2018年ISC的演講摘要，又到一年會議時。

前言

近3年來，國內(nèi)威脅情報相關(guān)技術(shù)、產(chǎn)品和市場有了快速的發(fā)展，不同組織利用威脅情報解決了過去難以處理的一些問題，如失陷主機(jī)檢測等，情報的價值得到了客戶的普遍認(rèn)可。同時我們也看到威脅情報領(lǐng)域一些深層的應(yīng)用場景，尤其是在事件響應(yīng)環(huán)節(jié)的威脅情報使用上，和國際領(lǐng)先水平還有一定的差距，需要更積極的投入進(jìn)行技術(shù)創(chuàng)新，本文嘗試對這個方面做初步的闡述。

國內(nèi)威脅情報應(yīng)用現(xiàn)狀

國內(nèi)威脅情報市發(fā)端于2015年，這一年360推出了以威脅情報檢測能力為核心的天眼產(chǎn)品，同時烽火臺聯(lián)盟和微步在線、天際友盟也分別于這一年成立。
經(jīng)過3年左右的發(fā)展，情報相關(guān)廠商已經(jīng)可以提供比較全面的威脅情報產(chǎn)品，這其中包括供安全產(chǎn)品檢測和報警排序使用的戰(zhàn)術(shù)情報或者說機(jī)讀情報（MRTI）；供安全運營人員做事件分析、安全狩獵使用的作戰(zhàn)情報；以及供安全管理者確定安全建設(shè)投入方向使用的戰(zhàn)略情報。而市場也對威脅情報的價值充分的認(rèn)可，在金融、能源、高科技及政府等不同的類型的行業(yè)，威脅情報相關(guān)的項目在快速增長。

尚需考慮的問題

在這種良好的發(fā)展態(tài)勢下，也可以發(fā)現(xiàn)一些現(xiàn)象需要思考。其中最突出的是，當(dāng)前安全廠商提供的威脅情報能力，以及已知的威脅情報相關(guān)項目，都是集中在威脅檢測環(huán)節(jié)，而在事件分析響應(yīng)、預(yù)測/預(yù)警方面的比重極少。從安全運營全生命周期考慮，安全投入應(yīng)該保持在防御、檢測、響應(yīng)、預(yù)防4個領(lǐng)域的相對均衡，較早一段時間可能偏重防御，現(xiàn)階段在檢測上有所側(cè)重自然是好事，但如果在響應(yīng)、預(yù)防環(huán)節(jié)的投入嚴(yán)重不足的話，必然會造成難以完成安全運營的閉環(huán)，及時的處置威脅。
事件響應(yīng)分析能力普遍缺失，以及對應(yīng)而來的巨大損失，是有很多教訓(xùn)的。以2013年美國零售巨頭Target攻擊事件為例，Targer有完整的安全運營體系，在印度有L1層級 7*24小時的安全監(jiān)控團(tuán)隊，在美國本土有L2層級的事件響應(yīng)團(tuán)隊。攻擊期間，F(xiàn)ireEye的沙箱檢測到相關(guān)部分惡意軟件并進(jìn)行多次告警，同時Symantec終端防護(hù)軟件也被觸發(fā)了警報，但這些告警都被事件響應(yīng)團(tuán)隊忽略了，因為每天接收的報警數(shù)量較大，他們又沒有合適的工具/方式來正確評估哪些事件需要跟進(jìn)，而那些事件可以忽略。最終的結(jié)果是被盜取了4000多萬張信用卡信息以及7000萬條包括姓名、地址、email、電話等用戶個人信息。
從安全運營角度，長久的問題是安全產(chǎn)品有太多的告警，根據(jù)國際知名咨詢機(jī)構(gòu)Ponemon進(jìn)行的全球范圍的統(tǒng)計，其調(diào)查組織每周大約接收17000條報警，其中19%是可信的，需要響應(yīng)，但最終只有4%的會被調(diào)查處理。但這些告警同時缺乏足夠的上下文，因此缺乏合理的方式能區(qū)分出需要分析、處理的事件。在這個背景下，有限的事件響應(yīng)人員能發(fā)揮的作用則更是有限，即使這些事件響應(yīng)人員是安全產(chǎn)業(yè)中專業(yè)要求高、數(shù)量少，非常寶貴的那一類人。

創(chuàng)新領(lǐng)域一：SOAR（安全編排與自動化響應(yīng)）

針對上面的問題，就有國際安全廠商提出了一類創(chuàng)新型產(chǎn)品：SOAR(security orchestration, automation and response )，利用人和設(shè)備能力的組合進(jìn)行事件分析和分類，并根據(jù)標(biāo)準(zhǔn)工作流程定義，確定事件的優(yōu)先級并推動標(biāo)準(zhǔn)化事件響應(yīng)活動。一般意義上認(rèn)為SOAR有3個關(guān)鍵概念：自動化、編排、工作流。其中關(guān)鍵的是安全運營的Playbooks，它體現(xiàn)了安全知識管理和安全運營團(tuán)隊經(jīng)驗管理，包括事件響應(yīng)過程的記錄，事件分析和其它主治特定安全運營實踐知識。

Gartner對SOAR有一個更具洞見的認(rèn)識，認(rèn)為SOAR是一個涵蓋了安全運營、安全事件響應(yīng)和威脅情報技術(shù)的聚合體。這種說法揭示了SOAR的實質(zhì)，它是希望能夠基于用戶場景提供完整的威脅情報能力，完善組織的情報能力；通過playbooks提供各種內(nèi)置的分析方法和邏輯，彌補組織在安全/情報分析經(jīng)驗上的不足；然后同樣通過playbooks，提供不同類型威脅的標(biāo)準(zhǔn)事件處置方法，補充組織在事件響應(yīng)經(jīng)驗上的缺失。
SOAR無疑是一個理想，同時也是一個多能力綜合、復(fù)雜程度很高的創(chuàng)新產(chǎn)品/平臺，可以解決安全運營中的很多的重要問題，期望國內(nèi)能盡早出現(xiàn)真正提供具備SOAR核心能力的產(chǎn)品。同時我們也要看到SOAR產(chǎn)品在一定程度上利用playbooks執(zhí)行自動化操作后，帶來的局限：不可能替代人進(jìn)行更復(fù)雜的關(guān)聯(lián)性分析，同時其palybooks水平也必然受限于廠商的情報能力和威脅分析、事件響應(yīng)的經(jīng)驗。

創(chuàng)新領(lǐng)域二：可視化關(guān)聯(lián)分析

在事件分析中一旦涉及到深度挖掘攻擊者的更多背景信息，進(jìn)行攻擊者畫像，就必然涉及到人工的關(guān)聯(lián)分析，這是情報分析的核心工作之一，要做好關(guān)聯(lián)分析需要具備多種條件，最基本的是大家熟悉的大數(shù)據(jù)要求，如pDNS、Whois、數(shù)字證書、樣本及其沙箱行為、攻擊團(tuán)伙或惡意家族檔案等。還有一些往往被忽略的小數(shù)據(jù)：CDN域名/IP列表、動態(tài)域名列表、Sinkholes域名和IP列表、whois隱私保護(hù)郵箱等等，最后就是情報分析師的經(jīng)驗和方法。忽略這些小數(shù)據(jù)和經(jīng)驗，有時會犯非常嚴(yán)重的錯誤，之前在友商的事件分析報告中，就看到將一個sinkholes IP當(dāng)作攻擊者的真實網(wǎng)絡(luò)資源，由此對攻擊者背景做出了錯誤的判斷。

DraggedImage.67b617c0b50f48698ac604356245f438.png

解決關(guān)聯(lián)分析這些難點的最好方式，是提供基于可視化的自動關(guān)聯(lián)分析能力，這是情報領(lǐng)域的另一個重要創(chuàng)新領(lǐng)域。國際上比較典型的代表是VirusTotal，在今年新版本的應(yīng)用中提供了“VTGraph”模塊，提供了類似的功能。而更早時間，360企業(yè)安全在其Alpha威脅分析平臺中，也提供相應(yīng)的能力?；诳梢暬淖詣雨P(guān)聯(lián)分析，集成了前面提到的大數(shù)據(jù)、小數(shù)據(jù)以及分析人員常有的拓線分析模型和方法，可以讓沒有經(jīng)驗的人快速上手，讓有經(jīng)驗的人更有效率。相信這個領(lǐng)域會有更多的跟進(jìn)者，而相應(yīng)的產(chǎn)品功能也會更加強大。

發(fā)展領(lǐng)域三：特定領(lǐng)域情報共享

前面談到的SOAR和基于可視化的自動關(guān)聯(lián)分析，除了能夠幫助相應(yīng)的組織解決事件分析/響應(yīng)過程中的困難外，另外就是讓更多的組織具備了威脅情報的生產(chǎn)能力，可以基于自身的數(shù)據(jù)和告警生成具備明確指標(biāo)和上下文的威脅情報，這會為威脅情報或者說網(wǎng)絡(luò)安全帶來一個完全不同的新格局。
一直在提倡的威脅情報共享，但是從當(dāng)前可用的情報源上看，不同安全廠商的數(shù)據(jù)來源是有相似性的，如開源情報抓取、大網(wǎng)掃描、蜜網(wǎng)、流量獲取或者惡意軟件處理等，固然有覆蓋面和數(shù)量級的差異，但就情報的針對性價值而言，都不如行業(yè)組織依賴自身數(shù)據(jù)和報警衍生出的威脅情報信息。這部分的情報對網(wǎng)絡(luò)空間安全是更具價值的，也是最有必要建立共享機(jī)制的。過去因為普遍性的安全響應(yīng)/情報分析人員的缺失，使這個來源方向無法形成質(zhì)量、數(shù)量穩(wěn)定的情報，利用SOAR和可視化的自動關(guān)聯(lián)分析解決了上述問題后，情報共享機(jī)制的價值、方式、制度的建設(shè)必然會進(jìn)入一個新的局面。無論是在特定行業(yè)內(nèi)的分享，還是社區(qū)的方式，或者基于國家相關(guān)部門統(tǒng)籌等等。進(jìn)而對整個安全行業(yè)帶來巨大的改變。

小結(jié)

以上提到的新興創(chuàng)新/發(fā)展領(lǐng)域，每個都需要很長的篇幅才能夠談清楚，把它們放到一篇文章中，就只能淺嘗則止了。但希望用這種形式，讓大家都更明白的了解，在威脅情報能力發(fā)展上，我們現(xiàn)今還處在起始的階段，需要有更好的創(chuàng)意、更多的投入，才能讓威脅情報發(fā)揮其本應(yīng)發(fā)揮的作用。