回顧情報(bào)領(lǐng)域的經(jīng)典讀物殺鏈模型，當(dāng)時(shí)來(lái)自 Lockheed Martin 的作者闡述了一種情報(bào)驅(qū)動(dòng)的彈性防御模型，通過(guò)相互關(guān)聯(lián)的工具（殺鏈、指標(biāo)生命周期、CoA、戰(zhàn)役分析）構(gòu)建防御、檢測(cè)和響應(yīng)APT 攻擊的閉環(huán)和迭代，應(yīng)該說(shuō)開(kāi)啟了情報(bào)驅(qū)動(dòng)安全的方向。作者之一的 Michael Cloppert 在2011年SANS DFIR峰會(huì)上的主題演講¹中介紹到，這個(gè)模型也用于指導(dǎo)工具開(kāi)發(fā)，比如自動(dòng)化分析師重復(fù)工作、實(shí)現(xiàn)新的分析方法等等，可以認(rèn)為是今天情報(bào)與DFIR結(jié)合的一些用例。

幾年以前，我個(gè)人對(duì)威脅情報(bào)的理解還局限于：它是業(yè)界安全理念變革背景下演變出的重要安全能力。隨著近幾年的了解，威脅情報(bào)也處在自身產(chǎn)品的發(fā)展階段，尤其是和安全運(yùn)營(yíng)領(lǐng)域的深度結(jié)合。

今年2月19日，Gartner 發(fā)布了最新一版《安全威脅情報(bào)產(chǎn)品&服務(wù)市場(chǎng)指南報(bào)告》²。這份報(bào)告包含的內(nèi)容比較豐富，相信對(duì)大家更多理解威脅情報(bào)市場(chǎng)會(huì)有所幫助。我試著從三個(gè)方面進(jìn)行分享：

• 看市場(chǎng)
• 看客戶
• 看廠商

看市場(chǎng)：威脅情報(bào)全球市場(chǎng)逐漸成熟

首先 Gartner 提出了戰(zhàn)略規(guī)劃假設(shè)：“到2022年， 將有20% 的大型企業(yè)會(huì)使用商業(yè)威脅情報(bào)為其安全戰(zhàn)略提供信息，而目前不到 10%。”

“By 2022, 20% of large enterprises will use commercial threat intelligence (TI) services to inform their security strategies, which is an increase from fewer than 10% today. ”

對(duì)比 2017 年 7 月發(fā)布的上一版報(bào)告³中，當(dāng)時(shí)分析師的假設(shè)則是：當(dāng)前低于1%的比例到2020年會(huì)增加至15%。我們可以看到，一年半的時(shí)間，這一比例從低于1%迅速提升到低于10%。

“By 2020, 15% of large enterprises will use commercial threat intelligence (TI) services to inform their security strategies, which is an increase from today's less than 1%. ”

其次，最新的這份報(bào)告中，市場(chǎng)定義聚焦在“更純粹的威脅情報(bào)服務(wù)類型，其中威脅情報(bào)作為主要元素，而不是作為其他市場(chǎng)規(guī)模更大的某類產(chǎn)品特性”。對(duì)應(yīng)到代表廠商章節(jié)，我們可以看到相較上一版本，此次報(bào)告中的代表性廠商并不包含集成威脅情報(bào)能力的SIEM/FW/IDP/MDR等廠商，情報(bào)聚合類產(chǎn)品僅保留了TIP、而去掉了上一版中包含的SOA（Security Orchestration and Automation ）以及TVM（Threat and Vulnerability Management）以及對(duì)應(yīng)廠商。

Gartner 的調(diào)查顯示，政府和金融行業(yè)目前仍然是威脅情報(bào)采購(gòu)的主要客戶群體，但分析師也看到其他垂直行業(yè)的增長(zhǎng)，這一增長(zhǎng)更多基于安全項(xiàng)目的成熟度，而非行業(yè)或地理屬性的特定趨勢(shì)。在制造、通信和媒體、IT服務(wù)和軟件、零售、銀行和金融、保險(xiǎn)、醫(yī)療以及公共事業(yè)這些垂直行業(yè)，可以看到威脅情報(bào)被用于支撐戰(zhàn)略決策。

定價(jià)模型開(kāi)始標(biāo)準(zhǔn)化。情報(bào)服務(wù)通常采用訂閱模式，按使用時(shí)間或者數(shù)據(jù)量（API接口查詢量）進(jìn)行收費(fèi)。不同服務(wù)等級(jí)對(duì)應(yīng)不同價(jià)格點(diǎn)，從基于機(jī)讀情報(bào)的基礎(chǔ)服務(wù)到需要投入人力提供研究支撐和安全分析的高級(jí)服務(wù)，都可能涉及。

綜上，這里給我們傳遞一個(gè)信號(hào)：威脅情報(bào)的市場(chǎng)定義日漸清晰，并逐漸形成自身獨(dú)立市場(chǎng)規(guī)模。

看客戶：威脅情報(bào)的價(jià)值呈現(xiàn)

威脅情報(bào)火了近幾年，但市場(chǎng)一直在探尋的一個(gè)問(wèn)題是，威脅情報(bào)的價(jià)值如何體現(xiàn)和落地？Gartner 強(qiáng)調(diào)以終為始，基于使用場(chǎng)景和安全目標(biāo)來(lái)選擇威脅情報(bào)服務(wù)和產(chǎn)品?；趯?duì)最終客戶的調(diào)研，報(bào)告中列出了目前最為普遍的用例。

• 充實(shí)現(xiàn)有安全技術(shù)：通常機(jī)讀情報(bào)以附加訂閱方式集成到現(xiàn)有SIEM/IDP等產(chǎn)品中。這一類應(yīng)用場(chǎng)景的例子還包括 TIP 和 TIG 兩類產(chǎn)品。前者實(shí)現(xiàn)多源情報(bào)管理和分發(fā)、更為有效地完成情報(bào)與SIEM/EDR以及事件響應(yīng)的下游集成。后者則是事先預(yù)打包海量多源機(jī)讀情報(bào)（支持?jǐn)?shù)百萬(wàn)甚至數(shù)十億的威脅指標(biāo)），并集成到一個(gè)特定設(shè)備中進(jìn)行檢測(cè)和防御，用于擴(kuò)充現(xiàn)有網(wǎng)絡(luò)安全解決方案。
• 釣魚(yú)檢測(cè)：分為用戶發(fā)起和社區(qū)分享兩種情況。前者可以采用TIP和自動(dòng)化編排技術(shù)，在發(fā)現(xiàn)可疑郵件后，豐富告警上下文、觸發(fā)自動(dòng)化調(diào)查流程并根據(jù)調(diào)查結(jié)果聯(lián)動(dòng)SIEM以及SWG（這其實(shí)也是 SOAR 產(chǎn)品的一個(gè)典型應(yīng)用場(chǎng)景）。后者主要是新的釣魚(yú)威脅被發(fā)現(xiàn)后，通過(guò)情報(bào)共享機(jī)制觸發(fā)。
• 漏洞優(yōu)先級(jí)管理：Gartner 在最新的報(bào)告《實(shí)施基于風(fēng)險(xiǎn)的漏洞管理方法》中明確，過(guò)去十年大約八分之一的漏洞事實(shí)上是被在野利用，而這些漏洞在遠(yuǎn)控木馬、勒索軟件等廣泛威脅中被大量重復(fù)利用。CVE 編號(hào)和 CVSS 作為初始的漏洞分類至關(guān)重要，但缺乏考慮“攻擊團(tuán)伙實(shí)際在做什么”這一要素?；谏鲜鲅芯浚?Gartner 認(rèn)為漏洞管理的第一優(yōu)先級(jí)應(yīng)該是考慮“您的哪些漏洞正被在野利用”。威脅情報(bào)集成到漏洞管理中，能為企業(yè)提供一種能力，也即確定“哪些漏洞是我數(shù)字業(yè)務(wù)的最大風(fēng)險(xiǎn)”。這是目前應(yīng)用威脅情報(bào)最實(shí)用和有價(jià)值的使用場(chǎng)景之一。
• 深網(wǎng)以及暗網(wǎng)監(jiān)控：這類服務(wù)的一個(gè)價(jià)值主張是，分析師代表客戶去做。分析師積極滲透深網(wǎng)和暗網(wǎng)這類地下信息交流，需要多年的情報(bào)經(jīng)驗(yàn)。分析師具備的這類技能極為珍稀，往往需要多年的工作積累才能達(dá)到從業(yè)者的技能水平。對(duì)客戶的價(jià)值則是，客戶可以使用這些服務(wù)事先獲得威脅預(yù)警、理解威脅（它們是如何工作的、在哪里被發(fā)現(xiàn)），是否有人談?wù)摽蛻舻慕M織，并且通常是從 TTP 角度來(lái)了解攻擊團(tuán)伙。
• 事件調(diào)查和響應(yīng)：事件響應(yīng)是威脅情報(bào)最重要的應(yīng)用場(chǎng)景之一。據(jù)我了解，現(xiàn)在國(guó)內(nèi)有的情報(bào)廠商，安服人員使用自己公司的情報(bào)平臺(tái)完成分析報(bào)告已經(jīng)是常規(guī)動(dòng)作。正如殺鏈模型所描述的，應(yīng)用情報(bào)和安全分析可能在入侵前期就進(jìn)行響應(yīng)而不是等到失陷之后才做響應(yīng)，可以縮短現(xiàn)在業(yè)內(nèi)常說(shuō)的MTTD時(shí)間。另，之前《事件響應(yīng)&計(jì)算機(jī)取證》讀書(shū)筆記中介紹過(guò)，事件響應(yīng)其實(shí)也是生產(chǎn) IOC 的重要來(lái)源之一。
• 威脅情報(bào)分析師擴(kuò)充：威脅情報(bào)分析師在就業(yè)市場(chǎng)上，也嚴(yán)重短缺，更毋庸說(shuō)企業(yè)自己的人力資源儲(chǔ)備。一些情報(bào)提供商通過(guò)裁剪的服務(wù)，面向客戶“出租一部分”他們的分析師，由分析師承擔(dān)客戶特定的與威脅情報(bào)相關(guān)的任務(wù)。
• 攻擊團(tuán)伙跟蹤：Gartner 認(rèn)為這是最先進(jìn)的威脅情報(bào)用例之一，它往往需要大量的人員配置和技術(shù)，并長(zhǎng)期投入。一旦建立起這種能力并積累相關(guān)的TTP，對(duì)于跟蹤方，攻擊團(tuán)伙的行為就會(huì)浮現(xiàn)而且經(jīng)常會(huì)重復(fù)。這是威脅情報(bào)能發(fā)揮積極主動(dòng)之處。
• 情報(bào)分析師調(diào)查工具：這是今年報(bào)告中新增的一個(gè)用例。是指分析師日常依賴的專用工具，為情報(bào)分析師、安全運(yùn)營(yíng)人員、威脅獵手、事件響應(yīng)和取證專家所廣泛使用。它們支持如下任務(wù)：允許安全和匿名訪問(wèn)互聯(lián)網(wǎng)用于研究；提供有預(yù)建工具和其他角色屬性（如語(yǔ)言）的托管虛擬桌面；用于事件調(diào)查的臨時(shí)資產(chǎn)，在失陷的情況下不會(huì)留下調(diào)查人員任何有意義的痕跡；支持基于團(tuán)隊(duì)的調(diào)查等。

其他用例還有威脅情報(bào)共享、社交媒體監(jiān)控、品牌監(jiān)控、欺詐檢測(cè)、流氓或虛假移動(dòng)應(yīng)用檢測(cè)，在此就不一一贅述了。

通過(guò)上述用例介紹，從客戶價(jià)值層面，我們可以看到威脅情報(bào)驅(qū)動(dòng)安全的合理性和重要性：一方面它作為能力輸出提升現(xiàn)有安全產(chǎn)品和服務(wù)的防御、檢測(cè)與響應(yīng)能力，同時(shí)它也是現(xiàn)有這些市場(chǎng)的差異化特性。另一方面它會(huì)在企業(yè)和行業(yè)客戶的安全架構(gòu)（漏洞管理）、安全運(yùn)營(yíng)（事件監(jiān)控、事件檢測(cè)&響應(yīng)、威脅狩獵）甚至更高層面的風(fēng)險(xiǎn)管理和安全投資上發(fā)揮作用。

看廠商

之前介紹過(guò)，市場(chǎng)指南研究方法通常適用于市場(chǎng)興起階段，該階段用戶需求和產(chǎn)品方案都處在動(dòng)態(tài)變化中，廠商進(jìn)入或退出的可能較高。這個(gè)方法主要關(guān)注市場(chǎng)定義本身以及市場(chǎng)的趨勢(shì)，力圖幫助企業(yè)理解目前這個(gè)動(dòng)態(tài)市場(chǎng)可獲取的解決方案及其適用場(chǎng)景，從而指導(dǎo)企業(yè)結(jié)合自身業(yè)務(wù)需求對(duì)新興技術(shù)做出合理的投資決策。因此，理解市場(chǎng)及供應(yīng)商方案的適用場(chǎng)景意義甚于競(jìng)爭(zhēng)分析。具體也可以參考Gartner網(wǎng)站信息⁴。

報(bào)告里面結(jié)合每種用例也給出代表性廠商名單并有專門(mén)的代表性廠商目錄，大家可以去報(bào)告中按圖索驥。Gartner分析師在文中也提出了一些評(píng)估廠商實(shí)際能力的方法，有興趣可以去看原文。這部分我主要想分享兩組切實(shí)的問(wèn)題樣例，它們是Gartner分析師經(jīng)常看到最終用戶提出、并由廠商解答的問(wèn)題。不妨可以借鑒。

第一組是偏技術(shù)和戰(zhàn)術(shù)層面的問(wèn)題：

• “Is a connection to this Internet Protocol (IP) address bad? Who owns the IP? To which internet service provider (ISP) is this IP address connected? What other IP addresses are registered by this company? ”
• “Is this URL dangerous? Who registered the domain? Have they registered others? If yes, which ones? What types of threats were served from this website? Is other malicious activity linked to this URL?”
• “Which vulnerabilities in my environment are actively being exploited “in the wild”? Who are the threat actors selling or using these vulnerabilities? Which malware and other threats are leveraging these vulnerabilities? What types of organizations are being attacked via these threats?”
• “What malware is directly targeting my brand of point of sale (POS) terminal? Is this “Day Zero” attack rumor true?”
• “What do the bad guys know about my organization and its staff? Are they selling access to my systems or my intellectual property?”
• “Has our sensitive information been leaked?”
• “Should I anticipate an attack? When? How?”
• “Who are my top adversaries? Are they credible? Can I be advised of their activity within a short period of time of it occurring? Which underground sites do they frequent? Who is known to be associated with these adversaries?”
• “What threat actors could be targeting my organization’s capabilities in the coming months?”

第二組是偏業(yè)務(wù)和戰(zhàn)略的問(wèn)題：

• “If I understand more about active threat actors and threats, where should I target security spending?”
• “What improvements can be made to my architecture to better predict, prevent, detect and respond to this type of threat?”
• “Which security monitoring capabilities should we be implementing to account for these threats and threat actors?”
• “What are the strategic and tactical security risks inherent in our business strategy?”
• “Should we be partnering with companies that have questionable security postures that are potential 'weak links in the chain'? What risks could we better understand, if we had more information on my digital supply chain?”
• “How can we perform processes, such as incident response and technical control configurations, more efficiently?”
• “Can we make more informed decisions based on credible evidence of risks versus 'chasing ghosts' and wasting time on lower-priority issues?”
• “How can I better align my security program to what is essentially ‘my landscape’? ”

小結(jié)

綜上，今天我主要從三個(gè)方面進(jìn)行了分享。威脅情報(bào)的市場(chǎng)潛力還是值得期待，這個(gè)領(lǐng)域的創(chuàng)新實(shí)踐也還能走得更遠(yuǎn)。

• 看市場(chǎng)：威脅情報(bào)全球市場(chǎng)逐漸成熟；
• 看客戶：從客戶價(jià)值來(lái)看，威脅情報(bào)驅(qū)動(dòng)安全的合理性和重要性；
• 看廠商：Gartner分析師整理出的問(wèn)題樣例，不妨可以借鑒思考自身的業(yè)務(wù)需求，并用于和情報(bào)廠商的初步溝通。

參考材料

1. https://ctianalysis.files.wordpress.com/2016/05/incident-response-from-computer-network-defense.pdf
2. Craig Lawson, Ryan Benson, “Market Guide for Security Threat Intelligence Products and Services”, Gartner, 2019年2月19日
3. Craig Lawson, Khushbu Pratap, “Market Guide for Security Threat Intelligence Products and Services”, Gartner, 2017年7月20日發(fā)布，2017月7月25日修訂
4. https://www.gartner.com/en/research/methodologies/market-guide，訪問(wèn)時(shí)間：2019年3月12日