性话题相关的组织机构具有不同的威胁情报需求。

低调的组织会对使用威胁情报去帮助回答下述感兴趣的问题：

可能为数字威胁充当催化剂的，围绕组织机构的物理环境下正在发生的关键发展是什么？

如果知识产权或者机密信息被公开暴露，组织机构是否有行动计划？会有什么后果？组织机构是如何处理的？

组织机构最大的恐惧是什么？组织机构或管理层最不想读到或在电视上看到的一件事是什么？组织机构是否有步骤去避免此类的事件发生？

是否有竞争对手巧合（或故意）地带着新产品或新理念与组织机构同时进入市场？是否有迹象表明他们使用了一些本组织机构的知识产权？

未知世界里是否有漏洞和恶意代码正在被活跃地利用？哪一种是适用于组织机构的环境的？什么样的预防措施应当被用来保护（组织机构）去对抗这些威胁？

是否有任何关于组织机构或是它的用户的潜在的敏感数据被放到网上？这包括收购或合并信息、目标市场、目标客户、提案、合同或其他商业战略。

是否有关于组织机构的消极评论被发到网上？如果是这样，这些评论的根据是什么？

是否有任何组织机构的技术知识产权被发布到网上，或者与特定的竞争机构有关联？这包括组织机构的特殊知识产权，例如源代码、产品设计、工程文档、蓝皮书和与技术相关的特殊信息。

作为对比，一个涉及高度政治化产业的国际化组织会需要与下述主题相关的威胁情报：

组织机构是否已被其他活跃团体和攻击者作为目标？谁在将组织机构作为目标？为什么？这些团体的复杂程度怎么样？

是否有任何竞争者或工业伙伴团体（最近）被作为目标？谁在指挥这些攻击？什么样的技术在攻击中被使用？哪些又未被攻击厂商使用？这些被视为目标的组织是否有过成功地化解这些攻击（的经历）？如果有过，是怎样做的？

是否有任何潜在的威胁情报与即将到来的经济或工业会议或组织即将参加的事件有关联？如果如此，提供一份与这个事件有关的潜在网络威胁的概览，和应当被采取的预防措施。

组织机构是否有保密协议（NDAs）或安全保障用来预防商业间谍。

在与组织有业务往来的所有合同方或第三方机构之间，是否有一个一致同意的安全策略。

四、结论

术语“情报”、“网络情报”、“网络威胁情报”已经被广泛使用和互换，而且经常不正确地在信息安全社区里被使用。它们被相当不正确地用来描述自动化入侵数据馈送服务，或可以被用来进一步使用以辨识和缓解威胁的数据。然而，每个术语的特定本质建立在（真正）理解到底什么是情报和它是怎样获取的基础之上。将安全行业术语与传统情报社区对齐以做统一化的理解是重要的。

网络空间是一个新的西大荒（Wild West）。与之相关的技术增长速率远快于与政府或安全相关的技术增长率，而如果这些问题得不到完全和彻底的解决，这个间隙只会越来越宽。包括网络情报的广大范围，被严格限制在攻击者和目标方之间的技术能力内。这忽略了它更大的能力——去给出对组织机构环境和实体域外在表现的另外关键方面的360度全方位透视。

当情报被理解和合理使用后，可以产生巨大的价值。通过辨识正在出现的和已被视为目标的威胁，它可以变成一个强有力的预测和分析工具，并可以引导一个组织机构的方式，在战略、可操作和策略性的层面应对真实威胁。可用来行动的威胁情报是一个在考虑确定的目标和指标的前提下，严格的执行流程后的结果。

近几年来网络安全领域的改变已经变成威胁情报服务（发展）的主要驱动力。在组织机构寻找新的威胁情报来源的同时，他们需要对安全产业提供的不同类型的情报有一个（良好）的理解。本文的目的就是为了帮助读者对情报社区定义的情报的核心概念有一个细致的了解，并且去帮助区分现今行业内提供的不同威胁情报服务类型。

登录查看更多