网络安全事件响应之战略情报

微信公众号：计算机与网络安全

ID：Computer-network

大多数时候事件响应者在开始进行事件调查时，他的脑海中总会有一种感觉。有人称它为预感，也有人称之为似曾相识。随着调查的展开，响应者会被深深震惊，这难道不就是之前做过的事情。嗯，曾几何时，同样的场景，同样的调查。

无论是一个月前还是一年前，事件响应者都会以同样的方式处理同样的情况，如相同的漏洞，相同的横向渗透，甚至可能是完全相同的被盗账号或重复使用的密码。这种情况令人气愤，人们不禁质问这是如何发生的。我们不是从上次事件中吸取教训了吗？我们不是解决了这个问题吗？不幸的是，答案往往是否定的。当上次事件得到解决的时候，往往还有其他的事情需要操心，从IT经理到公司CIO仍有很多其他事情需要去解决，既然问题已经“解决了”，也就没有花更多的时间去思考并总结经验教训。尽管在事件的处理过程中可能做了一些小的优化，但对企业的安全没有持续的影响，因为有新的紧急问题得优先处理。

人们对战略情报有一个误解，导致它往往被忽视（这种现象并不是网络安全或事件响应领域所特有的，几十年来已经在各种情报学科中见证了这个误解）。该误解是没有时间实施战略情报。在日常的事件响应世界里发生了很多事情，有时候是每小时一次，许多人为了保持战术水平而感到不知所措。战略情报往往被视为“有更好”而不是“有需要”，只有在时间允许的情况下才会做战略情报，但时间很少允许。然而，战略情报对于我们的工作能力是至关重要的，也确实需要时间来摆脱日常的紧急情况，但它可以使我们更好地处理这些紧急情况，因此不应该被忽视。本文涵盖了什么是战略情报，以及为什么它对情报驱动的事件响应过程至关重要。

一、什么是战略情报

战略情报的名称不仅来自其涵盖的主题，通常是对信息具有长期影响的高层次分析，而且也来自其受众。战略情报面向具有行动能力和决策权的决策者，因为这种情报应该形成向前推进的政策和策略。但是，这并不意味着领导是唯一可以从这些见解中获益的群体。战略情报对各级人员都极为有用，因为它可以帮助他们了解在处理各级问题时的周围情况。理想的情况下，战略情报可以帮助个人理解为什么要制定某些政策，或者为什么将重点放在某个特定的领域将有助于更有效地发挥个人角色的作用。

战略并不是一个真正的计划，而是一个推动计划的逻辑。在战略清晰的背景下分析师能够更好地处理问题以支持总体目标，而不是针对单一的场景。

战略情报支持情报驱动的响应流程，帮助分析师优先处理响应，识别入侵对企业的特殊重要性，并确保从每个事件中汲取的经验教训能获得充分的分析和执行。没有战略情报，情报驱动的事件响应仍然可以为事件响应过程提供见解和支持，但战略情报可以大大优化企业在预防、识别和应对后续入侵的理解能力和应对姿势。

在许多情况下，战略、战术或技术情报之间最重要的差异之一是建模过程。在战术和技术情报中，分析人员使用他们可用的模型来解决手头的问题，无论该模型是黑客组织档案还是内部网络图。在战略分析中，那些模型往往是第一次更新或开发。

开发目标模型

目标模型是重点领域的代表。目标模型可以描述诸如政府结构、流程或逻辑网络等事物。开发这些模型可能是耗时的，而且目标越大或越复杂，模型就越复杂。模型也很少是静态的，它们必须定期更新。例如，在网络图的场景下，它必须经常更新以保持最新。对于组织结构来说，每当重组或重要领导人变动或离开时，可能都需要对其进行更新，这种变化几乎与网络变化一样频繁。开发模型是一种投资。

如果开发模型非常耗时，为什么还要开发它们呢？模型对于形成对某种情况的共同理解是至关重要的，这种共同理解使人们能够学习以一致的方式回应情况，实现共同的目标。在一个企业中，共同的目标通常是增加收入，网络防御通过规避可能导致知识产权损失、品牌损失以及事件公关费用的风险行为来支持这一目标。政府或军队的目标是支持国家战略，确保国家安全。然而，如果不了解这些事情是什么意思，可能很难以支持这些目标的方式做出回应。开发模型是战略情报的一个关键领域，将影响决策、作战分析以及战术分析。为开发和更新模型花费时间是值得的。

分层模型

一些信息（比如组织结构）最适合套用分层模型。这些模型使用亲子关系来说明目标的指挥链或领导结构。这可以帮助分析人员识别需要进一步分析的对象的所有组件。它还可以帮助识别可能很重要的任何瓶颈。这些信息可以从许多来源收集，并且需要随着人员或组织结构的变化而定期更新。图1显示了一个分层模型的例子。

图1  分层模型

分层模型传统上用于显示人员或角色，但分层模型的一个独特应用是使用它来标识对企业来说很重要的数据。数据的分层模型包括广泛的数据类别，例如财务信息、客户信息和敏感的公司信息。任何对企业有价值的信息以及攻击者可能试图访问或影响的信息都应该被识别，包括影响可用性，正如过去几年中我们在许多勒索软件案例中所遭遇的那样。

在确定主要类别之后，下一步是确定所有信息的子类别。财务信息可能会进一步分解为信用卡信息、员工工资信息以及公司的期货预测。所有这些数据可能位于企业内的不同地方，由不同的团队负责维护和保护。每个数据类型的所有者信息也应该内置到模型中。这种类型的模型将帮助企业了解他们正在保护的数据及其位置，并且可以使用内部和外部信息来识别哪些数据类型是最有针对性的。也可以与网络模型叠加，以确定数据在网络上的位置。

网络模型

网络模型在表示个人或团体之间的关系或互动时非常有用。网络模型也被用来开发计算机网络图，可以是一个企业自己的网络，也可以是一个攻击者的基础设施。网络模型还被用来显示攻击者群体之间的关系，以及入侵受害者之间的关系。网络模型是最频繁更新的数据模型，因为它们有许多移动的部分，这些部分变化很快而且经常变化。图2显示了一个网络模型示例。

图2  网络模型示例

流程模型

流程模型说明构成结构化流程的各种行动和决策点。结构化情报分析模型是一种流程模型，显示了完成一个流程需要采取的步骤。网络入侵杀伤链是另一种流程模型。它被用来捕获特定事件的指标，但杀伤链也可以用来记录攻击者在更具战略性的层面上采取的步骤，以协助开发目标模型。

时间线

时间线是显示活动之间基于时间关系的线性模型。事件响应者对攻击时间表最为熟悉，可以显示事件发生时采取的具体行动，但许多其他类型的时间表也可以帮助事件响应。了解从漏洞发现到补救的时间表，有助于网络防御者知道他们遭受特定攻击的持续时间窗，并进一步帮助决策者确定何时采取行动。指示不同黑客组织何时使用特定漏洞利用程序或工具的时间线可以帮助分析人员确定来自该恶意软件的威胁，并了解一旦工具被识别，它的传播速度以及被重复使用的速度。图3显示了黑客组织“玻璃巫师”内外部活动的时间线示例。

图3  “玻璃巫师”黑客组织时间线示例

将各种活动的时间描述可视化，可帮助分析师理解这些描述如何影响其企业目标和活动。

二、战略情报周期

《网络安全之情报浅析》中比较全面地介绍了情报周期，但是主要关注的是战术和运营层面的情报，它们遵循着周期对特定的或经常面临的即时威胁作出反应。在战略层面上，情报周期遵循相同的过程，但每一步（从需求设定到对外传播）都不同于处理即时威胁。我们来看看这些差异。

1、战略需求的设定

战略层面的需求设定看起来比战术层面更为模糊。有了战术情报，就有某种特定的威胁，这有助于定位需求。战略情报通常不是这种情况，当需求被传递下来的时候，他们往往是一些模糊的东西，比如“告诉我，我们需要知道的东西”。尽管范围和时间框架要大得多，但是要求还是要具体的。

战略需求常常遵循“指挥官意图”的军事概念。“指挥官意图”允许大型的、分散的单位决定何时以及如何进行作战。使用作为战略进程的一部分而开发的模型，指挥官、首席执行官或首席信息官可以陈述其目标或对象（又名意图），并相信所有决策者都在同一平面上，并且将采取支持共同目标的行动而不再需要进行微观管理。例如，如果是要确保一家公司是新产品的首个推出者，那么需确保制造原理图、市场营销计划和其他敏感信息不被泄露属于“指挥官意图”。制定可能针对敏感信息的攻击模型是一项战略情报需求，对于支持保护这些信息的能力是必要的。

战略需求不同于战术需求或运营需求，在时间上是充裕的，可以提前规划。根据企业的需要，可以扩大其覆盖范围，也可以指定时间或周期。例如，战略需求可能是每年更新两次公司的威胁模型，或者分析如果新业务进入新市场或新地理区域，可能会对业务造成什么影响。在制定战略需求时，有必要尽早确定需求是否是持续的，需要何时完成分析，以及需要多长时间审视或更新结果。定期审视常设的战略需求，以确定它们是否仍然是相关的和必要的，也很重要。战略需求就像战术需求和运营需求一样，如果不再相关，就会变得陈旧。然而战略需求最终变得陈旧可能需要更长的时间。

2、收集

我们关注的收集类型主要集中在日志和外部来源，如威胁源和信息共享。虽然这些类型的信息仍然是战略情报的一部分，但是收集信息的范围将会大大增加，这对于情报控来说是相当激动人心的，比如你可能会发现自己在获取经济、政治和文化来源或其他来源的信息。这种类型的收集也将比战术收集更广泛，任何超过几天甚至几小时的信息可能已经过时。有了战略情报，你可以搜索追溯到多年的信息，以捕捉趋势或寻找变化。以下部分描述了要收集的有用的各种类型的战略信息。

地缘政治来源

地缘政治情报提供了有关世界正在发生的事情的信息，包括冲突、联盟、紧张关系以及与特定地区国际关系有关的其他因素。曾经有很多人，甚至是有的人在事件响应时忽视了地缘政治的因素。从任何地方侵入网络都是有可能的，为什么这会跟世界某些地区存在的冲突有关呢？事实证明，地缘政治对事件响应很重要。尽管对手可从世界任何地方访问网络，但这并不意味着地区冲突或国际紧张局势与入侵定位和规划没有关系。在过去的十年中，了解地缘政治情报对于理解和应对网络攻击屡屡奏效。这里有些例子：

2008年，俄罗斯与格鲁吉亚之间的冲突不断升级，随后出现针对格鲁吉亚州政府的一系列DDoS攻击，特别针对总统网站以及致力于通信和金融的网站。这些网络袭击发生后不久，军事行动就开始了，这是联合网络空间和物理空间攻击行动的第一个官方案例。

2011年，公众强烈反对加利福尼亚州Fullerton镇的一名无家可归者因遭到警员殴打而最终死亡。在针对官员的调查和聆讯期间，市政府和警方的网站以及其他城市的设施都遭到一定程度的定向DDoS攻击，攻击者至少有一次成功地将警察部门的网站搞垮。

世界上发生的事情，无论是在我们自己的后院还是在全球范围内，都与战略网络威胁情报有关。了解对手的政治气候、冲突、热点和策略有助于进行战略规划。

虽然关注全球性的威胁是很普遍的，但地缘政治的某些方面是局部的，应该予以考虑。地缘政治情报的良好来源是同行的评论文章、白皮书和评估报告。对于这种情报来说，查看历史信息以及当前关于情况的信息通常是有用的。了解趋势和模式，对于地缘政治情报尤其有用，历史往往会重演。

新闻情报

从新闻中可以得到很多与时事有关的信息，而且可以很容易把这些信息解释为地缘政治情报。但是，新闻所提供的信息可能不是一个完整的情况评估，应谨慎使用。利用时事和新闻来了解分析师应该考虑什么样的威胁，以新闻作为切入点，分析师可以开始使用学术期刊和白皮书等同行评论的来源来研究事件及其影响。

经济来源

经济情报对网络防御来说非常重要。经济学对生产、消费和财富转移的研究不仅对情境意识有用，而且对理解许多威胁行为者的动机也很有用。绝大多数侵入行为都是经济动机的，无论是盗取信用卡直接货币化还是盗取知识产权以获取战略经济利益，经济情报来源可以提供对对手动机的洞察力。

经济情报来源多种多样，其中包括有关被盗信息如何货币化的信息、犯罪分子感兴趣的信息类型、工业间谍活动的目标信息类型以及与国家有关系的经济罪犯（这些罪犯可能针对你或以前针对过你）。即使对经济学有广泛的理解，这种信息也可以帮助企业理解他们所面临的战略威胁。专业知识可以提供更高水平的洞察力，但在网络安全团队中找到专门从事经济学研究的人很难。

历史来源

历史来源（如分析一个国家的战术或先前的冲突优先事项）是应对网络威胁情报分析的另一个常常被忽视的方面。互联网相对来说是新的，那么历史资料怎么可能支撑网络威胁情报呢？如果我们认为网络领域是物理世界的延伸，那么在现实世界中发生的任何活动都有可能最终在网络空间领域出现。因此，历史变得很重要。如果我们能够理解对手在互联网之前是如何针对企业攻击的，那么我们就可以开始尝试用新的策略和新的媒介来达到同样的目标。

这就是从《孙子兵法》到《战争论》等军事学说在网络安全演讲中经常被引用的原因之一。尽管它们早在现代安全事件响应学科之前就已经问世了，但这并不意味着它们与预防并检测攻击这个新领域无关。

骗子在电子邮件被发明之前就出现很久了，他们使用的许多策略都与现代网络钓鱼邮件类似，这些诈骗只是为他们的方案提供了一条新途径。将历史数据源整合到战略情报分析中的一个策略是，查看企业所看到的最常见威胁，无论是针对员工的钓鱼电子邮件还是旨在获取企业信息的有针对性的入侵，之后查看这些攻击在过去是如何发生的。这种类型的分析目标是识别任何经验教训或模式，可以帮助企业更好地理解威胁，并更好地应对这些威胁。

业务来源

战略情报在被用来支持商业运作时，很大程度上依赖于对保护企业业务的理解。许多安全专业人员在支持战略层面的业务决策方面举步维艰，因为他们没有花时间去了解业务面临的问题或者哪些信息对于运营至关重要。如果不了解业务情况，情报分析人员或事件应急人员几乎不可能提供有用的战略情报，来帮助领导层为企业安全做出最佳的决策。

就像所有的安全事务一样，业务运营和优先级也不是静态的，因此在新的信息可用时不断更新和收集新的信息是非常重要的。业务来源包括企业运营的市场信息、竞争对手与企业面临的挑战、业务计划扩展到的新地区或市场、关键人员变动以及被认定为重要业务的其他方面。

这些信息比其他收集来源更具战略性，除了这些信息来源（地缘政治、经济、历史和业务）之外，将以前事件的信息纳入战略分析也很重要。这样做可以让分析师呈现一幅整体的网络图片，再加上对可能影响企业所面临威胁的历史、政治和经济趋势的深入了解。所有这些信息都将在战略分析阶段一并提供。

3、分析

战略层面的分析遵循明确说明需求，收集和处理并行，大胆假设并通过研究和审视那些可以支撑或反驳假设的证据来开发和测试。然而，战略情报部门必须分析一个更大更多样化的数据集，因此应该利用具有不同背景和经验丰富的团队。在进行战略层面的分析时，你应该牢记以下几点：

要考虑的证据不仅来自网络信息，还可来自许多来源。尽管事件响应通常是这种情况，分析人员可能不具备某种领域的专业知识或实质性知识。因此了解信息的来源尤其重要，分析师通常会看“颜值”收集信息，比如寻找来自同行的评论，那些都是有信誉来源的信息。如果某个特定的证据在分析竞争性假设的过程中被认为是一个关键因素，最好尝试找到多个报告相同信息的来源。

在战略情报方面，偏见可能更大，往往只有少量的战术证据，可供解释的干扰证据也会有很多。

战略情报流程

有些具体的流程有利于战略层面的情报，有的则在这个层面上效率低下。例如，以目标为中心的模型，对于调查入侵行为，或在战术运营层面上工作的分析人员来说是一种资产，但它在战略层面上并不是那么有用，许多目标模型在分析的过程中会不断发展。

以下几个分析模型和流程对战略情报特别有用，包括SWOT分析、头脑风暴和谋杀委员会。

SWOT分析。SWOT[Strength（优势）、Weakness（劣势）、Opportunity（机会）和Threat（威胁）]是风险管理中常用的模型。SWOT考虑到内部因素（优势和劣势）以及外部因素（机会和威胁）。它还特别针对网络安全和防御方面的战略情报，因为在很多情况下，它将识别需要解决的大问题和疑虑。它要求一个企业对其核心竞争力和擅长的地方有一个牢固的了解，坦诚地面对他们面临的问题，了解他们所面临的外部威胁。SWOT分析的基本概述如图4所示。

图4  SWOT分析

例如，如果文件表明，90％的网络入侵成功来自网络钓鱼邮件，这表明企业的这个弱点需要加以解决。识别优势可以帮助确定可以采取的措施来缓解这些弱点。

SWOT分析不仅有助于确定企业自身的优势和劣势。它也可以用来分析外国政府、犯罪组织或攻击组织。为了开展这种分析，关键是要在收集阶段的研究中投入较多精力。使用这种类型的SWOT分析的一个重要组成部分是，寻找对手的优势以及自己组织的弱点。这些是需要解决的地方。

头脑风暴。战略情报分析不应该是一个人的工作。正如我们所提到的，让不同背景的多位分析师着眼于确定将对企业前进产生重大影响的问题是有帮助的。对过去情报失败的分析（对分析的分析，有人可能会这样定义）发现，情报会多次失败是团体思维的结果，这种思维模式会使得创造力和新思想不受欢迎进而导致继续失败。没有一个地方可以容纳团体思维，特别是在国家政策方面，国家安全决策的过程，正如你知道的，你需要不同的观点来支撑激烈的争辩。你不想要一个团体思维的暴政。

头脑风暴（尤其是与来自不同学科的团队）是一个反对团体思维的好方法，通过鼓励新的创造性的方法解决问题。头脑风暴可以单独使用，也可以与其他任何分析方法一起使用。尽管听起来好像是非结构化的，头脑风暴的结构应该是最有效的。成功的头脑风暴最重要的组成部分之一就是在流程开始时分配足够的时间，使团队能够探索各种各样的可能性。当一个小组受到时间限制或感到匆忙时，他们更有可能选择一组听起来比较现实的假设，而不是探索更大的可能性，这不会对问题产生新的认识。确保在头脑风暴中至少有一个人是不同的团队角色或有不同的方法，是一个好的方法。虽然聚集一批事件响应者进行头脑风暴可能会带来不止一个观点，但它仍然可能受限于事件响应者的典型经验。通过引入局外人，无论是系统管理员、安全架构师，还是来自人力资源部门的人员，在团队中拥有新的不同观点将会阻止团队思维模式并迫使团队的其他成员考虑新的角度。

头脑风暴应该能识别并输出一组新的假设，在这一点上，团队可以集中精力从所收集的信息中识别出具体的证据来支持或否定这些假设，然后使用ACH等方法来完成分析，即使最后整个团队无法完成分析也没问题。头脑风暴的一个最重要的方面是让团队识别新的假设，提出没有根据的猜想，并在分析过程开始前识别偏见。如果一位或多位分析师带头完成分析，他们不时地咨询或接受团队审查是至关重要的。

谋杀委员会。“谋杀委员会”这个词最初是为了描述一个用来帮助候选人准备口头陈述的过程。在一个谋杀委员会的过程中，一名分析师向调查委员会介绍他的调查结果，并接受委员会的审视。在这个过程中，别人不仅会质疑调查结果，也包括分析过程中得出的结论。通过这个过程可以识别分析中存在的任何偏差、没有经过验证的关键假设，以及没有证据证明的任何跳跃分析。即使分析是合理的，没有明显错误存在，谋杀委员会也可以帮助分析人员验证所使用的过程，并解释方法和发现，这是许多情报分析人员所苦苦挣扎的。当被问到如何达成一个特定的结论，特别是在战略层面上时，由于需要考虑更多的变量和相互关系，分析师往往会默认回到使用模糊的术语或轶事来解释他们如何进行分析，解释往往不能增强决策者的信心。陈述准备不仅是为了结论，也包括分析过程本身，这是一个需要时间和实践的技能。谋杀委员会这个方法的重要性，特别是在涉及高风险的战略情报方面。

当你所做的分析将会直接导致重要的或者潜在的激烈行动时，不仅要让你的分析听起来很合理，而且要准备在仔细的审视下进行辩护。

把自我留在门外

战略情报分析不是一个可以容得下自我的地方。这种分析的目标是为决策者提供情报，使他们能够采取行动，这也意味着需要识别分析人员的信心水平以及任何情报偏差，并在确定新的信息已改变时及时更新评估结果。如果存在自负的情绪，便很难客观地评估可靠性等因素，也很难在信息发生变化时向利益相关者承认错误。类似谋杀委员会的过程有助于消除自负。然而，最重要的一点是，陈述者的自我并不是唯一需要反省的人。参与谋杀委员会和提出问题的个人也应注意，不要让他们的自尊心受伤，影响他们的判断。为了防止自我而试图“证明主持人是错误的”，这可能会导致委员会成员自身的偏见。

4、传播

战略层面的传播稍有不同，这些差异是由战略情报的范围和性质决定的。正在提出的建议有可能对企业的业务发展产生重大影响，因此，除非有特定的时间要求，否则准确性和彻底性优先于速度。

我们在《威胁情报驱动：F3EAD 之传播》中讨论的许多原则也适用于战略层面的传播，但也有一些独特的方面，比如：

观众是这个层面的关键。因此在开始写作或创建最终的可交付成果之前，确定观众的位置非常重要。如果多个观众希望以不同的方式接收信息，那么请以对他们最有用的方式向每个观众呈现信息。当然，前提是要确保不同版本的情报产品或报告在讲述同样的故事。最后一件事是面对企业中的不同领导者对分析及其含义有不同的解释。

在战略情报方面，我们必须强调下，任何情报的差距或某个事件触发可能导致分析结果的变化。告诉领导层分析结果可能存在一定的出错空间是比较困难的，但一开始设定这些期望值，会使在发生变化时的沟通更顺畅。

三、结语

我们认为战略情报是计划背后的逻辑，许多事件响应者为争取时间进行这种分析而苦苦挣扎。在许多企业中，事件响应者很难找到一个计划，更不了解计划背后的逻辑。战略情报如果得到领导层的正确分析和采纳，不仅可以指导企业应对长期威胁，还可以向事件响应者提供支持其满足企业需要能力的政策和程序。

事件响应的战略情报不仅可以让你对网络的可见性做出明智的决定，而且可以直接反映战术和运营层面的分析需求。它会帮助你了解以下内容：

哪些威胁是最重要的，以便事件响应可以优先考虑并关注这些威胁。

哪些类型的信息有利于获取信息，并向CISO或其他高管交付一个信息摘要。

哪些情况可以在当前层面进行处理。

任何发生的行为都可以与战略需求联系起来。当你了解需求背后的逻辑时，你将能够在情况发生变化时适应并响应，而无须重新审视整个流程。战略情报需要时间，但如果做得对，它可以为将来的成功建立整个计划。这是非常值得投入时间和精力的。

微信公众号：计算机与网络安全

ID：Computer-network