网络安全威胁情报

在过去的几年中，术语“威胁情报”迅速出现在信息安全领域，许多安全厂商现在为消费者提供威胁情报服务。由于威胁情报并没有一个明确的工业化定义，不是所有人对它的定义都一致。导致的结果是威胁情报这一术语如此广泛地使用在安全工业领域，但对于“情报”的真实定义却一直没有。今天正在提供给市场的威胁情报服务完全没有提供正确的威胁情报——他们只是提供对经过最简单（或者甚至是原始的）数据的访问权。

中央情报局（CIA）关于情报的定义： 

用最简术语表示，情报是我们所处世界中的知识和预判。美国政策制定者决策和行动的 先导。情报机构将这种信息以某种方式提供给消费者、国民领导或军队指挥官，（以便让他们）去思考可替换的选项和结果。情报处理过程涉及漫长细心和通常是枯燥耗时的对事实的搜集、对它们的分析、快速和清晰的评估、仔细判断后形成产品，并且不时递知给消费者。综上，这个分析过程必须是完整而冗长的，经常性的和与政治需求及企业相关的。

商业威胁情报的目标是去传递与中央情报机构提供的具有相似能力的事物。然而，取代了向政府官员提供军事和政治情报，当前关注范围在信息安全工业内，主要是向组织机构相关人员提供关于他们企业系统的数字威胁的威胁情报。

这种威胁情报，和与之相关的价值，经常与特定情报目标的实现（也被称为优先情报要求（PIR））关联起来。PIR可被视为是收集信息以满足情报要求的特殊使用案例。   

有时候“威胁情报”这一术语经常被定义为数据或与潜在的网络安全相关的数据馈送这样的错误名词。这个定义极大地简化了应当被收集为情报供给内一部分的的情报类型，和将原始数据转换为顾客可用来行动的情报的（被要求的）过程。   

网络威胁情报要处理的远不止如此。它的目的是成为一个跨学科的和整体的，可以提供一个人可理解的和真实的情报产品的，可以在多层面上给股东们提供价值的解决方案。它从一个组织周边的物理（PESTLE，STEEPLED）和数字环境中同时收集数据，而且要顾及更广泛的攻击面。（我们）可以这样阐述观点：在情报圈内有一个很小但正在发展为联盟的，限制伙伴关系和在物理与网络世界威胁里面广泛联系、关联的角色。许多跨国犯罪组织无一例外地擅长于用来寻找新的犯罪企业的环境扫描。网络威胁情报是用来应对这些因素的唯一准备。

一、核心情报原则

情报是一种谍报。它结合了可以被用来横跨整个产业的方法论和技术。它的收集包括五个核心原则和它们的附属原则。传统情报社区辨别情报的原则基于他们的计划目的和收集来源。对五个情报原则的描述如下。  

1、人力情报（HUMINT）

HUMINT是从一个线人那里收集信息。这种来源也许拥有第一 手或者第二手的资料，且通常通过看、听和活动来获得。它可以包括威胁、中立或友好的（政府）文职人员。 

2、开源威胁情报（OSINT）

OSINT探索、利用和提高可公开获得的公众信息。由于海量 的可利用信息，数据挖掘和高级搜索技术显得尤为重要。这种情报包括电视、雷达广播、书籍、报纸和网络这些来源。

3、信号情报（SIGINT）

SIGINT被定义为对交通系统、雷达和武器系统的信号转换的收 集和利用。SIGINT的结果来自收集、锁定、处理、分析和报告被拦截的通讯和没有通讯功能的发射器。SIGINT被归为电子情报（ELINT）和通讯情报（COMINT）的子类。

4、图像情报（IMINT）

IMINT是被大量陆地、航空或卫星探测器收集的地理空间信息。 

5、测量和特征情报（MASINT）

MASINT是情报的一个技术分支，使用通过诸如雷达、 声呐、无源电光传感器、地震仪和其他用来测量物体或事件以通过它们的特征来辨别它们的传感器所收集的信息。这包括去离散标记一个人、一个地方或有特殊特征的事物的能力。

二、可辨别的网络情报

网络情报（CYINT）- 不是核心情报原则里的一种，但是一个相对新颖且在不断发展的领域，它是一个混合体，而且可以包含任何组合或所有上述五个原则。尽管它可以被用来作为网络安全的关键组件，网络情报操作却与网络安全任务独立，而且可以支持涵盖政府和工业的各个方面的大量操作。   

对组织机构来说，意识到情报领域的这个迅速出现的（事物）的更广泛能力和怎样在未定义网络威胁角色、关于漏洞的技术数据、恶意代码或知识产权信誉数据之前使用它，是关键的。网络情报走在这些狭小的因素之前，而且包含与一个组织机构的物理环境相关的行动或事件的分析，它可以做到对数字威胁的预测。

三、情报圈

情报圈包含以下几个短语：

1、计划、要求和方向 – 情报收集的计划和方向包括对整个情报工作的管理——从优先情报要求（消费者3领导和进一步需求的定义）到最终情报产品。  

2、收集 – 根据建立好的方向，威胁情报服务从相关来源里面收集潜在有用的原始数据。 

3、处理 – 将收集到的数据加强为适用于更详细分析的标准格式。  

4、分析和产品 – 收集到的数据被领域专家分析以辨识出对消费者环境的潜在威胁。用来 对被辨识出的威胁产生响应的对策也在这个阶段被开发。  

5、传播 – 情报分析结果被提交给客户，以便合适的保护性措施可以被执行。

四、情报漏斗

情报天生不是作为一个完整产品被发现的，而是来源一个结构的派生——对包含有助于达到特定优先情报需求的噪音或数据的完整仔细的辨识过程。它最终被分析和评估。如果它满足要求，将会被转换成传递给情报买家的情报产品。

• 噪音是根据优先情报需求收集的一系列事物。  

• 数据是噪音经过过滤和没有应用价值的条目被去除后的遗留。 

• 信息是有特定用途的数据。一旦它被分配给一个用途，它就有了价值。  

• 情报 是带有战略性目的的信息，可以被用来获取优势。情报是一项仅以人类为中心的 活动。  

• 可行动的情报是情报主导的，基于对可被初始化、用以行动和提供清晰的结果的证据的 评定，它被用来提供对优先情报需求的支持。

五、从信息中辨识情报

许多安全威胁情报厂商实际上停留在情报漏斗处理过程的“数据”和“信息”阶段，但仍然将传递的信息叫做威胁情报。信息和情报有着定义上的不同。

• 信息：一个对Java零日漏洞的利用被公开在一个安全邮件列表中。马上，有恶意软件 被发现使用了该漏洞。安全厂商将这个威胁通知客户并且给出减缓威胁的建议。这叫做威胁信息（这像是非常有用的信息），但是在定义上，这不是威胁情报。 

• 情报：一家监控着Java漏洞的安全厂商注意到该漏洞在亚太地区的感染率远高于美国。 会在用户计算机设备上安装代码和僵尸网络命令和与控制系统关联的新变种恶意代码正在被观察到。与此同时，一家大型的金融机构宣布若干小型的、区域性的银行猛涨股票价格，与此同时，发起了对他们的空头支票费用从20美元到35美元的猛涨，因此激怒了消费者。若干黑客团体开始在推特和其他社交网站上讨论对美国银行系统的抗议活动，希望使主要交易机构的网上交易宕机一天。一个黑客活动的推特账号上发布了使用僵尸网络命令和控制软件的指令，这些正好与通过Java漏洞安装在客户机的僵尸网络恶意代码相关。   

将这些数据点连接起来可以得到一幅清晰的图片：美国的银行极有可能被黑客团体作为利用基于Java漏洞的僵尸网络进行DDoS（分布式拒绝服务）攻击的目标。基于已经知道的感染特征，银行可以预测出用来进行攻击的那些来自亚洲的IP地址。这才是威胁情报——信息被从分散的来源收集起来，通过人为分析合成，去辨识出针对某一特定目标的特定威胁。

六、威胁情报收集

定向攻击、零日漏洞和恶意软件的利用工具是许多组织机构的担心之处。然而，大多数组织机构并没有独立研究和评估威胁必须要具备的资源和知识技能，更不用说去决定这些威胁与他们的组织机构有多大的相关性。  

威胁情报服务经常被当做一种外包能力的形式来使用，用来提供那些别的地方无法提供的，对高级安全议题的知识技能和资源的访问权。有资历的威胁情报人员经受过广泛的训练，拥有特殊定制的工具，并且理解现代攻击者的思维方式和方法。他们也擅长从相关收集到的资源里面进行数据挖掘，如下图所示：

七、情报事件中可辨别的特征

迹象性事件和事件性事件——在情报词库里，“事件”是指分析员用来预测一个威胁增加或者减少的原始数据。这些事件被用来界定那些已经发生或者将要发生的威胁环境的改变的关键迹象。

这些就是能被用来确认一个威胁正在增长的风险，或唯一标志一次袭击的特定碎片化数据。迹象性事件和事件性事件本身都可以是技术性（数字的）或非技术性的（物理的），而且可以被用来辨识围绕一个潜在的或已表现出来的威胁或攻击的环境因素。这些包括： 

物理的 – 集体诉讼、立法或者影响立法的行为尝试、许可证的吊销、政治捐赠、被关键人物公开或者私下做出的个人社交媒体上的有争论的陈述、买入大量关键的真实的房地产、不受欢迎的政策变化、裁员、（企业的）合并或收购、环境破坏、总部迁移、在特定人口或经济中心的商店的开张或关闭，等等。 

数字的 – 大量失败的密码登陆尝试、缓冲区溢出、端口扫描、网络钓鱼活动、SQL查询注入、统一资源定位符（URLs）、文件名称、文件扩展、文件哈希值、服务或者可执行文件、命令序列、HTTP请求、注册表设定、使用的协议和端口，等等。

八、威胁情报提供的信息

威胁情报处理的最终结果是去回答股东的下面几个问题： 

• 威胁 – 当前的哪些威胁是组织机构必须要知道的？组织机构所面对的网络威胁被归入为一个独特的分类，因为它们本身就带有不易理解性和不对称性。不易理解性指的是数字环境的不规律和不易追踪的特征，不对称性是指在一个位置范围的可执行策略下威胁房和目标方在实力上的巨大不平衡。 

• 威胁方 – 特定威胁下的（团体/个人）（是谁/是什么/在哪里）？他们的能力、动机、目标、运作的范围、活动的历史有哪些？ 

• 目标方 – 谁被威胁视为目标？这些威胁是基于地理的、政治的还是行业的？ 

• 方法和策略 – 攻击者们所采用的策略性方式是什么？威胁被设计用来做什么？它关注的是什么？他们使用的是什么工具和设施？哪些技术、版本和用户类型被作为目标？攻击怎样被传递到目标？ 

• 对策 – 组织机构可以采取怎样的行动去应对特定威胁？威胁措施可以包括：入侵检测系统特征、反病毒系统特征、需要阻塞的端口/协议或者其他可被用来帮助保护组织机构被特定威胁攻击的反应行动。