浅谈极火的“威胁情报”

听起来很酷的“网络安全威胁情报”到底是什么？

“威胁情报”是近两年来被安全界提及最多的词汇之一，早在2013年Gartner就给威胁情报做出了定义：“Threat intelligence is evidence-based knowledge,including context, mechanisms, indicators, implications and actionable advice,about an existing or emerging menace or hazard to assets that can be used to inform decisions regarding the subject's response to that menace or hazard.”‍也就是说：“威胁情报是基于证据的知识，包括场景、机制、指标、含义和可操作的建议。这些知识是关于现存的、或者是即将出现的针对资产的威胁或危险的，可为主体响应相关威胁或危险提供决策信息。”‍

在Gartner给出的定义中，以下六点是比较重要的：

1、Evidence：证据，是证明事实的材料，即证据是必须经过查证属实。

2、Context：可翻译为语境、上下文、背景、 环境。在这个定义中见到过翻译成情境、上下文等，这里翻译为场景，指每个情报都有其适用的环境和时机。

3、mechanisms：机制，指情报所涉及威胁所采用的方法和途径。

4、indicators：指标，描述威胁情报的时涉及一些指标。

5、advice：建议，针对威胁的消减或响应处置的建议。

6、an existing or emerging menace orhazard to assets：威胁情报针对的对象是资产。‍

其实简单来说，威胁情报就是能帮助你识别安全威胁并做出明智决定的知识。我们经常从安全服务厂商、防病毒厂商和安全组织等那里得到的安全预警通告、漏洞通告、威胁通告等等都属于典型的安全威胁情报，这些安全预警通告、漏洞通告、威胁通告等最重要的一点就是其真实性。

特别值得一提的是，用于维护网络安全的安全威胁情报重中之重是其所提供的情报的真实性。近日安全领域一大新闻就是创立于2010年的Norse Corp濒临倒闭边缘，想必了解网络安全领域的IT从业者都曾在Norse的网站上看过“全球黑客大战”的直播，Norse Corp也在几年间凭借对安全威胁情报的搜集和呈现成为了全球领先的威胁情报公司，然而这一切都幻灭了，原因是这家公司用来呈现和分析以及产出报告使用的数据可能都是假的。

据揭露，Norse的数据来源为部署在全球数十万的代理，蜜罐等传感器，但是他们将这些传感器收集来的数据当做真实发生的攻击呈现在他们的报告和其他商用产品中，导致演戏和测试的数据与真实数据相混淆，这无疑对大家判断全球网络安全态势产生了影响，也达不到大家应用安全威胁情报来保护网络安全的目标。

那么安全威胁情报到底有何有武之地，又为何被大家重视呢？

如今已经是动态安全时代，传统设备和方案都是静态的，很难对抗持续变化和升级的攻击手段。威胁情报正好是以动态的手段来对抗攻击者。在整个防御过程中，威胁情报会不断地被收集、丰富、分析、再收集形成一个闭环。所以随着新型威胁的不断增长，网络安全的防御技术也不断进步，也出现了新的安全威胁情报，例如僵尸网络地址情报（Zeus/SpyEye Tracker）、0day漏洞信息、恶意URL地址情报，等等，这些情报对于防守方进行防御十分有帮助。

比如，美国去年年初成立了网络威胁情报整合中心，以加强美国应对网络威胁的能力。新成立的这个机构和美国已有的网络安全机构有很大不同，网络威胁情报整合中心是一个协调机构，负责整合分析各个部门收集到的情报，并为其他部门提供分析报告。网络威胁情报在维护网络安全方面的重要性可见一斑。（摘自央广网：http://china.cnr.cn/qqhygbw/20150227/t20150227_517823448.shtml）

再比如从攻击的角度来说，APT的泛滥使我们必须要提升检测和应急响应能力，而这个能力就是要由威胁情报来驱动的。APT的高级和隐蔽性使得可以轻易穿越传统安全防线，所以应对高级威胁我们必须要依靠行为检测进行分析，交付给用户可执行和操作的分析结果。安全情报以“空间”换“时间”，用协作来应对APT攻击的高级网络威胁，因此威胁情报未来在安全保护方面肯定要起到越来越重要的作用。

但威胁情报却不是单一的防守方能够获取和维护得了的，所以现在出现了安全威胁情报市场，有专门的人士、公司和组织建立一套安全威胁情报分析系统，获得这些情报，并将这些情报卖给作为防守方的企业和组织。安全威胁情报市场现在是一个很大的新兴安全细分市场。根据IDC的估计，市场规模会从2009年的2亿美元迅速膨胀到2014年9亿美元。

那么用户应该如何在众多网络安全威胁情报厂商中选择一家来维护自身的网络安全呢？

考察这些情报供应商一个很重要的环节是，他们如何收集、分析和生成情报，以支撑情报的生命周期。独立的技术和市场调研公司Forrester Research曾

20家威胁情报厂商测评表—— Forrester（图片来源于网络） 

Forrester报告下载地址：
链接: http://pan.baidu.com/s/1jHgpvGq
密码: w5ki

其中的BitsightTechnologies AnubisNetworks，提供“战术情报”的feed，例如恶意DNS，恶意软件分析，恶意站点分析，社交网站feed等；Cyveillance提供基于云的开源情报分析平台——CyberThreat Center (CTC)；Emerging Threats，这家就是老牌的snort规则库的厂商了；FireEye/Mandiant，大家都没少看他的报告了；Intel 471，针对网络犯罪类提供原始的情报数据；还有上文提到过的Norse Corporation，应该是最开始搞全球地图可视化攻击信息飞来飞去的；Symantec，赛门铁克的DeepSight，提供安全风险，漏洞，IP，URL，域名信用库情报。

除了以上提到的厂商，被国内用户所熟知的还有IBM的X-Force团队，但其暂时不对外提供服务，只是按时发布威胁情报季度报告，并通过一款基于云的威胁情报共享平台IBM X-Force Exchange 帮助用户快速研究全球最新安全威胁，汇总可行情报并与同行合作。此外，近日360威胁情报中心宣布，基于多年互联网安全数据的360威胁情报基础信息查询平台（TI.360.com）正式上线，并向业界开放免费查询服务，这也标志着国内安全威胁情报共享进入新阶段。

如果企业只是确保防火墙、反恶意软件和类似的保护措施良好运作以及保持更新，并不足以抵御现在的恶意威胁。威胁情报服务分析和筛选数据，并以管理报告和数据源的形式生成有用的信息用于自动化安全控制系统，可帮助企业更好地了解针对其的威胁和风险，同时帮助企业保持其IT基础设施的更新，让安全专业人员更好地积极阻止安全漏洞，并采取行动来防止数据丢失或系统故障，从而有效地抵御攻击者。这就是网络安全威胁情报服务的价值了。