压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

至少這位同學(xué)回答的一點(diǎn)，就是狡猾，狡猾是帶有隱蔽的，特定的需要隱蔽，有各種各樣的信息，但我們發(fā)現(xiàn)現(xiàn)在談的威脅情報(bào)好像不是那么一回事在業(yè)界在場(chǎng)上給大家談的威脅情報(bào)，統(tǒng)一的IE，統(tǒng)一的樣本，把它們叫做威脅情報(bào)，這是怎么回事呢？其實(shí)在情報(bào)學(xué)當(dāng)中本身就有兩個(gè)學(xué)派的爭(zhēng)論，一是圖書館情報(bào)學(xué)LIS，還有一個(gè)IS情報(bào)學(xué)。19世紀(jì)情報(bào)學(xué)剛開始產(chǎn)生時(shí)就開始有了這樣的流派，這時(shí)候大把情報(bào)描述成，情報(bào)是信息，針對(duì)特定用途對(duì)它傳遞有價(jià)值信息或知識(shí)。

到二戰(zhàn)之后，它的發(fā)展發(fā)現(xiàn)定義遠(yuǎn)遠(yuǎn)不能滿足現(xiàn)實(shí)，拿到各種各樣的信息反制對(duì)手，不僅要猜測(cè)各方面，比如諾曼底登陸，或者在哪兒登陸，這不是知識(shí)可以告訴我們的東西?，F(xiàn)代情報(bào)學(xué)對(duì)情報(bào)重新進(jìn)行了定義，信息是原料，情報(bào)是產(chǎn)品，情報(bào)是我們基于信息并且加上人工自然推測(cè)，人智能在里面，最后生成的對(duì)一個(gè)東西的分析，包括一些預(yù)測(cè)在里面，把這些稱之為情報(bào)。在這當(dāng)中可以看到，中國的情報(bào)在這個(gè)定義是在走反方向的。1992年科委有個(gè)情報(bào)司，但1992年叫科技信息司，他不認(rèn)為是情報(bào)，認(rèn)為情報(bào)是信息。

反觀國外，一開始成立所有的學(xué)校叫LIS學(xué)院，但90年代大量倒閉，因?yàn)榕囵B(yǎng)出來的學(xué)生不能滿足現(xiàn)代情報(bào)學(xué)的工作，所以他的情報(bào)學(xué)基本都關(guān)閉了，只有部分轉(zhuǎn)向以LIS描述為主的情報(bào)，可以看到整個(gè)情報(bào)學(xué)的發(fā)展已經(jīng)從信息真正往情報(bào)方向發(fā)展。所以，在國外產(chǎn)生兩派新的情報(bào)學(xué)，把傳統(tǒng)情報(bào)學(xué)，以知識(shí)定義的情報(bào)歸之為傳統(tǒng)情報(bào)學(xué)，這一排強(qiáng)調(diào)競(jìng)爭(zhēng)強(qiáng)暴學(xué)，包括“9·11”事件之后美國興起了情報(bào)與安全信息的情報(bào)學(xué)分支。傳統(tǒng)情報(bào)學(xué)強(qiáng)調(diào)的是找知識(shí)，給我這么多信息，我把最有用的信息找出來就可以了，找不到我也不會(huì)預(yù)測(cè)它，推測(cè)它。

情報(bào)學(xué)里強(qiáng)調(diào)情報(bào)是幫助組織獲得競(jìng)爭(zhēng)優(yōu)勢(shì)的，所以它對(duì)的是你決策這一層。安全情報(bào)當(dāng)中，不僅是贏得對(duì)抗的優(yōu)勢(shì)，因?yàn)樵诟?jìng)爭(zhēng)情報(bào)學(xué)當(dāng)中你是有對(duì)手的，情報(bào)與安全的情報(bào)學(xué)當(dāng)中也是有對(duì)手的，但在傳統(tǒng)的情報(bào)學(xué)當(dāng)中它不會(huì)描述你的對(duì)手。在核心工作上就有了很典型的差異，傳統(tǒng)情報(bào)學(xué)強(qiáng)調(diào)我要把有價(jià)值的信息給找到就OK了，我只是找。但是競(jìng)爭(zhēng)情報(bào)學(xué)，情報(bào)與安全學(xué)強(qiáng)調(diào)預(yù)測(cè)、決策，情報(bào)的使命是幫助預(yù)測(cè)一件事情，補(bǔ)充組織上層做出合理的決策，情報(bào)與安全信息當(dāng)中，“9·11”之后更強(qiáng)調(diào)取證，怎么印證一個(gè)事情需要取證的手段，所以工作上就有很大的區(qū)別，傳統(tǒng)情報(bào)學(xué)找到知識(shí)之間的關(guān)聯(lián)就完成任務(wù)了，但在競(jìng)爭(zhēng)情報(bào)學(xué)當(dāng)中首先競(jìng)爭(zhēng)的關(guān)聯(lián)要首先信息有序化，形成有組織的關(guān)聯(lián)，最重要的工作是做信息的分析，信息分析之中把人的工作合理地猜測(cè)、預(yù)測(cè)，把各種線索之間進(jìn)行關(guān)聯(lián)，進(jìn)行推測(cè)、預(yù)測(cè)，并加以學(xué)習(xí)，因?yàn)槟愕膶?duì)手是智能的，不能讓你的系統(tǒng)僵化，要不斷適應(yīng)競(jìng)爭(zhēng)對(duì)手處置的方式，不斷地去變化。在情報(bào)與安全信息學(xué)里還增加了模擬驗(yàn)證，比如我推測(cè)這件事情，預(yù)測(cè)這件事情要做，加上合理的驗(yàn)證模型，推測(cè)這個(gè)事情是不是可行的，要取證誰是可能的，要把驗(yàn)證模型做進(jìn)去，從整個(gè)邏輯鏈條上去分析確實(shí)是這樣的，所以，情報(bào)與安全信息學(xué)當(dāng)中，“9·11”之后針對(duì)反恐分支當(dāng)中特別強(qiáng)調(diào)它很大工作，就是要去關(guān)注組織和人的關(guān)系描述，包括人的行為和意圖的分析。

特定屬性當(dāng)中，傳統(tǒng)情報(bào)學(xué)強(qiáng)調(diào)情報(bào)是知識(shí)，它可以傳遞。競(jìng)爭(zhēng)情報(bào)學(xué)包含了更多的隱蔽性，你是為了贏得競(jìng)爭(zhēng)對(duì)手的，你的信息被對(duì)手知道了，價(jià)值會(huì)有所降低，這個(gè)價(jià)值對(duì)A有作用，對(duì)B就沒有價(jià)值。對(duì)抗性，可能一個(gè)資源我們要爭(zhēng)奪，最終是為了預(yù)測(cè)和決策，現(xiàn)代競(jìng)爭(zhēng)情報(bào)學(xué)、安全與情報(bào)學(xué)、情報(bào)學(xué)當(dāng)中都強(qiáng)調(diào)了情報(bào)的更多屬性?，F(xiàn)在我們知道威脅情報(bào)的定義，最有名的幾家，比如McAfee、FREEZE，強(qiáng)調(diào)所有的信息將惡意的樣本庫、情報(bào)庫稱之為情報(bào)，最多只能叫信息和知識(shí)，它們可以說是情報(bào)嗎？可以說是，嚴(yán)格來說只是傳統(tǒng)的情報(bào)，但延伸出有價(jià)值的信息，并不能真正幫助組織去做抉擇，幫助組織做預(yù)測(cè)，不能鎖定你對(duì)抗的對(duì)手是誰。所有產(chǎn)業(yè)都把情報(bào)延續(xù)著老式的圖書館情報(bào)學(xué)對(duì)威脅情報(bào)的定義，他們的威脅情報(bào)的定義我認(rèn)為不適應(yīng)現(xiàn)代真正的競(jìng)爭(zhēng)。因?yàn)槲覀儸F(xiàn)在已經(jīng)明確知道，安全當(dāng)中我們最大的威脅是來自于組織的對(duì)抗，來自于跟人和組織的對(duì)抗，而不是你知道是誰定義的。

這個(gè)過程當(dāng)中，傳統(tǒng)的技術(shù)手段已經(jīng)不能夠應(yīng)對(duì)威脅，你知道這個(gè)樣本是壞的，Block掉就可以把威脅決斷了嗎？威脅是意圖成因能力，你階段了攻擊樣本，沒有把攻擊者的意圖，也沒有階段攻擊者的能力，你知道是惡意IP又怎么樣，把惡意攻擊IP阻斷了，人家再換個(gè)新的，好的，你沒有識(shí)別的IP呢？你能阻截住他嗎？我們傳統(tǒng)對(duì)抗的思路是把信息攔做攻擊者會(huì)走，實(shí)際新的對(duì)抗當(dāng)中你把攻擊者攔住他還會(huì)尋求新的路徑。

作為防御者、最終用戶角度來說他首先要知道我的弱點(diǎn)在哪里，不僅知道攻擊者在哪兒，怎么打進(jìn)來的，你能把整個(gè)攻擊脈絡(luò)告訴我，做不到，你告訴他攻擊的脈絡(luò)有什么用。那么對(duì)手是什么樣的，對(duì)手在哪里？有什么樣的攻擊能力？對(duì)手是誰？核心目標(biāo)是什么？他有什么意圖？所有產(chǎn)業(yè)提出的威脅情報(bào)我認(rèn)為都不能回答用戶這種問題?；蛟S通過這種威脅情報(bào)能夠增加一些防御者的能力，但并不能夠真正為防御者解決真正的問題。

真正防御者需要什么樣的問題？防御者和攻擊者最終都是為了真多利益，可以看到他們是競(jìng)爭(zhēng)對(duì)手，競(jìng)爭(zhēng)對(duì)手之上后端都有治理的人和組織進(jìn)行知識(shí)和情報(bào)的對(duì)抗。威脅方來說一定要摸清楚防御方我想偷你的東西，竊取有價(jià)值的東西，破壞你的東西，一定要了解你的價(jià)值點(diǎn)在哪里？你有什么東西值得我破壞，你系統(tǒng)的內(nèi)部構(gòu)成是怎樣的，我怎樣通過這個(gè)脈絡(luò)拿到我的東西，你的防御體系是怎樣，你的組織架構(gòu)是怎樣，可能單純靠技術(shù)點(diǎn)攻破不了你，但單純通過組織架構(gòu)，ATP的思路，人際關(guān)系來跳過攻擊。所以，要靠一套攻擊體系。研究ATP的都知道他有專門的團(tuán)隊(duì)做分工的，有專門的團(tuán)隊(duì)做信息分析，發(fā)起攻擊。防御者也需要一套自己的防御知識(shí)情報(bào)和體系，來和攻擊者進(jìn)行對(duì)抗。從入侵事件當(dāng)中你把他Block不是最佳的方案，要從入侵事件里要找到你最原始，被開始被攻入的點(diǎn)，最弱點(diǎn)在哪里，攻擊者有什么攻擊手段你才能應(yīng)對(duì)它。你Block這一個(gè)攻擊，可能攻擊者已經(jīng)在里面很長(zhǎng)時(shí)間，已經(jīng)把你所有資產(chǎn)拿走，這時(shí)候一個(gè)IP你能知道你的受害范圍和損失到底有多大，最后了解攻擊者的意圖和攻擊者的身份。

如果能幫防御者建立起這樣一套完整的知識(shí)和情報(bào)體系，才能更加有效對(duì)抗有組織的攻擊。

如何達(dá)到這樣的目標(biāo)。防御者角度都是看到單點(diǎn)的信息，一個(gè)入侵被我們發(fā)現(xiàn)了，一臺(tái)受害的主機(jī)被我們發(fā)現(xiàn)，或者一個(gè)攻擊人正在準(zhǔn)備攻擊我被發(fā)現(xiàn)了，正是單點(diǎn)的線索，一般是換所環(huán)節(jié)就Block掉，永遠(yuǎn)拿不到的后面的信息。我們?nèi)绻徊扇∮^測(cè)、監(jiān)測(cè)，觀察，就可以把威脅的線路圖拿出來。你要了解威脅者的意圖是什么？攻擊者擁有的能力是什么，只有又有能力又有意圖才能對(duì)你形成威脅，有能力沒意圖或者有意圖沒有能力都不能對(duì)你構(gòu)成威脅。為了達(dá)到這個(gè)目的我們要從線索分析你當(dāng)前的態(tài)勢(shì)是怎樣的。

從這一個(gè)點(diǎn)上我們可以分析，到底你內(nèi)部有多少受害，有多少已經(jīng)被攻擊者控制，已經(jīng)有多少損失，能不能還原過去，從各個(gè)點(diǎn)，關(guān)聯(lián)的蛛絲馬跡從攻擊者最初的點(diǎn)到現(xiàn)在的途徑給畫出來。最開始攻擊者通過漏洞打過來，對(duì)你內(nèi)部的木馬通過暴力拆借，你把路徑畫清楚就可以了解過去的路徑在哪里？結(jié)合更多的線索我們能發(fā)現(xiàn)外界的信息都有誰，了解當(dāng)前的態(tài)勢(shì)，攻擊者怎么進(jìn)來的，你才能描繪攻擊者的能力如何，或者攻擊者是誰，現(xiàn)在做了什么？我才能了解他的意圖，攻擊者的能力，他的意圖，在我的內(nèi)部已經(jīng)達(dá)到什么樣的狀態(tài)，你就知道攻擊者下一步有可能會(huì)做什么。最后，在風(fēng)險(xiǎn)這個(gè)層次上去支撐決策。我們要描述全景的威脅情報(bào)細(xì)細(xì)，要描述基礎(chǔ)情報(bào)信息，尤其是IT資產(chǎn)信息，通過IT資產(chǎn)才能準(zhǔn)確描述你受害和資產(chǎn)的關(guān)系，特別是人員和黑客組織的信息，這個(gè)基礎(chǔ)之上，可以在很多點(diǎn)上找到線索，通過攻擊事件被我們發(fā)現(xiàn)，一個(gè)新的樣本出來了，一個(gè)熱點(diǎn)曝光實(shí)際他們都是單一的線索。

在單一的線索之上，我們根據(jù)各種東西還有可能生成知識(shí)，比如一個(gè)線索來了被我們驗(yàn)證是個(gè)威脅的樣本，威脅的樣本怎么識(shí)別它？變成了一種知識(shí)，這個(gè)威脅樣本做什么，威脅樣本的行為，包括它的DNA，你應(yīng)對(duì)威脅樣本該怎么做？現(xiàn)在所有的樣本都只能應(yīng)對(duì)到知識(shí)層面。情報(bào)要做什么？

實(shí)際情報(bào)要回答清楚三個(gè)問題：過去、現(xiàn)在和未來。過去，攻擊者通過什么樣的路徑進(jìn)來，你得把整個(gè)鏈路給了解清楚，怎么達(dá)到現(xiàn)在的狀態(tài)，現(xiàn)在攻擊者在你的內(nèi)部控制了多少點(diǎn)，他做了多少事情。最后才是著眼于未來，當(dāng)中可以看到威脅的知識(shí)并不是真正的威脅情報(bào)，雖然語義上可以對(duì)它進(jìn)行區(qū)分。

情報(bào)是有一定動(dòng)態(tài)的信息，知識(shí)是一種比較靜態(tài)的信息，我告訴你一種知識(shí)，這個(gè)樣本是壞的，今天可以用，明天可以用，后天也可以用，但情報(bào)是可以給你一定時(shí)間，動(dòng)態(tài)相關(guān)的。之后你可以構(gòu)建自己一套威脅情報(bào)體系，和產(chǎn)業(yè)當(dāng)中的，IBM基于威脅知識(shí)生產(chǎn)的體系是有一定差異的，當(dāng)然知識(shí)也是會(huì)生成的，這當(dāng)中通過各種事件的采集和對(duì)威脅線索的識(shí)別會(huì)生成大量威脅線索，在威脅線索之上會(huì)做技術(shù)的分析，然后生成威脅的知識(shí)。但在更多的線索之上把IT資產(chǎn)的信息和黑客組織人員之間的信息進(jìn)行關(guān)聯(lián)，就有可能生成威脅的情報(bào)。最后威脅的情報(bào)應(yīng)對(duì)的是決策，他面向的用戶是組織的高層，在威脅知識(shí)上，他應(yīng)對(duì)事件就是和我們現(xiàn)在產(chǎn)業(yè)界的情報(bào)相應(yīng)對(duì)，它Action處置，從低端到運(yùn)維層面人員的Action，真正應(yīng)對(duì)層面是組織的上層，這樣只有情報(bào)可以幫助組織獲得競(jìng)爭(zhēng)優(yōu)勢(shì)的方式，你輸出再多的威脅知識(shí)，可能會(huì)增加你的能力，但并不能真正幫助一個(gè)組織在對(duì)抗當(dāng)中獲得競(jìng)爭(zhēng)優(yōu)勢(shì)。

今天民居發(fā)生了爆炸是一起事件，有可能有個(gè)小孩玩?zhèn)€大爆竹，有可能是恐怖分子造炸彈失敗了，也可能是民居發(fā)生一起煤氣爆炸，我們通過當(dāng)量分析、各種分析和識(shí)別，知道這不是簡(jiǎn)單的爆炸，是恐怖分子在小院子里實(shí)驗(yàn)炸彈失敗了發(fā)生了小范圍的爆炸。這時(shí)候我們要分析線索，把爆炸現(xiàn)場(chǎng)的爆炸物給取回來，我們就可以做威脅的技術(shù)分析，技術(shù)分析當(dāng)中我們發(fā)現(xiàn)爆炸物當(dāng)中有個(gè)特定的物質(zhì)和其他所有炸彈的東西研制的，制造特定的物質(zhì)，我們懷疑恐怖組織說的，通過這個(gè)特定的物質(zhì)可以獲得恐怖組織相關(guān)的東西，比如預(yù)演這個(gè)炸彈有關(guān)。這就形成了威脅的指示，通過這個(gè)威脅的知識(shí)隱身到其他已知炸彈威脅當(dāng)中，已經(jīng)襲擊的恐怖分子的炸彈物物質(zhì)在其中，我們就可以關(guān)聯(lián)在一起。因?yàn)閷?shí)驗(yàn)的房子里恐怖分子租了房，留下了租房的信息，我們可以把這個(gè)實(shí)驗(yàn)的人和社會(huì)關(guān)聯(lián)信息關(guān)聯(lián)在一起，再發(fā)現(xiàn)這個(gè)組織和一些人，這些人正在學(xué)習(xí)開飛機(jī)，因?yàn)槲覀冩i定，可以認(rèn)定他們是一幫恐怖分子，恐怖分子在學(xué)開飛機(jī)我們推測(cè)他們可能會(huì)劫機(jī)。了解了這幫人的路徑，這些人不僅在學(xué)飛機(jī)，他還去圖書館了解世貿(mào)大樓多少承重度，飛機(jī)多少燃油相關(guān)，這時(shí)候我們推測(cè)出來，這幫恐怖分子追求學(xué)開飛機(jī)撞五角大樓。這時(shí)候我們可以看到威脅的情報(bào)，威脅的線索上市，定義點(diǎn)是有不同的。

威脅的知識(shí)是靜態(tài)的，幫助你描述威脅，它可以對(duì)你有一定指導(dǎo)作用的知識(shí)，并不因此而過期，我告訴A、告訴B、告訴C，它的價(jià)值不會(huì)遞減。但威脅的情報(bào)則是動(dòng)態(tài)的信息，它不一定指示你做什么，一般威脅是精確的，告訴你怎么識(shí)別它，比如有AAA的是壞的，這是一條知識(shí)的，而且有時(shí)效性，過了一段時(shí)間它有可能被驗(yàn)證，有可能失效。威脅情報(bào)包括過去、現(xiàn)在、將來的推測(cè)，不是沒有理由的推測(cè)，而是郵政局，帶有人工智力相關(guān)的推測(cè)。

威脅的線索一般是單點(diǎn)的事件，它是動(dòng)態(tài)的，各種線索關(guān)聯(lián)加入人工的思想就可能變成情報(bào)。基礎(chǔ)信息更多描述評(píng)述性的東西，比如A是B的，這是一個(gè)信息基礎(chǔ)，比如資產(chǎn)是誰，這個(gè)組織有什么人什么人。事件和數(shù)據(jù)就是大量動(dòng)態(tài)產(chǎn)生，我們?cè)谑录?dāng)中發(fā)現(xiàn)威脅的線索，把各種事件、知識(shí)、信息關(guān)聯(lián)起來形成威脅的情報(bào)，對(duì)威脅當(dāng)中各種素材進(jìn)行分析，可以獲得我們一些威脅的知識(shí)，最后生成這樣一套情報(bào)體系。這里描述了各種知識(shí)、情報(bào)線索、信息各種區(qū)別，比如動(dòng)態(tài)的，靜態(tài)的，敘述的還是指導(dǎo)的，面對(duì)的信息是微觀還是宏觀的，對(duì)應(yīng)的行動(dòng)是應(yīng)急還是決策的，價(jià)值形是特定的還是所有的，對(duì)應(yīng)行動(dòng)是應(yīng)急的還是決策的。