浅谈威胁情报

威胁情报在百度百科上给出的定义是 某种基于证据的知识，包括上下文、机制、标示、含义和能够执行的建议，这些知识与资产所面临已有的或酝酿中的威胁或危害相关，可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持。业内大多数所说的威胁情报可以认为是狭义的威胁情报，其主要内容为用于识别和检测威胁的失陷标识，如文件HASH，IP，域名，程序运行路径，注册表项等，以及相关的归属标签。 参考John Friedman和Mark Bouchard在2015年发表的 网络威胁情报权威指南 中下的定义： 对敌方的情报，及其动机、企图和方法进行收集、分析和传播，帮助各个层面的安全和业务成员保护企业关键资产。 情报即线索，威胁情报便是为了还原已发生的攻击和预测未发生的攻击所需要的一切线索。

安全圈所涉及的情报的范畴主要包括威胁情报、漏洞情报、资产情报。漏洞情报主要与脆弱点相关，描述的是本身业务存在的隐患问题；资产情报主要为内部IT业务资产和人的信息，而威胁情报则主要针对攻击者的威胁。而威胁情报又可以分为具体三类：

• 战术级情报
• 运营级情报
• 战略级情报

威胁情报的作用

从威胁情报的分类来看：

• 战术级情报的作用主要是发现威胁事件，并对报警进行确认或者做优先级排序。常见的失陷检测情报(CnC情报，即攻击者控制被害主机所使用的远程指令与控制服务器等等的相关情报)、IP情报(访问互联网服务器的IP主机的相关信息的集合，可能包含恶意主机)便属于这种范畴。
• 运营及情报的主要作用是对已知的重要安全事件做分析(报警确认、攻击影响范围、攻击链以及攻击目的、技术战术方法等等)或者利用已知的攻击者技术战术手法主动地查找攻击相关的线索。
• 战略级情报主要目的是让安全管理者确定安全上的投入量、安全上的主要投入的方向等等，由于包括了什么样的组织会进行攻击，攻击可能造成的危害后果、攻击者的战术能力和掌控的资源情况等等以及攻击案例，可是安全管理者的决策不再盲目，更加针对组织的业务情况以及真正威胁。
  总体来说，威胁情报的主要作用便是方便企业及时最小化已发生的攻击产生的影响，追踪攻击来源并且再下次攻击产生之前做好防范，确认自身产品可能的缺陷并合理设置安全方面的投入力度与措施。

威胁情报的作用点

威胁情报的作用点主要有：

• 攻击检测与防御
  基于威胁情报数据可以创建IDPs或者AV产品的签名，或者生成NFT(网络取证工具)、SIEM、ETDR(终端威胁检测及响应)等等产品的规则，用于攻击检测；
• 攻击溯源
  依赖于威胁情报可以对攻击溯源做更简单、更高效的处理。
• 态势感知
  利用威胁情报对自身服务弱点进行感知、获取外部咨询，从而对安全运营做更合理的安排

威胁情报是怎么生产的

威胁情报的生产就是通过对原始数据/样本的采集、交换、分析、追踪,之后产生和共享有价值的威胁情报信息的过程。

生产者可以通过使用蜜罐、沙箱、终端等手段收集大量的信息，经过初级或者专业技术分析后提供给消费者，满足消费者的服务安全运行的需求。腾讯等公司拥有庞大的数据基础，因此能够提供相对全面的初始数据与初级分析的情报。除了庞大的数据意外，也可以通过多种渠道收集数据，经过对数据的加工、处理、筛选等二次分析来得到更加贴近真相的威胁情报。

威胁情报是怎么消费的

威胁情报的消费是指将企业和客户网络中的安全数据与威胁情报进行比对、验证，以及企业和客户方的安全分析师利用威胁情报进行分析的过程。威胁情报是否有价值，有多大价值，最终取决于消费者。

参考gartner的论文，威胁情报消费的方式主要有：

• Web分类
• 网站信誉 预测访问网站的安全风险
• IP信誉
• 反网络钓鱼
• 文件信誉 恶意文件黑名单，预防恶意软件的分发
• 移动应用信誉 分析恶意移动应用

威胁情报共享的相关指标、规范

• CybOX
  Cyber Observable eXpression (CybOX) 规范定义了一个表征计算机可观察对象与网络动态和实体的方法。可观察对象包括文件，HTTP会话，X509证书，系统配置项等。CybOX 规范提供了一套标准且支持扩展的语法，用来描述所有我们可以从计算系统和操作上观察到的内容。在某些情况下，可观察的对象可以作为判断威胁的指标，比如Windows的RegistryKey。这种可观察对象由于具有某个特定值，往往作为判断威胁存在与否的指标。IP地址也是一种可观察的对象，通常作为判断恶意企图的指标。
• STIX
  Structured Threat Information eXpression (STIX) 提供了基于标准XML的语法描述威胁情报的细节和威胁内容的方法。STIX支持使用CybOX格式去描述大部分STIX语法本身就能描述的内容，当然，STIX还支持其他格式。标准化将使安全研究人员交换威胁情报的效率和准确率大大提升，大大减少沟通中的误解，还能自动化处理某些威胁情报。实践证明，STIX规范可以描述威胁情报中多方面的特征，包括威胁因素，威胁活动，安全事故等。它极大程度利用DHS规范来指定各个STIX实体中包含的数据项的格式。
• TAXII
  Trusted Automated eXchange of Indicator Information (TAXII) 提供安全的传输和威胁情报信息的交换。很多文章让人误以为TAXII只能传输TAXII格式的数据，但实际上它支持多种格式传输数据。当前的通常做法是用TAXII来传输数据，用STIX来作情报描述，用CybOX的词汇。
  TAXII在标准化服务和信息交换的条款中定义了交换协议，可以支持多种共享模型，包括hub-and-spoke，peer-to-peer，subscription。
  TAXII在提供了安全传输的同时，还无需考虑拓朴结构、信任问题、授权管理等策略，留给更高级别的协议和约定去考虑。

• 其它规范

  不难看出，目前大量文章内容聚焦在STIX，TAXII，CybOX。有些文章甚至都没提到扮演着同样重要角色的CVE和CVSS。另外，还有很多DHS的补充性规范也经常被所谓的“专家”所忽视。

  Common Platform Enumeration（CPE）和Common Configuration Enumeration（CCE）规范了平台和配置的描述标准，就像CVE规范了漏洞的描述标准一样。Common Configuration Scoring System（CCSS）则提供了一套基于CVSS的指标。

  其他规范包括：

  • Common Weakness Enumeration (CWE) 定义了通用软件设计与实现的弱点，安全漏洞往往是由这些弱点而来的。

  • Common Attack Pattern Enumeration and Classification (CAPEC) 提供了一个与跨事件攻击相似的功能。

  • Malware Attribute Enumeration and Characterization (MAEC) 可用于描述恶意软件的信息，类似于CVE和漏洞之间的关系。

  • Open Vulnerability Assessment Language (OVAL) 为评估漏洞范围和影响提供了一个框架。

当然还有其他的规范和标准，就不一一列举了。所有这些规范的目标都是覆盖更全面的安全通信领域，并使之成为一种标准化的东西。

• 美国政府和威胁情报
  美国的标准化工作和努力紧密围绕Defense Information Systems Agency（国防信息系统局，简称DISA）和美国National Institute of Standards and Technology（国际标准与技术研究院，简称NIST）。 NIST主要制定系统安全的规范，特别是网络安全框架规范，并主管计算机安全资源中心。 DISA则负责制定Secure Technical Implementation Guides （安全技术实施指南，简称STIGs）来规范信息系统的安全安装与维护。这些高级术语可不止是表面功夫，它们指代了包含技术指导在内的多种标准，允许安装和维修人员锁定系统，否则可能容易受到攻击。
  最近，这些组织已经完全支持NIST 的Security Content Automation Protocol （安全内容自动化协议，简称SCAP）。National Vulnerability Database （国家漏洞数据库，简称NVD） 提供官方 SCAP 映射层。这个开放标准的套件目的是：让安全配置的管理和测量能像威胁情报共享一样自动化。
  虽然不是经常被提起，但STIX协议可以和其他方式一样，轻松地封装SCAP的payloads。事实上，来自DHS系列中的很多标准其实都已经被SCAP覆盖到了。SCAP实际包含以下的标准：
• CVE
• CCE（通用配置列表标准）
• CPE
• CVSS
• CCSS
• OVAL
• Extensible Configuration Checklist Description Format （可扩展性配置清单描述格式标准，简称XCCDF）
• Open Checklist Interactive Language ​（开放检查表交互式语言，简称OCIL）

上述的除了XCCDF，OCIL和CCSS来自DHS系列标准，剩下的都是NIST定义的。XCCDF给系统配置规则的结构化集合提供了一个标准的描述。该标准支持自动化信息交换，合规测试与评分，同时大家仍然可以根据具体需求来作定制化开发。与DHS的安全威胁情报系列标准相比，XCCDF与DHS系列中的CCE仅存在少量差异。幸运的是，这是SCAP覆盖的内容和DHS系列规范中唯一的明显差异。

OCIL提供了一个标准化的框架，以描述清单问题和解答问题的步骤，而CCSS有一套指标来衡量软件配置问题的安全性。它从公认的CVSS规范衍生出来，并提供类似的功能。

• MILE

  Managed Incident Lightweight Exchange （轻量级交换托管事件，简称MILE） 封装的标准涵盖了与DHS系列规范大致相同的的内容，特别是CybOX，STIX和TAXII。MILE标准为指标和事件定义了一个数据格式。该封装还包含了 Incident Object Description and Exchange Format （事件对象描述和交换格式,简称IODEF）。IODEF合并了许多DHS系列规范的数据格式，并提供了一种交换那些可操作的统计性事件信息的格式，且支持自动处理。它还包含了IODEF for Structured Cybersecurity Information（结构化网络安全信息，简称IODEF-SCI）扩展和Realtime Internetwork Defense （实时网络防御，简称RID），支持自动共享情报和事件。

国内外威胁情报的玩家

在国内，我国的国家网络空间威胁情报共享开放平台也接入了多家企业， 如360、CNCERT、天融信、绿盟、安天、深信服等多家安全企业，共同提供情报开放共享、情报关联融合、情报评估校验等工作。

衡量威胁情报质量的方法

威胁情报质量的评估具有以下几个原则：

• 科学性与实用性
• 系统性和层次性
• 全面性和代表性
• 动态性和静态性
• 我们需要在下面四个方面去保障其质量：
• 相关性
  要求更能强调和具体用户的地域性、行业性相关，即需要针对此用户的环境，能发现可能遭遇的重要威胁。
• 及时性
  情报的及时性是由多个因素构成的，包括数据收集的及时性、云端处理的及时性、情报分发的及时性等等。
• 精确性
  此特性主要指我们一般说的误报率指标。
• 可指导响应的上下文
  上下文一定是对决策、行动有帮助，与此无关给出的信息越多，说明情报的质量越差。

因此，针对威胁情报的这些属性，我们可以采取一些测试方法来进行测试:

• 新鲜度测试
• 流行度测试
• 独特性测试
• 覆盖测试
• 过期测试
• 关联测试