威脅情報定義

威脅情報定義目錄簡介 2什么是威脅情報？ 2核心情報原則 3可辨別的網(wǎng)絡情報 4情報圈 4情報漏斗 5從信息中辨識情報 6威脅情報收集 6情報事件中可辨別的特征 7威脅情報提供的信息 8威脅情報在信息安全中的重要性 8網(wǎng)絡威脅輪廓的改變 8信息安全漏洞的數(shù)量 9技術成長和使用改變 10不同的組織機構都從威脅情報中期望得到什么？ 10結論 11

簡介在過去的幾年中，術語“威脅情報”迅速出現(xiàn)在信息安全領域，許多安全廠商現(xiàn)在為消費者提供威脅情報服務。由于威脅情報并沒有一個明確的工業(yè)化定義，不是所有人對它的定義都一致。導致的結果是威脅情報這一術語如此廣泛地使用在安全工業(yè)領域，但對于“情報”的真實定義卻一直沒有。今天正在提供給市場的威脅情報服務完全沒有提供正確的威脅情報——他們只是提供對經(jīng)過最簡單（或者甚至是原始的）數(shù)據(jù)的訪問權。這篇Solutionary公司的白皮書向讀者們提供對情報的基本介紹，進一步，會介紹一下威脅情報。這篇文章的關鍵論點如下：用傳統(tǒng)情報社區(qū)（的觀點）來羅列工業(yè)上關于情報的定義，以便在向前時有一種統(tǒng)一的理解。明確定義什么是威脅情報，它的核心準則，網(wǎng)絡情報當前的演變和它的衍生物：網(wǎng)絡威脅情報。對將原始數(shù)據(jù)轉換為情報必須的情報處理過程的步驟文檔化。為那些正在考慮商業(yè)威脅情報服務的讀者提供一個精準的依據(jù)和理解。討論威脅情報服務增長背后的影響。什么是威脅情報？中央情報局（CIA）關于情報的定義1（對威脅情報的關鍵論點作了下劃線）：用最簡術語表示，情報是我們所處世界中的知識和預判。美國政策制定者決策和行動的先導。情報機構將這種信息以某種方式提供給消費者、國民領導或軍隊指揮官，（以便讓他們）去思考可替換的選項和結果。情報處理過程涉及漫長細心和通常是枯燥耗時的對事實的搜集、對它們的分析、快速和清晰的評估、仔細判斷后形成產(chǎn)品，并且不時遞知給消費者。綜上，這個分析過程必須是完整而冗長的，經(jīng)常性的和與政治需求及企業(yè)相關的。商業(yè)威脅情報的目標是去傳遞與中央情報機構提供的具有相似能力的事物。然而，取代了向政府官員提供軍事和政治情報，當前關注范圍在信息安全工業(yè)內，主要是向組織機構相關人員提供關于他們企業(yè)系統(tǒng)的數(shù)字威脅的威脅情報。這種威脅情報，和與之相關的價值，經(jīng)常與特定情報目標的實現(xiàn)（也被稱為優(yōu)先情報要求（PIR））關聯(lián)起來。PIR可被視為是收集信息以滿足情報要求的特殊使用案例。有時候“威脅情報”這一術語經(jīng)常被定義為數(shù)據(jù)或與潛在的網(wǎng)絡安全相關的數(shù)據(jù)饋送這樣的錯誤名詞。這個定義極大地簡化了應當被收集為情報供給內一部分的的情報類型，和將原始數(shù)據(jù)轉換為顧客可用來行動的情報的（被要求的）過程。圖3從信息中辨識情報許多安全威脅情報廠商實際上停留在情報漏斗處理過程的“數(shù)據(jù)”和“信息”階段，但仍然將傳遞的信息叫做威脅情報。信息和情報有著定義上的不同。信息：一個對Java零日漏洞的利用被公開在一個安全郵件列表中。馬上，有惡意軟件被發(fā)現(xiàn)使用了該漏洞。安全廠商將這個威脅通知客戶并且給出減緩威脅的建議。這叫做威脅信息（這像是非常有用的信息），但是在定義上，這不是威脅情報。情報：一家監(jiān)控著Java漏洞的安全廠商注意到該漏洞在亞太地區(qū)的感染率遠高于美國。會在用戶計算機設備上安裝代碼和僵尸網(wǎng)絡命令和與控制系統(tǒng)關聯(lián)的新變種惡意代碼正在被觀察到。與此同時，一家大型的金融機構宣布若干小型的、區(qū)域性的銀行猛漲股票價格，與此同時，發(fā)起了對他們的空頭支票費用從20美元到35美元的猛漲，因此激怒了消費者。若干黑客團體開始在推特和其他社交網(wǎng)站上討論對美國銀行系統(tǒng)的抗議活動，希望使主要交易機構的網(wǎng)上交易宕機一天。一個黑客活動的推特賬號上發(fā)布了使用僵尸網(wǎng)絡命令和控制軟件的指令，這些正好與通過Java漏洞安裝在客戶機的僵尸網(wǎng)絡惡意代碼相關。將這些數(shù)據(jù)點連接起來可以得到一幅清晰的圖片：美國的銀行極有可能被黑客團體作為利用基于Java漏洞的僵尸網(wǎng)絡進行DDoS（分布式拒絕服務）攻擊的目標?；谝呀?jīng)知道的感染特征，銀行可以預測出用來進行攻擊的那些來自亞洲的IP地址。這才是威脅情報——信息被從分散的來源收集起來，通過人為分析合成，去辨識出針對某一特定目標的特定威脅。威脅情報收集定向攻擊、零日漏洞和惡意軟件的利用工具是許多組織機構的擔心之處。然而，大多數(shù)組織機構并沒有獨立研究和評估威脅必須要具備的資源和知識技能，更不用說去決定這些威脅與他們的組織機構有多大的相關性。威脅情報服務經(jīng)常被當做一種外包能力的形式來使用，用來提供那些別的地方無法提供的，對高級安全議題的知識技能和資源的訪問權。有資歷的威脅情報人員經(jīng)受過廣泛的訓練，擁有特殊定制的工具，并且理解現(xiàn)代攻擊者的思維方式和方法。他們也擅長從相關收集到的資源里面進行數(shù)據(jù)挖掘，如下圖4所示：圖45情報事件中可辨別的特征跡象性事件和事件性事件——在情報詞庫里，“事件”是指分析員用來預測一個威脅增加或者減少的原始數(shù)據(jù)。這些事件被用來界定那些已經(jīng)發(fā)生或者將要發(fā)生的威脅環(huán)境的改變的關鍵跡象。圖5這些就是能被用來確認一個威脅正在增長的風險，或唯一標志一次襲擊的特定碎片化數(shù)據(jù)。跡象性事件和事件性事件本身都可以是技術性（數(shù)字的）或非技術性的（物理的），而且可以被用來辨識圍繞一個潛在的或已表現(xiàn)出來的威脅或攻擊的環(huán)境因素。這些包括：物理的–集體訴訟、立法或者影響立法的行為嘗試、許可證的吊銷、政治捐贈、被關鍵人物公開或者私下做出的個人社交媒體上的有爭論的陳述、買入大量關鍵的真實的房地產(chǎn)、不受歡迎的政策變化、裁員、（企業(yè)的）合并或收購、環(huán)境破壞、總部遷移、在特定人口或經(jīng)濟中心的商店的開張或關閉，等等。數(shù)字的–大量失敗的密碼登陸嘗試、緩沖區(qū)溢出、端口掃描、網(wǎng)絡釣魚活動、SQL查詢注入、統(tǒng)一資源定位符（URLs）、文件名稱、文件擴展、文件哈希值、服務或者可執(zhí)行文件、命令序列、HTTP請求、注冊表設定、使用的協(xié)議和端口，等等。威脅情報提供的信息威脅情報處理的最終結果是去回答股東的下面幾個問題：威脅–當前的哪些威脅是組織機構必須要知道的？組織機構所面對的網(wǎng)絡威脅被歸入為一個獨特的分類，因為它們本身就帶有不易理解性和不對稱性。不易理解性指的是數(shù)字環(huán)境的不規(guī)律和不易追蹤的特征，不對稱性是指在一個位置范圍的可執(zhí)行策略下威脅房和目標方在實力上的巨大不平衡。威脅方–特定威脅下的（團體/個人）（是誰/是什么/在哪里）？他們的能力、動機、目標、運作的范圍、活動的歷史有哪些？目標方–誰被威脅視為目標？這些威脅是基于地理的、政治的還是行業(yè)的？方法和策略–攻擊者們所采用的策略性方式是什么？威脅被設計用來做什么？它關注的是什么？他們使用的是什么工具和設施？哪些技術、版本和用戶類型被作為目標？攻擊怎樣被傳遞到目標？對策–組織機構可以采取怎樣的行動去應對特定威脅？威脅措施可以包括：入侵檢測系統(tǒng)特征、反病毒系統(tǒng)特征、需要阻塞的端口/協(xié)議或者其他可被用來幫助保護組織機構被特定威脅攻擊的反應行動。威脅情報在信息安全中的重要性有四個原則性的原因說明威脅情報正在變成一個關鍵的信息安全要求：組織機構必須抵御的安全威脅類型的根本性變化，和理解攻擊表面包括的遠不止一個已被定義的技術參數(shù)。別處無法提供給組織機構的對資源的訪問和利用能力，和知識技能。組織機構必須響應的數(shù)量巨大的安全漏洞和攻擊向量。組織機構必須保護的持續(xù)擴張的技術范圍和環(huán)境。網(wǎng)絡威脅輪廓的改變風險和威脅的輪廓在這幾年發(fā)生了突然的變化。網(wǎng)絡威脅從業(yè)者不再局限于那些有癖好的或反政府的個人或團體。他們現(xiàn)在包括代表國家立場的角色和受贊助的團體，和有具備相當多資源、支持和知識技能的傳統(tǒng)有組織的網(wǎng)絡犯罪團體。這些攻擊者經(jīng)常一起工作和分享或出售能攻下目標的工具。這些攻擊者也具備時間和資源去搜索組織機構環(huán)境中的漏洞。相反地，，那些需要防御任務的組織機構經(jīng)常只有有限的資源和預算去準備一個充足的防御體系，威脅的不平等本質就這樣形成了。下圖6中，文檔化數(shù)據(jù)丟失事件的逐漸增長為當前正在成功增加的攻擊提供了證據(jù)。圖6由于這個原因，許多組織機構正在轉向威脅情報服務以幫助辨識正在將他們的環(huán)境視為目標的威脅者，和定義能幫助用來抵抗這些攻擊的合適的反應措施和機制。信息安全漏洞的數(shù)量安全人員分析的海量數(shù)據(jù)是非常巨大的。組織機構必須對每天遇到的大量缺陷、零日漏洞威脅、惡意代碼、利用工具、僵尸網(wǎng)絡、高級可持續(xù)性威脅（APT）和定向攻擊做出反應。最近十五年每年被標注的通用漏洞披露（CVEs）數(shù)量如下圖所示——從2005年起，每年有超過4000個新的安全漏洞被標注。圖7惡意代碼的辨識率近幾年也在增長，如下圖8所示。它同時也表現(xiàn)了從2011年開始被辨識出的惡意代碼的數(shù)量的戲劇性增長。圖8對大多數(shù)組織機構來說，有效預防所有可見漏洞和惡意軟件變種是不可能的。然而威脅情報可以幫助組織機構理解未知環(huán)境下的漏洞利用和惡意代碼活動、理解將漏洞利用于一個特定區(qū)域，或被威脅者團體用來針對特定工業(yè)部門。針對特定組織機構環(huán)境的情報可以幫助規(guī)劃調整行動的優(yōu)先級，所以用來減輕危害的努力和資源可以被直接用在最需要和最具有防御價值的地方。技術成長和使用改變威脅情報服務的另一個驅動因素是現(xiàn)代計算環(huán)境中技術使用的演化和擴張。大多數(shù)組織機構里面的技術，即使與兩三年前相比，都有了戲劇性的改變。BYOD譯者注1方式，利用VPN加入網(wǎng)絡來訪問個人設備的遠程工作者、無處不在的無線網(wǎng)絡、對虛擬化和云計算使用的增加，都戲劇性地增加了典型組織機構中的技術使用。新的技術并不是簡單地替換原有的技術——它們經(jīng)常是一種添加，形成對組織機構的攻擊表面和里面漏洞的分析結果的網(wǎng)狀添加。有了技術上的這些改變——對BYOD的使用、遠程用戶、虛擬化、云計算——已被辨識的的周邊具有相同本質的有組織的網(wǎng)絡將不復存在。一個具有不同本質的、分布式用戶的、技術性的基礎變成了新的標準。這個新的現(xiàn)實伴隨著更復雜和和潛在的風險。威脅情報可以幫助組織機構理解這個新架構現(xiàn)實下的新興威脅。不同的組織機構都從威脅情報中期望得到什么？每一個組織機構都有不行的信息安全優(yōu)先權、要保護的財產(chǎn)、不同級別的專業(yè)技能和許多類型的安全技術。所以，不同的組織機構可以有不同的理解、需求和對威脅情報服務的期待。影響組織機構的威脅情報需求的因素包括：組織機構大小。組織機構與政府、服務商和其他垂直市場的合作。組織機構的依賴團體，包括供應鏈、商業(yè)伙伴、第三方供應商，云供應商等。組織機構信息安全資源的數(shù)量、精細化和能力。組織機構的危險態(tài)勢，和被視作目標的趨勢：針對政治的、經(jīng)濟的或知識產(chǎn)權的國家級的角色/高級可持續(xù)性威脅（APT）。出于金融目的的跨組織犯罪。黑客行為/關注點的尋找者，這些人一般想著怎樣去讓組織機構難堪。那些有限暴露給公眾的，并且不存儲和轉發(fā)被攻擊者設計的數(shù)據(jù)類型的組織機構，與那些在公共領域高度可見的，擁有高度需求性數(shù)據(jù)或與爭論性話題相關的組織機構具有不同的威脅情報需求。低調的組織會對使用威脅情報去幫助回答下述感興趣的問題：可能為數(shù)字威脅充當催化劑的，圍繞組織機構的物理環(huán)境下正在發(fā)生的關鍵發(fā)展是什么？如果知識產(chǎn)權或者機密信息被公開暴露，組織機構是否有行動計劃？會有什么后果？組織機構是如何處理的？組織機構最大的恐懼是什么？組織機構或管理層最不想讀到或在電視上看到的一件事是什么？組織機構是否有步驟去避免此類的事件發(fā)生？是否有競爭對手巧合（或故意）地帶著新產(chǎn)品或新理念與組織機構同時進入市場？是否有跡象表明他們使用了一些本組織機構的知識產(chǎn)權？未知世界里是否有漏洞和惡意代碼正在被活躍地利用？哪一種是適用于組織機構的環(huán)境的？什么樣的預防措施應當被用來保護（組織機構）去對抗這些威脅？是否有任何關于組織機構或是它的用戶的潛在的敏感數(shù)據(jù)被放到網(wǎng)上？這包括收購或合并信息、目標市場、目標客戶、提案、合同或其他商業(yè)戰(zhàn)略。是否有關于組織機構的消極評論被發(fā)到網(wǎng)上？如果是這樣，這些評論的根據(jù)是什么？是否有任何組織機構的技術知識產(chǎn)權被發(fā)布到網(wǎng)上，或者與特定的競爭機構有關聯(lián)？這包括組織機構的特殊知識產(chǎn)權，例如源代碼、產(chǎn)品設計、工程文檔、藍皮書和與技術相關的特殊信息。作為對比，一個涉及高度政治化產(chǎn)業(yè)的國際化組織會需要與下述主題相關的威脅情報：組織機構是否已被其他活躍團體和攻擊者作為目標？誰在將組織機構作為目標？為什么？這些團體的復雜程度怎么樣？是否有任何競爭者或工業(yè)伙伴團體（最近）被作為目標？誰在指揮這些攻擊？什么樣的技術在攻擊中被使用？哪些又未被攻擊廠商使用？這些被視為目標的組織是否有過成功地化解這些攻擊（的經(jīng)歷）？如果有過，是怎樣做的？是否有任何潛在的威脅情報與即將到來的經(jīng)濟或工業(yè)會議或組織即將參加的事件有關聯(lián)？如果如此，提供一份與這個事件有關的潛在網(wǎng)絡威脅的概覽，和應當被采取的預防措施。組織機構是否有保密協(xié)議（NDAs）或安全保障用來預防商業(yè)間諜。在與組織有業(yè)務往來的所有合同方或第三方機構之間，是否有一個一致同意的安全策略。結論術語“情報”、“網(wǎng)絡情報”、“網(wǎng)絡威脅情報”已經(jīng)被廣泛使用和互換，而且經(jīng)常不正確地在信息安全社區(qū)里被使用。它們被相當不正確地用來描述自動化入侵數(shù)據(jù)饋送服務，或可以被用來進一步使用以辨識和緩解威脅的數(shù)據(jù)。然而，每個術語的特定本質建立在（真正）理解到底什么是情報和它是怎樣獲取的基礎之上。將安全行業(yè)術語與傳統(tǒng)情報社區(qū)對齊以做統(tǒng)一化的理解是重要的。網(wǎng)絡空間是一個新的西大荒（WildWest）。與之相關的技術增長速率遠快于與政府或安全相關的技術增長率，而如果這些問題得不到完全和徹底的解決，這個間隙只會越來越寬。包括網(wǎng)絡情報的廣大范圍，被嚴格限制在攻擊者和目標方之間的技術能力內。這忽略了它更大的能力——去給出對組織機構環(huán)境和實體域外在表現(xiàn)的另外關鍵方面的360度全方位透視。當情報被理解和合理使用后，可以產(chǎn)生巨大的價值。通過辨識正在出現(xiàn)的和已被視為目標的威脅，它可以變成一個強有力的預測和分析工具，并可以引導一個組織機構的方式，在戰(zhàn)略、可操作和策略性的層面應對真實威脅?？捎脕硇袆拥耐{情報是一個在考慮確定的目標和指標的前提下，嚴格的執(zhí)行流程后的結果。近幾年來網(wǎng)絡安全領域的改變已經(jīng)變成威脅情報服務（發(fā)展）的主要驅動力。在組織機構尋找新的威脅情報來源的同時，他們需要對安全產(chǎn)業(yè)提供的不同類型的情報有一個（良好）的理解。本文的目的就是為了幫助讀者對情報社區(qū)定義的情報的核心概念有一個細致的了解，并且去幫助區(qū)分現(xiàn)今行業(yè)內提供的不同威脅情報服務類型。引用CIAconsumer’sguidetointelligence(CIA,