數(shù)據(jù)驅(qū)動(dòng)安全，是一個(gè)時(shí)髦的話(huà)題，據(jù)說(shuō)我們是在一個(gè)大數(shù)據(jù)的時(shí)代，如果你在信息行業(yè)做技術(shù)創(chuàng)新，最經(jīng)常被問(wèn)到的問(wèn)題就會(huì)是：你有多少數(shù)據(jù)？作為一家威脅情報(bào)公司，是有必要談?wù)勍{情報(bào)和數(shù)據(jù)的關(guān)系。
威脅情報(bào)是一種知識(shí)（Gartner：evidence-based knowledge, including context, mechanisms, indicators, implications and actionable advice, about an existing or emerging menace or hazard to assets that can be used to inform decisions regarding the subject’s response to that menace or hazard.）我們可以通過(guò)知識(shí)管理中的DIKW模型來(lái)清楚的解釋它。

DIKW.png

• 首先是數(shù)據(jù)，在網(wǎng)絡(luò)中它應(yīng)該是各種系統(tǒng)產(chǎn)生的“原始材料”，如IP地址、域名、流數(shù)據(jù)等等，數(shù)量很大，但是未經(jīng)組織整理；
• 信息是有一定含義、經(jīng)過(guò)加工處理，對(duì)決策有一定價(jià)值的數(shù)據(jù)，比如威脅情報(bào)中的攻擊指標(biāo)（Indicators），它會(huì)告訴我們某個(gè)域名是黑客使用的C2C地址，而另一個(gè)文件MD5代表的文件是惡意軟件。信息一個(gè)重要的特性是時(shí)效性，如果信息失去時(shí)效性就是不完整的，甚至變?yōu)楹翢o(wú)意義的數(shù)據(jù)流；
• 而知識(shí)在數(shù)據(jù)與信息之上，它更接近行動(dòng)，與決策緊密相關(guān)。具體到威脅情報(bào)，需要在攻擊指標(biāo)的基礎(chǔ)上提供更多相關(guān)性信息，比如這個(gè)C2C地址是某類(lèi)攻擊者用來(lái)升級(jí)RAT工具使用的，而另一個(gè)地址則可能是存放竊取數(shù)據(jù)的，等等；
• 智慧代表了決策的能力，假設(shè)我們通過(guò)威脅情報(bào)的方式掌握到某臺(tái)設(shè)備上被APT類(lèi)型的攻擊者安裝了一個(gè)后門(mén)軟件，但是還不清楚它是如何被安裝的，是否作為跳板而攻擊了其它機(jī)器，這時(shí)如果做出格式化機(jī)器的決定，那就有理由懷疑這種決策是否是智慧的決定。

DIKW知識(shí)管理模型讓我們了解從另一個(gè)角度對(duì)威脅情報(bào)有了一種理解，威脅情報(bào)就是要獲得有價(jià)值的數(shù)據(jù)（信息，攻擊指標(biāo)），并通過(guò)進(jìn)一步的加工，提供相關(guān)性、上下文、以及活動(dòng)建議等，形成可用以決策的知識(shí)推送給客戶(hù)。而客戶(hù)有相應(yīng)的人員、設(shè)備、流程，能利用威脅情報(bào)做出正確的行動(dòng)。

數(shù)據(jù)是組成一切的基礎(chǔ)，但人們追尋的是價(jià)值；我們關(guān)注數(shù)據(jù)，但更關(guān)注其價(jià)值，相較“數(shù)據(jù)驅(qū)動(dòng)安全”，“威脅情報(bào)驅(qū)動(dòng)安全”是否更有意義？