當(dāng)前國內(nèi)市場上，威脅情報最普遍的使用場景，就是利用IOC情報（ Indicators of Compromise）進(jìn)行日志檢測，發(fā)現(xiàn)內(nèi)部被攻陷的主機(jī)等重要風(fēng)險。這種情況下可以發(fā)現(xiàn)傳統(tǒng)安全產(chǎn)品無法發(fā)現(xiàn)的很多威脅，并且大多是成功的攻擊，對于安全運(yùn)營有較大的幫助。這種場景看似簡單，就是日志數(shù)據(jù)和情報之間的匹配，其實并不是如此，個人在這幾年的工作中，對這個場景的認(rèn)識有了多次轉(zhuǎn)變，現(xiàn)今看來可以小結(jié)為3個層次。

最初的時候，認(rèn)為IOC情報匹配本身并不復(fù)雜，核心的問題是情報本身的質(zhì)量（相關(guān)性、及時性、準(zhǔn)確性、可指導(dǎo)響應(yīng)的上下文），特別是上下文問題，非常重要，除了一般會考慮到的風(fēng)險等級、可信度等信息外，還需要提供相關(guān)攻擊團(tuán)伙和家族的攻擊目的、危害、技戰(zhàn)術(shù)等相關(guān)的內(nèi)容，提供相關(guān)的遠(yuǎn)控端是否活躍，是否已經(jīng)被安全廠商接管等信息，以此響應(yīng)團(tuán)隊可以判定是否需要響應(yīng)，哪個事件的優(yōu)先級更高等。后續(xù)發(fā)現(xiàn)對于很多團(tuán)隊缺乏事件響應(yīng)經(jīng)驗，理想情況下情報上下文最好能提供不同威脅的響應(yīng)參考策略，這部分似乎也可以歸入到上下文中。這個層次暫且稱其為簡單匹配。

后來逐步發(fā)現(xiàn)IOC的匹配問題并不單純，針對不同的日志類型需要有專門的優(yōu)化。典型的例子就是DNS日志或者防火墻的五元組日志，下面以DNS日志為例進(jìn)行說明。DNS日志是進(jìn)行IOC匹配比較理想的類型，因為有些遠(yuǎn)控服務(wù)器當(dāng)時可能不能解析，因此不會產(chǎn)生其它類型的應(yīng)用層日志，但通過DNS活動就可以推斷對應(yīng)的主機(jī)上已經(jīng)運(yùn)行了一個木馬或者蠕蟲病毒，甚或是APT攻擊。這個遠(yuǎn)控的IOC形式可能是一個域名，這種情況就比較簡單；但如果是一個URL，這種情況下如何匹配就是一個相對復(fù)雜的事情，因為單純的DNS數(shù)據(jù)是不能精確判別是否出現(xiàn)失陷的，往往要引入一些參考的數(shù)據(jù)類別，并考慮企業(yè)對哪些威脅類型更加關(guān)注，這種情況下需要有更加復(fù)雜的匹配機(jī)制。這個層次可以稱其為高級匹配。

經(jīng)過前兩個階段，對于大多數(shù)組織應(yīng)該可以較好的使用威脅情報做檢測了。但從更高要求看，可能還會出現(xiàn)一些需要解決的問題，如日志中顯示的域名沒有直接的威脅情報命中，但是域名所在的主機(jī)其實已經(jīng)明確是屬于某個網(wǎng)絡(luò)犯罪組織的，這種情況下如何產(chǎn)生報警；再如對一個郵件做詳細(xì)的分析判定，是需要從多個維度進(jìn)行分析，其中會使用多個類型的威脅情報。解決這些問題不但需要有威脅情報及網(wǎng)絡(luò)基礎(chǔ)數(shù)據(jù)，還需要有相應(yīng)的分析判定模型，這部分可以說在編排和自動化范圍內(nèi)（SOAR），如果還需要有一個名字，不知智能化匹配是否合適。

簡單匹配、高級匹配、智能化匹配，這是基于過去對IOC使用情況思考的一個簡單總結(jié)。不能確定是否還會有更多的層次，但有一點(diǎn)可以肯定，隨著對威脅情報IOC使用的不斷探索，威脅情報在檢測過程的作用一定會越來越大。而事件響應(yīng)分析、安全預(yù)警上情報的使用大致也有同樣的過程，可以在后續(xù)找機(jī)會探討，而下篇文章更多要聊聊威脅情報IOC的評估。