納尼?威脅情報是什么鬼?

　　互聯(lián)網(wǎng)安全曾經(jīng)歷經(jīng)了流氓互毆，俠客對決、黑社會火并等等階段，現(xiàn)在已經(jīng)形成了攻擊者有組織有預謀，防御者有偵查有戰(zhàn)術的局面——無論是攻擊還是防御，都超越了點對點的戰(zhàn)術，而越來越倚仗于全面的戰(zhàn)法。簡單來說，就是搞安全的不僅要看編程指南，還要看孫子兵法了。

　　既然是正規(guī)軍對壘，戰(zhàn)法就要變得相對立體。所謂知己知彼，百戰(zhàn)不殆。威脅情報，就像是八百里加急快報送來的敵情。

　　先來看看信息安全教主級公司 Gartner 怎么解釋威脅情報：

　　威脅情報是針對一個已經(jīng)存在或正在顯露的威脅或危害資產(chǎn)的行為的，基于證據(jù)知識的，包含情境、機制、影響和應對建議的，用于幫助解決威脅或危害進行決策的知識。

　　由于安全行業(yè)的特殊性，各位大神對自己經(jīng)手的安全事件和服務對象守口如瓶，不過，他們提出了一些理念，還是讓人覺得新鮮有趣。

　　攻擊只需數(shù)分鐘 防御卻需數(shù)天

　　木桶理論失衡，現(xiàn)在玩的是塔防

　　“所有的系統(tǒng)一定可以被入侵。”這是威脅情報專家，Sec-UN網(wǎng)站創(chuàng)始人金湘宇給出的“悲觀論斷”。他認為，互聯(lián)網(wǎng)攻擊的技術在不斷提高，而所有的系統(tǒng)都存在漏洞，避免被攻擊在邏輯上并不成立。

　　原來認為安全就是做木桶，只要補上短板就可以高枕無憂，現(xiàn)在發(fā)現(xiàn)安全玩的是塔防，要實時應對到來的威脅。以目前的網(wǎng)速來看，拖庫的攻擊甚至在一天內(nèi)就能搞定，往往是網(wǎng)站信息已經(jīng)泄露到了網(wǎng)上，被攻擊者才得知自己遭受攻擊，這樣的攻防已經(jīng)完全失衡了。所以做應急響應的關鍵，實際上是在努力減少攻擊者的“自由攻擊時間”。

　　通俗來講，自由攻擊時間就是在被打者反應過來之前，進攻者可以肆無忌憚出拳的時間段。

　　藍色時間段為“自由攻擊時間”

　　知道了自己被攻擊，好歹還可以斷電嘛。被爆菊后還無動于衷，該是多么悲傷啊。

　　錦囊里有什么?

　　中國信息安全評測中心首席信息安全咨詢師蔣魯寧說，只有情報收集者能夠采取應對行動的情報，才是真正意義上的情報，否則就僅僅是一種知識。所以，可以說安全企業(yè)提供的威脅情報不僅是一份報告，還應該包括可以應對的錦囊妙計

　　常見的網(wǎng)絡安全威脅情報清單

　　根據(jù)上圖的情報分類，不難推斷出一般企業(yè)面臨最多的威脅有哪些。除去打擊黑客的攻擊威脅之外，品牌輿情也是企業(yè)最看重的。也就是說，情報的收集，已經(jīng)不僅僅局限于安全領域，甚至可以拓展到企業(yè)的社會評價，甚至是輿論走向預測。例如，錘子發(fā)布T1的時候，如果提前進行威脅偵查，就可能會知道：產(chǎn)能嚴重不足將導致一大波口誅筆伐的到來。

　　情報不是輪子，而是一臺車

　　攻擊是一個行為體系，包含動機、攻擊方法、攻擊事件、被攻擊系統(tǒng)、應對行動等等諸多要素。如果你發(fā)現(xiàn)一把刀，并不能認為這把刀是對自己有直接威脅的。一個工具只有在有行兇動機的人手中，并且做出了威脅你的事情，才可以成為兇器。

　　蔣魯寧認為，所有的情報都需要根據(jù)企業(yè)自身的業(yè)務流程來加工，才能形成有指導意義的威脅報告。金湘宇舉了一個形象的例子：

　　威脅信息就像汽車的一個零件——一個車輪，但一個車輪并不能工作，而威脅情報是一部車。只有協(xié)同配合，才能讓沒有生命的信息躍遷成為一個更高級的整體。

　　威脅情報行業(yè)這兩年在全球以60%的復合增長率膨脹，仰仗的是大數(shù)據(jù)的整合能力。然而， 在實踐的操作中，防護體系有著諸多的問題。

　　對于一個企業(yè)，每天僅僅是高度匯總的威脅信息都有上千條，而其中，真正有用的也許只有幾條。另外，常規(guī)的安全防火墻只能應對普遍的攻擊，對于有特殊目的的針對性“點殺”根本無能為力。

　　360高級產(chǎn)品總監(jiān)韓永剛認為，數(shù)據(jù)驅動非常重要，但是數(shù)據(jù)量不一定要很大，數(shù)據(jù)的處理方法也直接決定了處理效果。也就是說，評價這臺車的的好壞，不能只看它的體量，最重要的是發(fā)動機的精密結構和技術含量。

　　威脅情報可以改變攻防態(tài)勢

　　我就靜靜地看著你裝X

　　360高級產(chǎn)品總監(jiān)韓永剛認為：“看見，是防護的第一步。”這也是威脅情報的意義所在。有了威脅情報，某種意義上講等于開掛，因為防守方有了上帝視角。韓永剛表示，360已經(jīng)建成了國內(nèi)首個可商用的威脅情報中心，并已經(jīng)發(fā)現(xiàn)了13個APT(高級持續(xù)性威脅)組織。

　　說到這里，還可以講一個小故事。

　　二戰(zhàn)中，盟軍依靠計算機之父圖靈的天才破解了德國的密碼，得知德國馬上要對考文垂進行轟炸。但是為了爭取更大的決定性勝利，盟軍選擇不讓德國人知道對手已經(jīng)破譯了其密碼。因此盟軍方面沒有對考文垂進行有針對性的的防御措施。于是德國人相信其密碼依然是安全的，從而一步步走進了盟軍的圈套。

　　在威脅情報中，安全公司同樣運用類似的方法和黑客斗法。例如：穿梭各大安全論壇，裝作黑客的樣子，開心地與之討論最近哪種攻擊方式最流行，有哪些漏洞可以利用。然后回家修補漏洞。

　　于是，通過威脅情報，企業(yè)會對未來的攻擊擁有免疫力，這就徹底改變了原本的攻防態(tài)勢。原來也許黑客可以用上整整一年的攻擊手段，一旦進入威脅情報，就被重點監(jiān)控。如果攻擊者第二次還在用同樣的后門，就等于主動跑到了探照燈下。

　　某大神爆料，目前美國正在有計劃有組織地曝光其他國家對其基礎設施發(fā)動的攻擊。這句話讓人細思極恐，這表明美國已經(jīng)擁有了一份精準的威脅情報，對其攻擊者的攻擊路徑已經(jīng)了如指掌。為了不打草驚蛇，其中有60%-70%的攻擊路徑，美國并沒有曝光。沒錯，美國正在靜靜地看對手裝X。