威脅情報在國內(nèi)已經(jīng)火了幾年，威脅情報怎么用，具體的使用場景是什么，這方面的話題似乎較少。下面想根據(jù)個人所知，談?wù)勥@方面，不完善準(zhǔn)確的地方也請大家指正。

有些時候情報和威脅情報很容易被劃等號，其實不然。威脅情報(和攻擊者相關(guān))、漏洞情報(和脆弱點相關(guān))、資產(chǎn)情報(內(nèi)部IT業(yè)務(wù)資產(chǎn)和人的信息)，都屬于情報的范疇，但作用和生產(chǎn)維護(hù)方法都不同，需要明確區(qū)分。它們都是安全分析需要的信息，資產(chǎn)和漏洞在多年前就一直被重視，甚至安全建設(shè)就是被認(rèn)為是圍繞著資產(chǎn)和漏洞的?，F(xiàn)實中攻防對抗的不斷演進(jìn)，讓我們不得不進(jìn)入主動安全建設(shè)階段(或者說自適應(yīng)安全架構(gòu)ASA)，我們需要更多的去關(guān)注威脅，讓威脅情報去引領(lǐng)安全建設(shè)，進(jìn)一步的完善檢測、分析、預(yù)測預(yù)防的能力，并由此發(fā)現(xiàn)防御上的不足，給予針對性的完善。這種動態(tài)平衡的安全理念，成為被廣泛接受的安全建設(shè)指導(dǎo)思路。

言歸正傳，下面就具體談?wù)勍{情報的種類?；谡w應(yīng)用場景，我們可以將情報分為3類：以自動化檢測分析為主的戰(zhàn)術(shù)情報、以安全響應(yīng)分析為目的的運(yùn)營級情報，以及指導(dǎo)整體安全投資策略的戰(zhàn)略情報。

戰(zhàn)術(shù)級情報

戰(zhàn)術(shù)情報的作用主要是發(fā)現(xiàn)威脅事件以及對報警確認(rèn)或優(yōu)先級排序。常見的失陷檢測情報(CnC 情報)、IP情報就屬于這個范疇，它們都是可機(jī)讀的情報，可以直接被設(shè)備使用，自動化的完成上述的安全工作。

失陷檢測情報，即攻擊者控制被害主機(jī)所使用的遠(yuǎn)程命令與控制服務(wù)器情報。情報的IOC往往是域名、IP、URL形式(有時也會包括SSL證書、HASH等形式)，這種IOC可以推送到不同的安全設(shè)備中，如NGFW、IPS、SIEM等，進(jìn)行檢測發(fā)現(xiàn)甚至實時阻截。這類情報基本上都會提供危害等級、攻擊團(tuán)伙、惡意家族等更豐富的上下文信息，來幫助確定事件優(yōu)先級并指導(dǎo)后續(xù)安全響應(yīng)活動。使用這類情報是及時發(fā)現(xiàn)已經(jīng)滲透到組織APT團(tuán)伙、木馬蠕蟲的最簡單、及時、有效的方式。

IP情報是有關(guān)訪問互聯(lián)網(wǎng)服務(wù)器的IP主機(jī)相關(guān)屬性的信息集合，許多屬性是可以幫助服務(wù)器防護(hù)場景進(jìn)行攻擊防御或者報警確認(rèn)、優(yōu)先級排序工作的。譬如：利用持續(xù)在互聯(lián)網(wǎng)上進(jìn)行掃描的主機(jī)IP信息，可以防止企業(yè)資產(chǎn)信息被黑客掌握(很多時候黑客對那些主機(jī)開放了SMB端口、那些可能有Struts 2 漏洞比企業(yè)的網(wǎng)管掌握的更清楚);利用在互聯(lián)網(wǎng)進(jìn)行自動化攻擊的IP信息可以用來進(jìn)行Web攻擊的優(yōu)先級排序;利用IDC主機(jī)或終端用戶主機(jī)IP信息可以用來進(jìn)行攻擊確認(rèn)、可疑行為檢測或垃圾郵件攔截;而網(wǎng)關(guān)IP、代理IP等也都各自有不同的作用，相關(guān)場景很多，就不一一列舉了。

運(yùn)營級情報

運(yùn)營級情報是給安全分析師或者說安全事件響應(yīng)人員使用的，目的是對已知的重要安全事件做分析(報警確認(rèn)、攻擊影響范圍、攻擊鏈以及攻擊目的、技戰(zhàn)術(shù)方法等)或者利用已知的攻擊者技戰(zhàn)術(shù)手法主動的查找攻擊相關(guān)線索。第一類活動屬于事件響應(yīng)活動的一部分，第二類活動更是有一個高大上的名字“安全狩獵”。

事件響應(yīng)活動中的安全分析需要本地的日志、流量和終端信息，需要企業(yè)有關(guān)的資產(chǎn)情報信息，也需要運(yùn)營級威脅情報。這種情況下情報的具體形式往往是威脅情報平臺這樣為分析師使用的應(yīng)用工具。有一個和攻擊事件相關(guān)的域名或IP，利用這個平臺就有可能找到和攻擊者相關(guān)更多攻擊事件及詳情，能夠?qū)裟康摹⒓紤?zhàn)術(shù)手法有更多的認(rèn)識;通過一個樣本，我們能夠看到更多的相關(guān)樣本，也可以對樣本的類型、流行程度、樣本在主機(jī)上的行為特征有更多的了解;同樣的利用這個平臺可以持續(xù)的跟蹤相關(guān)的攻擊者使用的網(wǎng)絡(luò)基礎(chǔ)設(shè)施變化;發(fā)現(xiàn)相關(guān)資產(chǎn)是否已經(jīng)被攻擊者所利用，等等。

安全狩獵是一個基于已知技戰(zhàn)術(shù)手法(TTP：技術(shù)、工具、過程)發(fā)現(xiàn)未知威脅事件，同時獲得進(jìn)一步黑客技戰(zhàn)術(shù)相關(guān)信息的過程。安全狩獵的過程需要特定的內(nèi)部日志、流量或終端數(shù)據(jù)和相應(yīng)分析工具，還需要掌握有較豐富對手技戰(zhàn)術(shù)手法的安全分析師。這類情報往往通過基于安全事件的分析報告，或者特定的技戰(zhàn)術(shù)手法數(shù)據(jù)庫得到，國際上在這方面已經(jīng)有較多的進(jìn)展，包括了各類開源或限定范圍的來源可以提供這樣的信息，而國內(nèi)相對較少，并且一些安全事件報告因為這樣那樣的問題，并不能公開發(fā)表最寶貴的TTP層面分析內(nèi)容。

戰(zhàn)略級情報

戰(zhàn)略層面的威脅情報是給組織的安全管理者使用的，比如CSO。一個組織在安全上的投入有多少，應(yīng)該投入到那些方向，往往是需要在最高層達(dá)成一致的。但面臨一個問題，如何讓對具體攻防技術(shù)并不清楚的業(yè)務(wù)管理者得到足夠的信息，來確定相關(guān)的安全投資等策略?這時候如果CSO手中有戰(zhàn)略層面的情報，就會成為有力的武器。它包括了什么樣的組織會進(jìn)行攻擊，攻擊可能造成的危害有哪些，攻擊者的戰(zhàn)術(shù)能力和掌控的資源情況等，當(dāng)然也會包括具體的攻擊實例。有了這樣的信息，安全投入上的決策就不再是盲目的、而是更符合組織的業(yè)務(wù)狀況及面臨的真實威脅。

小結(jié)

威脅情報大體就這三種類型，分別用來支撐安全運(yùn)維人員、安全分析師和安全管理者。但在一篇短文中是不可能覆蓋這些類型的所有使用場景的，并且這也是個創(chuàng)新領(lǐng)域，會不斷的涌現(xiàn)出更多的應(yīng)用場景和方式，希望能聽到更多的聲音，告訴大家遇到的、想到的。