压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

如果把企業(yè)比作球隊(duì)，那么安全能力的下限——軟硬件安全體系，決定你能否保級(jí)，而安全能力的上限——教練和情報(bào)工作，決定你能否晉級(jí)或奪冠，一球成名還是“突然死亡”。今天，沒(méi)有人再懷疑威脅情報(bào)的重要性，但是在威脅情報(bào)的概念、實(shí)踐和運(yùn)營(yíng)方面，企業(yè)界依然存在一些誤區(qū)和難點(diǎn)，例如過(guò)于依賴(lài)供應(yīng)商而不是“與業(yè)務(wù)共生迭代”、缺乏建設(shè)評(píng)估標(biāo)準(zhǔn)、威脅情報(bào)與安全運(yùn)營(yíng)體系難以形成閉環(huán)等等。以下安全牛邀請(qǐng)到H3C攻防團(tuán)隊(duì)梁力文，就威脅情報(bào)如何定位、如何規(guī)劃評(píng)估、如何選型等關(guān)鍵問(wèn)題展開(kāi)探討：

2019年底，一場(chǎng)突如其來(lái)的疫情讓全國(guó)陷入危機(jī)，新型冠狀病毒也成了百姓聞之色變的詞語(yǔ)。如何確診、如何看待第一代核酸檢測(cè)的高漏報(bào)率、為何提倡物理隔離、如何進(jìn)行交通管制… 作為網(wǎng)絡(luò)安全從業(yè)者，為疫情揪心的同時(shí)，又覺(jué)得這些跨領(lǐng)域的命題是如此熟悉！因?yàn)樵谫惒┛臻g，我們幾乎每天都會(huì)面臨類(lèi)似的事件… 主機(jī)中毒、開(kāi)始感染、迅速斷網(wǎng)隔離、線(xiàn)下殺毒、同時(shí)搜尋高可疑目標(biāo)、對(duì)其升級(jí)加固、最后對(duì)事件還原、路徑追溯、總結(jié)復(fù)盤(pán)…情形何其類(lèi)似！我們也看到，這次全國(guó)疫情攻堅(jiān)戰(zhàn)中，大數(shù)據(jù)技術(shù)在人員擴(kuò)散監(jiān)測(cè)、疫情流向、治療資源精準(zhǔn)投放中也發(fā)揮了巨大的作用。那么，作為大數(shù)據(jù)安全典型代表的威脅情報(bào)，又是如何幫助企業(yè)免于感染、甚至提前預(yù)警、主動(dòng)反制的呢？具體的，它如何與態(tài)勢(shì)感知系統(tǒng)一起，做到全網(wǎng)有效監(jiān)測(cè)、繪制疫情地圖、預(yù)測(cè)疫情走向、回溯感染路徑的呢？下文，我們將一起探討。

從2013年Gartner為情報(bào)給出定義，到今天，威脅情報(bào)也不算新鮮詞匯了。從甲方公司嘗試威脅狩獵、行業(yè)聯(lián)盟如火如荼，到情報(bào)人才的招聘價(jià)位上都能看出其熱度有增無(wú)減。的確，大部分企業(yè)也認(rèn)同在安全態(tài)勢(shì)日益復(fù)雜化、動(dòng)態(tài)化、常態(tài)化的今天，靜態(tài)、單層的防御已經(jīng)不再有效，轉(zhuǎn)而尋求動(dòng)態(tài)的、主動(dòng)的防御，情報(bào)就是其中一種。

不少企業(yè)開(kāi)始建設(shè)邊界+終端+管道+大數(shù)據(jù)多位一體的防御戰(zhàn)線(xiàn)，情報(bào)作為大數(shù)據(jù)安全的典型代表，能充分拉高整體安全防御的天花板，通過(guò)加強(qiáng)未知威脅的發(fā)現(xiàn)和防護(hù)能力，縮短攻擊檢測(cè)和響應(yīng)周期、 提升企業(yè)安全分析水平的價(jià)值是被充分認(rèn)可的。但具體落實(shí)到如何選擇、怎樣發(fā)揮價(jià)值、誤報(bào)的解決和處置，仍是企業(yè)客戶(hù)的困擾。今天我們從情報(bào)的概念開(kāi)始，來(lái)嘗試解決和探討這幾個(gè)話(huà)題。

【是什么】威脅情報(bào)知多少？

與安全界的很多術(shù)語(yǔ)一樣，“威脅情報(bào)”也是從軍事領(lǐng)域泊來(lái)的，這里用《辭海》對(duì)情報(bào)的解釋?zhuān)瑏?lái)代替Gartner 2013對(duì)威脅情報(bào)的定義可能更好理解：情報(bào)即“獲得的他方有關(guān)情況以及對(duì)其分析研究的成果”。安全情報(bào)也一樣，都是主動(dòng)了解、分析對(duì)手，并對(duì)其重要關(guān)鍵信息確認(rèn)、加工后的產(chǎn)物，最終的目標(biāo)是指導(dǎo)決策，這也是“情報(bào)”不同于“數(shù)據(jù)”和“信息”的價(jià)值。

威脅情報(bào)可以分為戰(zhàn)略情報(bào)、戰(zhàn)術(shù)情報(bào)和運(yùn)營(yíng)情報(bào)。其中戰(zhàn)略情報(bào)比較寬泛抽象，多以報(bào)告、指南、框架文件等形式提供給高級(jí)管理者閱讀，側(cè)重安全態(tài)勢(shì)的整體性描述，以輔助組織的安全戰(zhàn)略決策。戰(zhàn)術(shù)級(jí)情報(bào)則泛指機(jī)讀情報(bào)的收集和輸出，多以IoCs（Indicators of Compromise）的形式輸出，如某個(gè)木馬的C2服務(wù)器IP地址、釣魚(yú)網(wǎng)站的URL或某個(gè)黑客組織常用工具h(yuǎn)ash…；運(yùn)營(yíng)情報(bào)是建立在對(duì)戰(zhàn)術(shù)級(jí)情報(bào)進(jìn)行多維分析之上而形成的更高維情報(bào)知識(shí)，如銀行的哪些客戶(hù)信息已經(jīng)外泄并被利用于業(yè)務(wù)欺詐、某個(gè)APT攻擊的殺傷鏈?zhǔn)窃趺礃?gòu)成的、其影響面等，主要用于制定針對(duì)性的整體防御、檢測(cè)和響應(yīng)策略。

從類(lèi)別上，又可以分為漏洞情報(bào)、資產(chǎn)情報(bào)、事件情報(bào)。從內(nèi)容上分，包括IP地址情報(bào)、域名情報(bào)、惡意軟件情報(bào)等。至于交付方式，可以有結(jié)構(gòu)化文檔交付（如漏洞/樣本/APT事件分析報(bào)告）、人機(jī)界面交付（如提供查詢(xún)和溯源） 、API接口交付（主要與其他平臺(tái)對(duì)接）和Feed交付（安全設(shè)備本地集成的主流方式）等。

從應(yīng)用領(lǐng)域，又可以分為：機(jī)讀情報(bào)（MRTI）、人讀情報(bào)（PRTI）、畫(huà)像情報(bào)和知識(shí)情報(bào)四類(lèi)。其中機(jī)讀情報(bào)應(yīng)用最廣，基本已經(jīng)被各大乙方安全廠(chǎng)商在設(shè)備中集成，多以IoC或者Yara的形式存儲(chǔ)。人讀情報(bào)的格式比較寬泛，包括安全公告、漏洞預(yù)警、病毒/APT分析文章都屬于這個(gè)類(lèi)別。畫(huà)像情報(bào)則是介于機(jī)讀和人讀情報(bào)中的一種，通常用結(jié)構(gòu)化的標(biāo)簽和非結(jié)構(gòu)化的備注來(lái)描述，針對(duì)單一的威脅、資產(chǎn)、漏洞、事件進(jìn)行分析形成的知識(shí)集，也可以加入場(chǎng)景標(biāo)注。而知識(shí)情報(bào)的提法主要是針對(duì)態(tài)勢(shì)感知、SOC、SIEM類(lèi)平臺(tái)產(chǎn)品的，平臺(tái)內(nèi)置的先驗(yàn)規(guī)則如關(guān)聯(lián)規(guī)則和知識(shí)圖譜都屬于這一類(lèi)。

總結(jié)：目前最普遍得到應(yīng)用和分享的，還是以機(jī)讀情報(bào)為代表的戰(zhàn)術(shù)情報(bào)，通過(guò)IoC（病毒hash、C&C域名、IP地址等）呈現(xiàn)和集成。

【為什么】縱深防御可否代替情報(bào)？

答案是不能。前文提及，搭建四位一體的安全防護(hù)體系、積極轉(zhuǎn)型主動(dòng)防御、充分調(diào)動(dòng)云管端和外腦的力量是我們信息安全建設(shè)的目標(biāo)，除此之外，還有幾個(gè)更樸素的原因：

01、設(shè)備告警懈怠

大量的安全設(shè)備產(chǎn)生的海量日志可能導(dǎo)致運(yùn)維人員疲于應(yīng)對(duì)，反而忽略了嚴(yán)重的失陷事件；而威脅情報(bào)的價(jià)值之一就在于一些情報(bào)的命中的確是失陷的鐵證。運(yùn)維人力跟不上告警處置速度時(shí)，簡(jiǎn)單的決策就是盯著情報(bào)日志優(yōu)先處置，高質(zhì)量的情報(bào)的確能很大程度節(jié)省企業(yè)安全運(yùn)維投入的開(kāi)銷(xiāo)。

02、安全防御盲點(diǎn)

即使近年各行業(yè)整體信息安全體系建設(shè)水位大幅提升，裸奔的單位沒(méi)有了，靜態(tài)的防御上去了，但死角依然存在。內(nèi)網(wǎng)無(wú)人看守、邊界不清晰、策略太老舊…在這幾年大大小小的護(hù)網(wǎng)演習(xí)中，攻不破的堡壘還是少數(shù)，更多的企業(yè)還是在層層防御下被不自覺(jué)的突破了。如何有效彌補(bǔ)管道和端點(diǎn)防御的疏漏？如何在損失發(fā)生前預(yù)警，在危害造成后溯源反制？代價(jià)最小、最行之有效的，就是部署威脅情報(bào)，它與固有的安全體系/產(chǎn)品能充分融合，不強(qiáng)制要求組網(wǎng)變更，能迅速形成云端+本地+管道的主動(dòng)防御能力覆蓋。

03、新型對(duì)抗層出

從黑產(chǎn)到APT，我們的對(duì)手經(jīng)歷了組織、目標(biāo)、武器、技戰(zhàn)法的多次迭代，我們便不能停留在十年前的防御水平。不可避免的漏檢情況有很多，包括廠(chǎng)商或者客戶(hù)沒(méi)有及時(shí)更新先驗(yàn)規(guī)則、以及越來(lái)越多的無(wú)文件攻擊無(wú)法用傳統(tǒng)引擎檢測(cè)的情況，一些惡意代碼也通過(guò)混淆、逃逸和沙盒對(duì)抗來(lái)避免動(dòng)態(tài)調(diào)試。威脅情報(bào)的工作機(jī)制正好彌補(bǔ)了這個(gè)盲點(diǎn)。（這里不是否認(rèn)傳統(tǒng)安全產(chǎn)品和特征庫(kù)技術(shù)的作用，實(shí)際上，多種防御方法和手段都有其不可替代的優(yōu)勢(shì)，被動(dòng)防御和主動(dòng)防護(hù)是依賴(lài)共生而非彼此淘汰的關(guān)系）。總結(jié)：威脅情報(bào)能有效解決告警懈怠、代表企業(yè)安全主動(dòng)防御的華麗轉(zhuǎn)型，并能有效彌補(bǔ)傳統(tǒng)引擎無(wú)法檢測(cè)新型攻擊的短板，實(shí)屬企業(yè)信息安全建設(shè)之必備利器。

【如何用】威脅情報(bào)與安全設(shè)備，1+1>2

再好的內(nèi)容都需要有工具載體才能被廣泛利用，除了少數(shù)單位有自建SoC/SIEM的能力而自行采購(gòu)情報(bào)之外，多數(shù)情況下威脅情報(bào)還是需要安全設(shè)備/平臺(tái)作為載體來(lái)進(jìn)行價(jià)值體現(xiàn)。

01、主流方案——本地Feed集成+云端查詢(xún)

機(jī)讀情報(bào)目前已經(jīng)有了國(guó)標(biāo)，廠(chǎng)商如果遵循統(tǒng)一規(guī)范，很容易在不同的設(shè)備間進(jìn)行兼容。主要的覆蓋手段可以通過(guò)網(wǎng)絡(luò)設(shè)備和安全管理軟件內(nèi)置集成，以達(dá)到管道側(cè)的檢測(cè)覆蓋和全景視角上的關(guān)聯(lián)分析。也可以在EDR上集成，打造云管端三重覆蓋的主動(dòng)防御體系。Feed（IoCs）在不同產(chǎn)品的集成策略各有側(cè)重：設(shè)備側(cè)由于實(shí)時(shí)匹配性能有限，本地集成的Feed的原則通常會(huì)考慮時(shí)效性、破壞性和準(zhǔn)確性，兼顧流行度。可以簡(jiǎn)單理解為“重封堵，輕分析”。態(tài)勢(shì)感知平臺(tái)正好彌補(bǔ)了這一問(wèn)題，大數(shù)據(jù)集群的架構(gòu)優(yōu)勢(shì)，可以容納更大的情報(bào)規(guī)模和更豐富的屬性字段，最大程度支持研判分析，以及進(jìn)一步的知識(shí)圖譜匹配。此外云端情報(bào)中心內(nèi)置的海量情報(bào)可以用作手工的查詢(xún)，提供更加豐富的畫(huà)像內(nèi)容和人讀情報(bào)，支持深度分析和溯源。云端情報(bào)中心可以用內(nèi)置鏈接的方式與設(shè)備或者監(jiān)控平臺(tái)進(jìn)行關(guān)聯(lián)。值得一提的是，相對(duì)于傳統(tǒng)特征庫(kù)一到兩周的更新頻率，情報(bào)feed的更新更快，云端甚至可以做到隨時(shí)更新。關(guān)鍵時(shí)刻，實(shí)時(shí)動(dòng)態(tài)刷新的情報(bào)信息對(duì)攻擊的及時(shí)掣肘有決定性的影響。

02、典型案例——情報(bào)驅(qū)動(dòng)的自適應(yīng)安全體系

在具體使用場(chǎng)景中，也可以設(shè)計(jì)豐儉皆宜的聯(lián)動(dòng)處置方案。最簡(jiǎn)單的是情報(bào)在管道設(shè)備如NTA/IPS/NGFW中集成后，對(duì)來(lái)往流量關(guān)鍵KEY進(jìn)行IoC匹配，視匹配結(jié)果近源或者多點(diǎn)封堵。

更有效的用法，則是借助態(tài)勢(shì)感知全景感知的能力，聯(lián)合上下文情報(bào)來(lái)完成全網(wǎng)聯(lián)動(dòng)響應(yīng)。舉個(gè)例子，某企業(yè)態(tài)勢(shì)感知通過(guò)分析探針日志結(jié)合情報(bào)匹配上報(bào)事件，網(wǎng)內(nèi)一臺(tái)主機(jī)已被感染，外聯(lián)域名指向木馬a，更多情報(bào)顯示a是知名遠(yuǎn)控家族A的一個(gè)變種，歷史情報(bào)表明感染A家族后會(huì)迅速展開(kāi)內(nèi)網(wǎng)掃描，利用老舊瀏覽器漏洞進(jìn)行攻擊，進(jìn)一步下載木馬程序，安裝DDoS后門(mén)，并造成對(duì)外網(wǎng)的DDoS行為。

同時(shí)該病毒只感染指定版本的Windows機(jī)器，不影響Linux操作系統(tǒng)；此時(shí)針對(duì)這條情報(bào)可以做出有效預(yù)案，在經(jīng)驗(yàn)時(shí)間窗內(nèi)盡快行動(dòng)，聯(lián)動(dòng)EDR對(duì)受害機(jī)器進(jìn)行斷網(wǎng)隔離，結(jié)合漏掃結(jié)果對(duì)符合感染條件的機(jī)器進(jìn)行補(bǔ)丁升級(jí)/端口封堵、聯(lián)合管道安全設(shè)備增加特征以切斷橫向傳播，最大程度減小對(duì)現(xiàn)有業(yè)務(wù)的影響。甚至依賴(lài)態(tài)感系統(tǒng)的日志關(guān)聯(lián)分析，還原攻擊路徑、繪制疫情地圖，并對(duì)可能的感染趨勢(shì)進(jìn)行預(yù)測(cè)（結(jié)合滿(mǎn)足感染的技術(shù)條件）。

進(jìn)一步還可以通過(guò)詳細(xì)研讀TTP情報(bào)，對(duì)發(fā)起攻擊的黑客團(tuán)伙技術(shù)背景進(jìn)行掌握，了解其攻擊意圖和作戰(zhàn)手法，行業(yè)CSO或許需要據(jù)此進(jìn)行下一步的資源分配和戰(zhàn)略決策。該場(chǎng)景對(duì)探針的密度\質(zhì)量以及態(tài)勢(shì)感知關(guān)聯(lián)分析和知識(shí)圖譜等底層能力也有一定要求。

綜上所述，威脅情報(bào)在安全整體解決方案中的應(yīng)用，將安全防御體系中對(duì)單點(diǎn)日志的關(guān)注，轉(zhuǎn)變成對(duì)攻擊技術(shù)、攻擊向量、攻擊面的研究。對(duì)攻擊的提前發(fā)現(xiàn)和反制有絕對(duì)的意義。

03、內(nèi)化內(nèi)生——情報(bào)的場(chǎng)景化融合是方向

Gartner在威脅情報(bào)用例中指出，當(dāng)組織成熟度達(dá)到中高級(jí)，就應(yīng)該將威脅情報(bào)用例由基礎(chǔ)的情報(bào)消費(fèi)推向更高級(jí)的本地情報(bào)生產(chǎn)，以更精準(zhǔn)的、更好的服務(wù)于組織業(yè)務(wù)發(fā)展。情報(bào)的場(chǎng)景化，個(gè)人理解有兩個(gè)方面，廣義上的指場(chǎng)景化標(biāo)簽，由各行業(yè)、企業(yè)上報(bào)，情報(bào)機(jī)構(gòu)進(jìn)行分析標(biāo)注；狹義的場(chǎng)景化指企業(yè)內(nèi)部，情報(bào)在部署、調(diào)優(yōu)中，不斷與業(yè)務(wù)磨合，達(dá)到內(nèi)化共生的理想狀態(tài)。

為什么要場(chǎng)景化，其實(shí)很好理解。由于體量龐大是威脅情報(bào)的典型特征，全球的情報(bào)數(shù)據(jù)每天達(dá)到上億的規(guī)模，任何設(shè)備產(chǎn)品和企業(yè)都不可能如數(shù)拉取、全部匹配。如果不在組織中自學(xué)習(xí)、自生產(chǎn)、自驗(yàn)證，則情報(bào)可能就是一堆無(wú)關(guān)的數(shù)據(jù)（試想，金融場(chǎng)景的情報(bào)，在工控行業(yè)可能發(fā)揮的價(jià)值寥寥，而客戶(hù)卻要為情報(bào)的規(guī)模和海量告警買(mǎi)單）。場(chǎng)景化就是讓威脅情報(bào)在企業(yè)內(nèi)部進(jìn)行“消費(fèi)”和“生產(chǎn)”的循環(huán)，甚至與網(wǎng)絡(luò)設(shè)備、安全防御設(shè)備的的聯(lián)動(dòng)，落地的好，基本就本著企業(yè)內(nèi)部的安全自洽去了。在上一個(gè)場(chǎng)景中：態(tài)感上報(bào)一臺(tái)機(jī)器中毒的同時(shí)，針對(duì)對(duì)這臺(tái)中毒機(jī)器自身地址、外聯(lián)C&C域名、相關(guān)橫向移動(dòng)利用的漏洞、暴破使用的端口、協(xié)議等做出的反應(yīng)，也對(duì)應(yīng)了該企業(yè)場(chǎng)景化情報(bào)的提取過(guò)程，這種情報(bào)，應(yīng)該提高命中優(yōu)先級(jí)，加強(qiáng)監(jiān)控，并通知上級(jí)/同級(jí)單位提前防范，進(jìn)一步的，專(zhuān)業(yè)安全團(tuán)隊(duì)介入對(duì)樣本進(jìn)一步的關(guān)聯(lián)分析，或在重繪攻擊路徑中發(fā)現(xiàn)的新的投遞載荷、新的外聯(lián)地址、樣本hash，釣魚(yú)郵箱，都可以作為內(nèi)生出來(lái)的新情報(bào)，一方面繼續(xù)反哺到情報(bào)系統(tǒng)中，高優(yōu)先級(jí)下發(fā)匹配，另一方面，也可以上報(bào)ANVA等國(guó)家情報(bào)機(jī)構(gòu)，或行業(yè)開(kāi)源共享，作為對(duì)整個(gè)情報(bào)生態(tài)圈的貢獻(xiàn)。

場(chǎng)景化情報(bào)可以在事件解除后手工老化，也可以一段時(shí)間內(nèi)保持存活。如果說(shuō)威脅情報(bào)的采集使用屬于“知彼”，場(chǎng)景化落地需要“知己”，只有做到對(duì)外了解攻擊者，對(duì)內(nèi)了解自家業(yè)務(wù)，知己知彼使用情報(bào)才能發(fā)揮其最大價(jià)值。

一句話(huà)總結(jié)：威脅情報(bào)是安全能力在不斷演進(jìn)中的能力疊加，讓企業(yè)主動(dòng)安全防御更高、更快、更強(qiáng)。

【怎么選】威脅情報(bào)建設(shè)的評(píng)價(jià)標(biāo)準(zhǔn)

在威脅情報(bào)的獲取渠道上，大家也各顯神通。除了少數(shù)有專(zhuān)業(yè)安全攻防和病毒分析師的團(tuán)隊(duì)具備自研潛質(zhì)外，多數(shù)企業(yè)還是通過(guò)開(kāi)源社區(qū)獲取、業(yè)內(nèi)交換和商業(yè)購(gòu)買(mǎi)來(lái)獲得。那么如何衡量威脅情報(bào)建設(shè)的好壞呢？威脅情報(bào)的終極目標(biāo)是指導(dǎo)響應(yīng)，因此，建議從四個(gè)維度來(lái)設(shè)置評(píng)價(jià)標(biāo)準(zhǔn)—— 延遲、精度、運(yùn)營(yíng)、閉環(huán)。

情報(bào)的時(shí)效性是相對(duì)短暫的，根據(jù)Fire HOL的數(shù)據(jù)顯示，78.89%的blacklist_net_ua IP在26小時(shí)后被刪除,76.81%的atlas_attacks IP 48小時(shí)后被刪除。對(duì)于這種短則數(shù)小時(shí)、多則兩三天就老化的數(shù)據(jù)，疏于維護(hù)也會(huì)導(dǎo)致情報(bào)質(zhì)量的大幅降低。其次是高精度，只有黑/白的情報(bào)是不可解釋、無(wú)法運(yùn)營(yíng)的。不知道該事件具體屬于什么家族，沒(méi)有進(jìn)一步的關(guān)聯(lián)分析信息，對(duì)事后的處置、溯源，都將產(chǎn)生極大的影響。情報(bào)的有效性也是精度的一個(gè)范疇：一個(gè)掃描器的IP，如何設(shè)置老化時(shí)間？一個(gè)水坑或廣告件下載鏈接，能否據(jù)此給IP或域名判黑？雖然情報(bào)只是提供失陷指標(biāo)，對(duì)誤報(bào)有一定的包容性，但也不能因?yàn)榍閳?bào)的引入，讓一個(gè)在日志中疲于應(yīng)對(duì)的運(yùn)維又陷入假陽(yáng)性事件分析的泥潭中。考慮到本地化情報(bào)承載的規(guī)模，機(jī)讀情報(bào)可以只簡(jiǎn)單的按照STIX/TAXII 或者國(guó)標(biāo)（《信息安全技術(shù)網(wǎng)絡(luò)安全威脅信息格式規(guī)范》）對(duì)情報(bào)描述、家族歸屬和時(shí)效性進(jìn)行簡(jiǎn)單集成。進(jìn)一步的TTP（戰(zhàn)術(shù)、技術(shù)、過(guò)程）、詳細(xì)信息、黑客畫(huà)像等可以到額外的情報(bào)溯源產(chǎn)品上實(shí)現(xiàn)，但同樣需要保持高精度、高準(zhǔn)確度的水平。

可運(yùn)營(yíng)、能閉環(huán)是對(duì)企業(yè)安全整體建設(shè)和運(yùn)營(yíng)成熟度提的要求，類(lèi)似看完病得開(kāi)藥、漏洞跟進(jìn)響應(yīng)后必須修復(fù)一樣，情報(bào)命中之后的事件分析、處置加固、分析溯源、甚至做完聯(lián)動(dòng)策略，事件才算閉環(huán)。可運(yùn)營(yíng)也依賴(lài)于情報(bào)精度，一個(gè)情報(bào)命中后，現(xiàn)場(chǎng)運(yùn)維人員基本沒(méi)有能力和精力去分析家族信息，制定下一步排查計(jì)劃的。

目前可以獲取情報(bào)的渠道比較多，包括專(zhuān)業(yè)情報(bào)廠(chǎng)商購(gòu)買(mǎi)、開(kāi)源情報(bào)社區(qū)拉取、以及加入一些行業(yè)聯(lián)盟進(jìn)行共享和交換，但過(guò)于開(kāi)源的渠道也可能導(dǎo)致參差不齊的質(zhì)量，因?yàn)閿?shù)量龐大到無(wú)法抽檢、衡量。同時(shí)，由于各家情報(bào)廠(chǎng)商在專(zhuān)業(yè)領(lǐng)域優(yōu)勢(shì)和積累的差異，導(dǎo)致覆蓋側(cè)重點(diǎn)不同，只靠單一來(lái)源提供有價(jià)值的威脅情報(bào)基本是不可能的。

一般情報(bào)庫(kù)會(huì)選取國(guó)內(nèi)外多個(gè)來(lái)源的數(shù)據(jù)，結(jié)合自研、商業(yè)合作、共享交換等形式，整合CERT/ANVA、CNNVD、VT等數(shù)據(jù)，并提供全球情報(bào)整合平臺(tái)，可以根據(jù)客戶(hù)需求定制拉取，并正基于廠(chǎng)商、行業(yè)、黑客組織進(jìn)行標(biāo)記，提供更多的篩選標(biāo)簽。攻防團(tuán)隊(duì)的專(zhuān)業(yè)分析師會(huì)對(duì)情報(bào)進(jìn)行覆蓋率和準(zhǔn)確性進(jìn)行再一次的研判調(diào)優(yōu)，并在各行業(yè)實(shí)驗(yàn)局、公司自有網(wǎng)絡(luò)內(nèi)部署充分驗(yàn)證后，再將數(shù)據(jù)分發(fā)給安全防御設(shè)備和態(tài)勢(shì)感知上集成。

總結(jié)

威脅情報(bào)最高價(jià)值在于業(yè)務(wù)共生、自我迭代，情報(bào)的有效運(yùn)營(yíng)，需要依靠流程、自動(dòng)化+人的共同保障，需要企業(yè)客戶(hù)、安全廠(chǎng)商和情報(bào)供應(yīng)商一起努力。如果情報(bào)的生產(chǎn)和消費(fèi)脫離用戶(hù)實(shí)際場(chǎng)景的多樣化檢驗(yàn)，那么威脅情報(bào)還會(huì)一直停留在乙方虛假繁榮而甲方飽受質(zhì)疑的層面。我們希望情報(bào)發(fā)揮的效果，是“研判溯源有依據(jù)，全網(wǎng)聯(lián)動(dòng)可落地”，這就不光關(guān)乎威脅情報(bào)的規(guī)模和質(zhì)量，而是人、設(shè)施、技術(shù)、流程全方位的支撐，是長(zhǎng)期的、在網(wǎng)的、多方位的磨合。網(wǎng)絡(luò)安全體系建設(shè)從合規(guī)到實(shí)戰(zhàn)從不是一日之功，所幸我們已經(jīng)在路上。