淺談威脅情報

摘要： 威脅情報在百度百科上給出的定義是某種基於證據的知識，包括上下文、機制、標示、含義和能夠執行的建議，這些知識與資產所面臨已有的或醞釀中的威脅或危害相關，可用於資產相關主體對威脅或危害的響應或處理決策提供資訊支援。業內大多數所說的威脅情報可以認為是狹義的威脅情報，其主要內容為用於識別和檢...

威脅情報在百度百科上給出的定義是某種基於證據的知識，包括上下文、機制、標示、含義和能夠執行的建議，這些知識與資產所面臨已有的或醞釀中的威脅或危害相關，可用於資產相關主體對威脅或危害的響應或處理決策提供資訊支援。業內大多數所說的威脅情報可以認為是狹義的威脅情報，其主要內容為用於識別和檢測威脅的失陷標識，如檔案HASH，IP，域名，程式執行路徑，登錄檔項等，以及相關的歸屬標籤。 參考John Friedman和Mark Bouchard在2015年發表的網路威脅情報權威指南 中下的定義：對敵方的情報，及其動機、企圖和方法進行收集、分析和傳播，幫助各個層面的安全和業務成員保護企業關鍵資產。 情報即線索，威脅情報便是為了還原已發生的攻擊和預測未發生的攻擊所需要的一切線索。

安全圈所涉及的情報的範疇主要包括威脅情報、漏洞情報、資產情報。漏洞情報主要與脆弱點相關，描述的是本身業務存在的隱患問題；資產情報主要為內部IT業務資產和人的資訊，而威脅情報則主要針對攻擊者的威脅。而威脅情報又可以分為具體三類：

• 戰術級情報
• 運營級情報
• 戰略級情報

威脅情報的作用

從威脅情報的分類來看：

• 戰術級情報的作用主要是發現威脅事件，並對報警進行確認或者做優先順序排序。常見的失陷檢測情報(CnC情報，即攻擊者控制被害主機所使用的遠端指令與控制伺服器等等的相關情報)、IP情報(訪問網際網路伺服器的IP主機的相關資訊的集合，可能包含惡意主機)便屬於這種範疇。
• 運營及情報的主要作用是對已知的重要安全事件做分析(報警確認、攻擊影響範圍、攻擊鏈以及攻擊目的、技術戰術方法等等)或者利用已知的攻擊者技術戰術手法主動地查詢攻擊相關的線索。
• 戰略級情報主要目的是讓安全管理者確定安全上的投入量、安全上的主要投入的方向等等，由於包括了什麼樣的組織會進行攻擊，攻擊可能造成的危害後果、攻擊者的戰術能力和掌控的資源情況等等以及攻擊案例，可是安全管理者的決策不再盲目，更加針對組織的業務情況以及真正威脅。
  總體來說，威脅情報的主要作用便是方便企業及時最小化已發生的攻擊產生的影響，追蹤攻擊來源並且再下次攻擊產生之前做好防範，確認自身產品可能的缺陷併合理設定安全方面的投入力度與措施。

威脅情報的作用點

威脅情報的作用點主要有：

• 攻擊檢測與防禦
  基於威脅情報資料可以建立IDPs或者AV產品的簽名，或者生成NFT(網路取證工具)、SIEM、ETDR(終端威脅檢測及響應)等等產品的規則，用於攻擊檢測；
• 攻擊溯源
  依賴於威脅情報可以對攻擊溯源做更簡單、更高效的處理。
• 態勢感知
  利用威脅情報對自身服務弱點進行感知、獲取外部諮詢，從而對安全運營做更合理的安排

威脅情報是怎麼生產的

威脅情報的生產就是通過對原始資料/樣本的採集、交換、分析、追蹤,之後產生和共享有價值的威脅情報資訊的過程。

生產者可以通過使用蜜罐、沙箱、終端等手段收集大量的資訊，經過初級或者專業技術分析後提供給消費者，滿足消費者的服務安全執行的需求。騰訊等公司擁有龐大的資料基礎，因此能夠提供相對全面的初始資料與初級分析的情報。除了龐大的資料意外，也可以通過多種渠道收集資料，經過對資料的加工、處理、篩選等二次分析來得到更加貼近真相的威脅情報。

威脅情報是怎麼消費的

威脅情報的消費是指將企業和客戶網路中的安全資料與威脅情報進行比對、驗證，以及企業和客戶方的安全分析師利用威脅情報進行分析的過程。威脅情報是否有價值，有多大價值，最終取決於消費者。

參考gartner的論文，威脅情報消費的方式主要有：

• Web分類
• 網站信譽預測訪問網站的安全風險
• IP信譽
• 反網路釣魚
• 檔案信譽惡意檔案黑名單，預防惡意軟體的分發
• 移動應用信譽 分析惡意移動應用

威脅情報共享的相關指標、規範

• CybOX
  Cyber Observable eXpression (CybOX) 規範定義了一個表徵計算機可觀察物件與網路動態和實體的方法。可觀察物件包括檔案，HTTP會話，X509證書，系統配置項等。CybOX 規範提供了一套標準且支援擴充套件的語法，用來描述所有我們可以從計算系統和操作上觀察到的內容。在某些情況下，可觀察的物件可以作為判斷威脅的指標，比如Windows的RegistryKey。這種可觀察物件由於具有某個特定值，往往作為判斷威脅存在與否的指標。IP地址也是一種可觀察的物件，通常作為判斷惡意企圖的指標。
• STIX
  Structured Threat Information eXpression (STIX) 提供了基於標準XML的語法描述威脅情報的細節和威脅內容的方法。STIX支援使用CybOX格式去描述大部分STIX語法本身就能描述的內容，當然，STIX還支援其他格式。標準化將使安全研究人員交換威脅情報的效率和準確率大大提升，大大減少溝通中的誤解，還能自動化處理某些威脅情報。實踐證明，STIX規範可以描述威脅情報中多方面的特徵，包括威脅因素，威脅活動，安全事故等。它極大程度利用DHS規範來指定各個STIX實體中包含的資料項的格式。
• TAXII
  Trusted Automated eXchange of Indicator Information (TAXII) 提供安全的傳輸和威脅情報資訊的交換。很多文章讓人誤以為TAXII只能傳輸TAXII格式的資料，但實際上它支援多種格式傳輸資料。當前的通常做法是用TAXII來傳輸資料，用STIX來作情報描述，用CybOX的詞彙。
  TAXII在標準化服務和資訊交換的條款中定義了交換協議，可以支援多種共享模型，包括hub-and-spoke，peer-to-peer，subscription。
  TAXII在提供了安全傳輸的同時，還無需考慮拓樸結構、信任問題、授權管理等策略，留給更高級別的協議和約定去考慮。

• 其它規範

  不難看出，目前大量文章內容聚焦在STIX，TAXII，CybOX。有些文章甚至都沒提到扮演著同樣重要角色的CVE和CVSS。另外，還有很多DHS的補充性規範也經常被所謂的“專家”所忽視。

  Common Platform Enumeration（CPE）和Common Configuration Enumeration（CCE）規範了平臺和配置的描述標準，就像CVE規範了漏洞的描述標準一樣。Common Configuration Scoring System（CCSS）則提供了一套基於CVSS的指標。

  其他規範包括：

  • Common Weakness Enumeration (CWE) 定義了通用軟體設計與實現的弱點，安全漏洞往往是由這些弱點而來的。

  • Common Attack Pattern Enumeration and Classification (CAPEC) 提供了一個與跨事件攻擊相似的功能。

  • Malware Attribute Enumeration and Characterization (MAEC) 可用於描述惡意軟體的資訊，類似於CVE和漏洞之間的關係。

  • Open Vulnerability Assessment Language (OVAL) 為評估漏洞範圍和影響提供了一個框架。

當然還有其他的規範和標準，就不一一列舉了。所有這些規範的目標都是覆蓋更全面的安全通訊領域，並使之成為一種標準化的東西。

• 美國政府和威脅情報
  美國的標準化工作和努力緊密圍繞Defense Information Systems Agency（國防資訊系統局，簡稱DISA）和美國National Institute of Standards and Technology（國際標準與技術研究院，簡稱NIST）。 NIST主要制定系統安全的規範，特別是網路安全框架規範，並主管電腦保安資源中心。 DISA則負責制定Secure Technical Implementation Guides （安全技術實施指南，簡稱STIGs）來規範資訊系統的安全安裝與維護。這些高階術語可不止是表面功夫，它們指代了包含技術指導在內的多種標準，允許安裝和維修人員鎖定系統，否則可能容易受到攻擊。
  最近，這些組織已經完全支援NIST 的Security Content Automation Protocol （安全內容自動化協議，簡稱SCAP）。National Vulnerability Database （國家漏洞資料庫，簡稱NVD） 提供官方 SCAP 對映層。這個開放標準的套件目的是：讓安全配置的管理和測量能像威脅情報共享一樣自動化。
  雖然不是經常被提起，但STIX協議可以和其他方式一樣，輕鬆地封裝SCAP的payloads。事實上，來自DHS系列中的很多標準其實都已經被SCAP覆蓋到了。SCAP實際包含以下的標準：
• CVE
• CCE（通用配置列表標準）
• CPE
• CVSS
• CCSS
• OVAL
• Extensible Configuration Checklist Description Format（可擴充套件性配置清單描述格式標準，簡稱XCCDF）
• Open Checklist Interactive Language ​（開放檢查表互動式語言，簡稱OCIL）

上述的除了XCCDF，OCIL和CCSS來自DHS系列標準，剩下的都是NIST定義的。XCCDF給系統配置規則的結構化集合提供了一個標準的描述。該標準支援自動化資訊交換，合規測試與評分，同時大家仍然可以根據具體需求來作定製化開發。與DHS的安全威脅情報系列標準相比，XCCDF與DHS系列中的CCE僅存在少量差異。幸運的是，這是SCAP覆蓋的內容和DHS系列規範中唯一的明顯差異。

OCIL提供了一個標準化的框架，以描述清單問題和解答問題的步驟，而CCSS有一套指標來衡量軟體配置問題的安全性。它從公認的CVSS規範衍生出來，並提供類似的功能。

• MILE

  Managed Incident Lightweight Exchange （輕量級交換託管事件，簡稱MILE） 封裝的標準涵蓋了與DHS系列規範大致相同的的內容，特別是CybOX，STIX和TAXII。MILE標準為指標和事件定義了一個數據格式。該封裝還包含了 Incident Object Description and Exchange Format （事件物件描述和交換格式,簡稱IODEF）。IODEF合併了許多DHS系列規範的資料格式，並提供了一種交換那些可操作的統計性事件資訊的格式，且支援自動處理。它還包含了IODEF for Structured Cybersecurity Information（結構化網路安全資訊，簡稱IODEF-SCI）擴充套件和Realtime Internetwork Defense （實時網路防禦，簡稱RID），支援自動共享情報和事件。

國內外威脅情報的玩家

在國內，我國的國家網路空間威脅情報共享開放平臺也接入了多家企業， 如360、CNCERT、天融信、綠盟、安天、深信服等多家安全企業，共同提供情報開放共享、情報關聯融合、情報評估校驗等工作。

衡量威脅情報質量的方法

威脅情報質量的評估具有以下幾個原則：

• 科學性與實用性
• 系統性和層次性
• 全面性和代表性
• 動態性和靜態性
• 我們需要在下面四個方面去保障其質量：
• 相關性
  要求更能強調和具體使用者的地域性、行業性相關，即需要針對此使用者的環境，能發現可能遭遇的重要威脅。
• 及時性
  情報的及時性是由多個因素構成的，包括資料收集的及時性、雲端處理的及時性、情報分發的及時性等等。
• 精確性
  此特性主要指我們一般說的誤報率指標。
• 可指導響應的上下文
  上下文一定是對決策、行動有幫助，與此無關給出的資訊越多，說明情報的質量越差。

因此，針對威脅情報的這些屬性，我們可以採取一些測試方法來進行測試:

• 新鮮度測試
• 流行度測試
• 獨特性測試
• 覆蓋測試
• 過期測試
• 關聯測試