比賽第73分鐘，中國隊4:0不丹。趁著這個時間，一邊看球，一邊總結(jié)下最近做的工作。

Cyber Threat Intelligence 網(wǎng)絡(luò)威脅情報系統(tǒng)，作為RSA2013+起就一直吵的非常熱的話題，在國內(nèi)竟然找不到很多消息源，怪不得說國內(nèi)的安全界從整體上落后國外兩三年(是整體上而言)。

但是也不是說沒有途徑。各大安全廠商必然炒的很熱，畢竟這是和市場價值相關(guān)的部分。但相對獨立而言，有幾個微信公眾平臺做的很棒。比如老大推薦給我的 sec-un.org ,里面有很多大咖已經(jīng)關(guān)注了這個行業(yè)很久了。

此時比賽76分鐘，楊旭再下一城，比分5:0。

老大在第一天就告訴我，CIT這個東西，想法非常棒，也很有價值，就是這東西我們必須讓它落地，而不是讓他掛在天上。晚上我在FreeBuf上發(fā)過一帖，試問關(guān)于威脅情報系統(tǒng)大家的看法，很慘，基本上沒人理，最后有個網(wǎng)友回答說這是舊瓶裝新酒，不對，舊瓶裝舊酒。

比賽83分鐘，于大寶頭球擺渡，比分6:0.

stix/taxii 作為一項標(biāo)準(zhǔn)，它做的什么。其實就是如何組織情報(stix)，以及情報怎么傳輸(taxii)。下面這幅圖很好的說明了這個工作過程。

顏色有些淺，我是直接從INTELWORKS 上直接截圖下來的。

試想一下，如果節(jié)點bank 遭遇了一次攻擊，若平臺上記錄了一次威脅情報，那么通過taxii傳播到服務(wù)器上去，然后各大同盟poll 下來，那么等于給每個同盟都打上了預(yù)防針。

這種情況就有一個大家一直提到的信任 問題。因為我也對企業(yè)之間的信任不了解，大致推測解讀為以下幾點：

廠商A遭遇了攻擊，不共享到taxii服務(wù)器上去。等待別的同盟也遭受攻擊。

廠商A遭遇了攻擊，也共享到了taxii服務(wù)器上去，但是篡改了黑名單等信息，傳上去的是偽造后的信息。

覺得這樣的想法很不地道，但是現(xiàn)實上這樣的事情也發(fā)生過。這也就是為什么一個標(biāo)準(zhǔn)的通過有多家廠商都要參與進(jìn)來，做不到有利可圖，但至少不會被人背后來一刀。

話說回來，這種威脅情報共享機(jī)制到底之前存不存在。

存在，最簡單的VirusTotal，和瀚海源的B超，就是這么一個信譽(yù)庫，準(zhǔn)確的說，上面兩個網(wǎng)站提到的都是惡意代碼黑名單和C2(command and control) 惡意域名服務(wù)器。只不過以前是它們幾個廠商面向公共的服務(wù)，而現(xiàn)在變成了我們自己都是VirusTotal，利用集體的力量來分享。VirusTotal使用的是惡意服務(wù)上傳檢測，但是企業(yè)之間的情報都是真槍實彈的，消息更為準(zhǔn)確，防范的價值更高。

每個企業(yè)都有風(fēng)險，但從整體而言，這些風(fēng)險都是最小代價的。既然人人都想拿到別人的教訓(xùn)，也要做好把自己家丑揚名于外的準(zhǔn)備，當(dāng)然，stix/taxii協(xié)議中已經(jīng)對這些涉及到企業(yè)隱私的信息做了規(guī)定，基本上不會暴露這些信息。之所以這么做，我個人感覺還是為了更好，沒有顧忌的去分享情報。我為人人，人人為我。

關(guān)注cit，不如去關(guān)注各大安全廠商賣的服務(wù)涉及了那些地方，收費的地方是什么，從這個角度上就可以知道情報的價值了。

然而還有一個普遍待解決的問題造就了情報共享的提出，那就是時效性。比如看到之前的例子上說有60個域名一個小時候就失效了，這樣的信譽(yù)庫對于存儲而言根本就沒有太大的意義。但是，威脅情報也沒有解決這個問題。對于當(dāng)時的情報有效，過段時間之后就無效的那些，該怎么辦，舍棄還是備案?

我個人的想法是建索引，刪除實體。即使將來有用的時候，再重新poll下來即可，參考虛擬內(nèi)存文件交換的過程與提出的緣由。

本來是想整理一下這些相關(guān)架構(gòu)的技術(shù)文檔的，結(jié)果又隨便扯多了。

比賽也結(jié)束了。國足6:0不丹。經(jīng)歷了低谷之后，人總會向前走的，只要你能抬起頭，還有敢抬起頭。