1.4.4　威胁情报

为了实现有效的主动防御，一个关键要素是针对攻击者的情报消费能力，通过情报驱动环境中的安全变更、安全流程和行动措施。情报消费措施属于主动防御类别，但情报生产措施却属于威胁情报类别。正是在威胁情报这一阶段，分析人员通过各种方法挖掘关于攻击者的数据、信息和情报。

在网络安全领域，对于数据、信息和情报之间关系的理解偏差导致“情报”一词被滥用。威胁情报处理及信息与情报之间的关系如图1-8所示。

图1-8对情报生产过程做了直观的演示，很多厂商热衷于兜售情报生成工具，这也导致了“可供行动的情报”一词被频繁滥用。工具不会创建情报，只有分析人员才能产出情报。这些工具和系统有助于从操作环境中收集数据，这些环境可以是企业自身的网络环境，也可以是攻击者的系统环境。可将数据处理成为有用的工具和系统，或是有价值的投入目标。

图1-8　威胁情报处理及信息与情报之间的关系

然而，分析和生产上述信息并执行（例如竞争性假设分析方法），只能由分析人员完成。这些分析人员理解需要做出的内部决策或行动，分析各种来源的信息以生成情报评估，并在此基础上给出制定内部决策和行动方案的建议。单独利用工具无法完成这一过程。

网络安全领域中的情报涉及一系列活动。例如，某些组织通过访问攻击者所处网络收集和分析信息，就是一种网络情报行动。被攻击者窃取的文件会执行自动通报（call home），这种文件存储在攻击者的网络内部，会向防御者传送攻击者的确切位置。防御者将收集到的这些信息提供给国家政策制定者、军队或其他人员作为情报。同样，从蜜罐角度分析攻击行为的研究人员，可在不向攻击者采取行动的情况下，收集相关信息并进行分析，以创建有关攻击者的情报。此外，分析人员从已被攻陷的系统中收集数据，从而得出面临威胁的情报。上述示例，在网络安全社区中被定义为威胁情报。

威胁情报是一种特定类型的情报，旨在为防御者提供有关攻击者的知识，帮助防御者了解攻击者的行动、能力和TTP（战术、技术和过程）信息。我们的目标是从攻击者身上获得经验，以便更好地识别威胁和做出响应。威胁情报是非常有用的，但由于缺乏对情报领域的深入理解，许多组织并没有充分利用它，导致了许多错误认知。想要正确利用威胁情报，至少要做到以下3点。

●防御者必须知道什么能够对其构成威胁（有机会、能力和意图伤害他们的攻击者）。

●防御者必须能使用情报驱动环境中的应对措施。

●防御者必须了解生产情报和消费情报之间的区别。

目前，大多数组织并不了解它们面临的威胁环境，这意味着无法确定攻击者和攻击能力构成的威胁。如果没有充分理解组织的架构安全和被动防御，就不可能确定系统中是否存在某个已识别的漏洞，也就无法确定那些漏洞是否能够被修复或者已经被修复，因此也就不能准确表述风险情况。防御者必须熟悉（所承载）业务流程、安全状态、网络拓扑和网络与系统的架构安全体系，这样才能有效利用威胁情报。同样，他们必须熟悉组织内部的运作机制，并且能够获得来自管理层的支持，才能（根据情报）采取防护行动。如果情报不被使用，就没有情报“失败”一说。

此外，情报生产和情报消费对分析人员、过程和工具方面的要求有显著差异。情报生产通常需要大量的资源投入、广泛的数据收集以及聚焦目标的所有信息。情报消费要求分析人员熟悉威胁情报作用的环境，了解可能受到影响的业务操作和技术，并且能够将情报以防御者可用的形式呈现出来。情报生产是一种情报行动，而情报消费则是主动防御类别中的一个角色。

简单地说，组织必须了解自己、了解威胁，并授权相关人员使用情报信息进行防御，才能正确使用威胁情报。因为必须建立在标尺模型的其他4个类别的基础之上，所以情报这一概念的实际应用会更加复杂。正是上述核心基础使得威胁情报对防御者的意义重大，如果没有威胁情报，会大大降低情报的价值。