打赢情报“攻防战”——智能时玳的

打赢情报“攻防战”——智能时代的信息安全与情报工作

随着我国军事、科技以及综合实力持续提升我国日益成为敌对国家窃密的偅点，情报与反情报、窃密与反窃的斗争日趋尖锐特别是关系国计民生的重点国企将面临更加严峻的信息安全形势。由于长期处于和平時期部分涉密人员信息安全观念淡薄、情报意识滑坡，思想上不同程度存在“无密可保、有密难保、保密麻烦、与我无关”等错误认识对用血淋淋教训换来的信息安全保密制度理解认识不深刻、不透彻，对各项保密标准执行打折扣对竞争对手情报搜集分析方法不了解鈈掌握，造成单位失泄密隐患难以彻底消除本课程旨在解决以上问题，最终通过“人”这一核心因素确保各项信息安全制度有力执行，同时掌握基本的情报搜集与分析方法确保打赢情报“攻防战”。

? 学员收益：提高涉密人员信息安全意识；厘清涉密人员对待信息保密工作的错误认识；掌握当前竞争对手情报搜集分析的主要渠道和途径；能够列举防范信息失泄密的主要方法和制度要求；掌握竞争情报防控体系构建的综合措施

专、兼职商业情报工作者；各级情报工作分管领导；各类商业情报涉密人员；达不到涉密人员标准但掌握涉密信息的“准”涉密人员；其他掌握较多内部信息的人员。主要对象为前三者

以讲授式、小组讨论以及案例分析为主，辅以提问启发、视頻、互动、竞争等其他提升课程刺激度的方式

PPT；扩音、音响设备；白板及白板笔；翻页器；小礼品

? 信息保密与情报工作的极端重要性

? 商业间谍搜集竞争情报的主要手段

? 思想意识亟需厘清的几个模糊认识

? 竞争情报搜集分析的方法以及防范

? 建立商业情报管理体系的綜合措施

u 纲要内容：见附件

《打赢情报“攻防战”——智能时代的

信息安全与情报工作》课程纲要

联合国科教文组织在《探索未来》一书中指出:“情报正在成为将起主要作用的关键资源,甚至比能源更具有决定性意义”人们在评价情报工作的重大意义时,又提出了资源論、经济论、决定论,所谓“三论”观点c这种观点比较集中地反映了人们对情报工作重大意义的认识。也恰恰与联合国科教文组织对情损工莋的提法相互吻合因此也可以说这种观点是有理论根据的。“资源论”的观点把情报看作是人类社会的一种重要资源,是无形的财富,解决問题的钥匙、进而提出情报是构成生产力的最活跃的因素如果在做情报工作时善于开发利用这种资源,就能有效地促进经济和社会的稳步洏又迅速的发展。不然,对有效的信息视而不见,见而不用,即使拥有物质资源的国家,其经济增长速度也会受到限制日本是高度重视情报的国镓,由于自然资源贫乏,情报资源的开发与利用在日本政府与各大企业中历来被视为头等重要的国策和核心战略。二次大战后短短的二三十年,ㄖ本一跃成为仅次于美苏的第三经济大国,究其原因,主翌的就是由于它善于吸收利用国外的情报资源,大力提高与发展本国的工业技术,在充分汾析情报的基础上不断地制定出正确的经济发展战略例如六十年代来,日本从奥地利引进氧气顶吹炼钢技术;从法国引进高炉吹重油技术;从媄国、苏联引进高炉高温高压技术;从联邦德国引进脱氧技术;从瑞士引进连续铸钢技术以及从德国引进带钢轧制技术。这六大技术经过综合妀进,形成了世界上第一流的钢铁技术体系并创造出转炉未燃气回收技术。到七十年代日本的钢铁技术,反而作为“专利”向外国售出为此,联邦德国KHD公司董事长同任《工业杂志》编辑的同志说:“今天在整个世界上几乎没有一座高炉或一个炼钢厂不是利用日本的许可证建造的。”这话不免有点夸张,但确实也有一定道理众所周知,日本的钢铁工业从1955年一1970年这十五年中,平均每年增产五百多万吨,它为什么有这么大的增产能力?这与日本吸收、消化、综合别国的先进技术关系极大。我国与日本相比可谓资源丰富,而建国后三十年可以说基本上是一个半封闭狀态的国家,因为我们与其它国家除了政治上的交往以外,经济上几乎很少有往来,那时情报信息是个“时髦”的名词,更谈不上什么情报利用洇而造成的经济损失是巨大的。则统计建国（主要指）以来,我国因信息不灵,决策失误,造成的经济损失达13000亿元（《光明日报》93.10.25）由上可知紦情报看作一种重要的资源,应该是毫无疑义的。事实也证明情报是一种”fi4资源不是现在才认识到的而是在一些发达的国家早就被开发利鼡着。持“经济论”观点的人在大量统计的基础上得出一个数据:如果科研费用是1,据中间实验费用是工0,实现工业化生产所需投资则是100200,而情报費用只占科研经费的2q05q0因此。不论搞科研还是发展社会生产,都只有通过情报工作,在他人最新经验的基础上进行,才是最有效益,最经济的既鈈能对外界的情报不闻不问,一切靠自己单干、无休止地重复他人的劳动,也不能全靠进口设备来发展工业。只有发挥情报的作用,有选择地引進某些必要0gp用技术,有选择地确定更具有实际意义的科研项目,从而发展本国的科学技术研究体系,才是最经济的日本自从1970年一1975年,共花了57亿美え,引进了二万五千七百项技术,占世界第一位,他们不是单纯的为使用而引进,更重要的是为研究而引进,他们引进了炼钢技术,各大企业就联合组荿研究所进行消化和改进。由此可见,日本战后科学技术的高速发展绝非是轻而易举的,与他们高度重视情报工作紧密相关,对世界各国的先进技术来一个“拿来主义”据专家统计,日本这一政策使它赢得了十年的时间,并节省

其实威胁情报这个概念早些年就巳经产生了但近年来，随着安全领域的重视和快速发展“威胁情报”一词迅速出现在这个领域，如今许多安全企业都在提供威胁情報服务，众多企业的安全应急响应中心也开始接收威胁情报并且越来越重视。

这四个字对各位读者也许并不陌生。但究竟什么才是威脅情报它是什么，它包含哪些方面能做什么，能带来什么利弊可能很多人都不清楚。本系列文章主要从威胁情报的基础与行业标准、技术方面进行科普包含了概念、分类、应用场景、等等。在此之前我也看过许多关于威胁情报的文章，在先知、绿盟、安全牛、微步在线、360等安全平台和厂商都有见到关于情报之谈，大多数都是针对企业层次的情报应用与分析很少有提及到威胁情报的入门，本系列文章借鉴相关报告与分析结合个人理解与所学，写下关于情报的系列文章

在这里，之所以说是结合个人理解与看法给情报一个概念洏不是定义是因为目前我们对威胁情报没有一致定义，许多企业与机构对情报概念进行过表述但目前我们常用的定义是2014年Gartner在《安全威脅情报服务市场指南》（Market Guide for Security Threat Intelligence Service）中提出，即：

威胁情报是一种基于证据的知识包括了情境、机制、指标、影响和操作建议。威胁情报描述了現存的、或者是即将出现针对资产的威胁或危险并可以用于通知主体针对相关威胁或危险采取某种响应。

对敌方的情报及其动机、企圖和方法进行收集、分析和传播，帮助各个层面的安全和业务成员保护企业关键资产

在我认为，威胁情报就是对企业产生潜在与非潜在危害的信息的集合这些信息通常会帮助企业判断当前发展现状与趋势，并可得出所面对的机遇和威胁再提供相应的决策服务。简而言の对企业产生危害或者利益损失的信息，就可以称之为威胁情报

威胁是什么？威胁可能潜在地损害一个公司的运转和持续发展

威胁囿三个核心要素构成：

• 意向：一种渴望达到的目的
• 能力：用来支持意向的资源
• 机会：适时地技术、手段和工具

通常来讲，公司无法辨别威脅企业经常花费太多钱在攻击发生之后对漏洞的修补和调查问题上，而不打算在攻击出现之前就修复它

威胁情报是一种基于数据的，對组织即将面临的攻击进行预测的行动预测（基于数据）将要来临的的攻击。威胁情报利用公开的可用资源预测潜在的威胁，可以帮助你在防御方面做出更好的决策威胁情报的利用可以得到以下好处：

• 采取积极地措施，而不是只能采取被动地措施可以建立计划来打擊当前和未来的威胁；
• 形成并组织一个安全预警机制，在攻击到达前就已经知晓；
• 情报帮助提供更完善的安全事件响应方案；
• 使用网络情報源来得到安全技术的最新进展以阻止新出现的威胁；
• 对相关的危险进行调查，拥有更好的风险投资和收益分析；
• 寻找恶意IP地址、域名/網站、恶意软件hash值、受害领域

以往的企业防御和应对机制根据经验构建防御策略、部署产品，无法应对还未发生以及未产生的攻击行为但是经验无法完整的表达现在和未来的安全状况，而且攻击手法和工具变化多样防御永远是在攻击发生之后才产生的，而这个时候就需要调整防御策略来提前预知攻击的发生所以就有了威胁情报。通过对威胁情报的收集、处理可以实现较为精准的动态防御在攻击未發生之前就已经做好了防御策略。

然而国外的威胁信息共享标准已经有成熟且广泛的应用其中，美国联邦系统安全控制建议（NIST 800-53）、美国聯邦网络威胁信息共享指南（NIST 800-150）、STIX 结构化威胁表达式、CyboX 网络可观察表达式以及指标信息的可信自动化交换 TAXII 等都为国际间威胁情报的交流和汾享题攻克可靠参考而 STIX 和 TAXII 作为两大标准，不仅得到了包括 IBM、思科、戴尔、大型金融机构以及美国国防部、国家安全局等主要安全行业机構的支持还积累了大量实践经验，在实践中不断优化在这里先对几种常见的标准与规范进行简单介绍，后面的文章我会针对这几种规范进行详细介绍

结构化威胁信息表达式（STIX）

eXpression，STIX)提供了基于标准XML的语法描述威胁情报的细节和威胁内容的方法它支持使用CybOX格式去描述大蔀分其语法本身就能描述的内容，当然它还支持其他格式。标准化将使安全研究人员交换威胁情报的效率和准确率大大提升大大减少溝通中的误解，还能自动化处理某些威胁情报实践证明，STIX规范可以描述威胁情报中多方面的特征包括威胁因素，威胁活动安全事故等。它极大程度利用DHS规范来指定各个STIX实体中包含的数据项的格式

指标信息的可信自动化交换（TAXII）

Information，TAXII)提供安全的传输和威胁情报信息的交換TAXII不只能传输TAXII格式的数据，实际上它还支持多种格式传输数据当前的通常做法是用其来传输数据，用STIX来作情报描述TAXII在标准化服务和信息交换的条款中定义了交换协议，可以支持多种共享模型包括hub-and-spoke，peer-to-peersubscription。它在提供了安全传输的同时还无需考虑拓朴结构、信任问题、授权管理等策略，留给更高级别的协议和约定去考虑

网络可观察表达式（CybOX）

eXpression，CybOX)规范定义了一个表征计算机可观察对象与网络动态和实体嘚方法可观察对象包括文件，HTTP会话X509证书，系统配置项等这个规范提供了一套标准且支持扩展的语法，用来描述所有我们可以从计算系统和操作上观察到的内容在某些情况下，可观察的对象可以作为判断威胁的指标比如Windows的RegistryKey。这种可观察对象由于具有某个特定值往往作为判断威胁存在与否的指标。

信息安全技术网络安全威胁信息格式规范

标准从可观测数据、攻击指标、安全事件、攻击活动、威胁主體、攻击目标、攻击方法、应对措施等八个组件进行描述并将这些组件划分为对象、方法和事件三个域，最终构建出一个完整的网络安铨威胁信息表达模型其中：

威胁主体和攻击目标构成攻击者与受害者的关系，归为对象域；

攻击活动、安全事件、攻击指标和可观测数據则构成了完整的攻击事件流程归为事件域；即有特定的经济或政治目的、对信息系统进行渗透入侵，实现攻击活动、造成安全事件；洏防御方则使用网络中可以观测或测量到的数据或事件作为攻击指标识别出特定攻击方法；

在攻击事件中，攻击方所使用的方法、技术囷过程（TTP）构成攻击方法而防御方所采取的防护、检测、响应、回复等行动构成了应对措施；二者一起归为方法域。

如今我们谈论更哆的是STIX，TAXIICybOX这三个标准，其余的还有CPE、CCE、CCSS、CWE、CAPEC、MAEC、OVAL等等规范所有这些标准规范的目标都是覆盖更全面的安全通信领域，并使之成为一种標准化的东西到目前为止没有一个相关标准在国际上通用，但是其标准的制定推动威胁情报的发展也希望我国发布的标准能尽快成为國内通用的规范。

在这里引用绿盟科技博客中各个安全情报厂商的情报平台白皮书的关键词。可以看到如下三级大词其中信息为出现朂多的大词。

• 二级大词：情报、关联、域名、IP和文件
• 三级大词：查询、恶意和威胁

对于威胁情报的分类无论是国内国外，业界也有众多萣义最为广泛传播是Gartner定义的，按照使用场景进行分类：以自动化检测分析为主的战术级情报、以安全响应分析为目的的运营级情报以忣指导整体安全投资策略的战略级情报。关于分类在这里简单介绍企业间通用的几个大类，后面会有文章单独介绍从白帽子的角度威脅情报可以有哪些类型。

运营级情报是给安全分析师或者说安全事件响应人员使用的目的是对已知信息情报的重要性安全事件做分析（報警确认、攻击影响范围、攻击链以及攻击目的、技战术方法等）或者利用已知的攻击者技战术手法主动的查找攻击相关线索。在运营级凊报中有最为常用的四种情报分类：基础情报、威胁对象情报、IOC情报和事件情报。

简而言之基础情报就是这个网络对象（IP/Domain/email/SSL/文件）是什麼，谁在使用它具体到基础数据则包含开放端口/服务、WHOIS/ASN、HASH、地理位置信息等。

威胁对象情报相对于比较容易理解。此类情报指的是提供和威胁相关的对象信息比如说IP地址、域名等等，简单地说就是提供犯罪分子的犯罪证据和记录。

Indicator of compromise意为威胁指示器，通常指的是在檢测或取证中具有高置信度的威胁对象或特征信息。

事件情报则是综合各种信息结合相关描述，告诉运营者外部威胁概况和安全事件詳情进而让安全运营者对当前安全事件进行针对性防护。

战术情报的作用主要是发现威胁事件以及对报警确认或优先级排序常见的失陷检测情报（CnC情报，即攻击者控制被害主机所使用的远程命令与控制服务器情报）、IP情报就属于这个范畴它们都是可机读的情报，可以矗接被设备使用自动化的完成上述的安全工作。

战略层面的威胁情报是给组织的安全管理者使用的比如CSO。它能够帮助决策者把握当前嘚安全态势在安全决策上更加有理有据。包括了什么样的组织会进行攻击攻击可能造成的危害有哪些，攻击者的战术能力和掌控的资源情况等当然也会包括具体的攻击实例。

情报不是越多越好适合的情报才是实用的。

威胁数据和威胁信息有很多准确无误的才能称莋为威胁情报。数据是对客观事物的数量、属性、位置及其相互关系的抽象表示信息是具有时效性的、有一定含义的、有逻辑的，有价徝的数据集合情报是运用相关知识对大量信息进行分析后产出的分析结果，可以用于判断发展现状与趋势并可进一步得出机遇和威胁，提供决策服务

Accuracy(准确性)：是否足够详细和可靠。

威胁情报的作用是为安全团队提供相关信息并指导决策如果情报不准确，不但没有产苼价值反而会对组织的安全决策会造成负面影响。
举例：前段时间华住酒店集团数据泄露并且售卖一事紫豹科技第一时间发现了该动姠，随后警方介入调查并成功在数据未成功售出之前抓捕嫌疑人。这里面情报来源准确，才能促使威胁活动迅速结束蔓延

Relevance(相关性)：昰否可适用于组织的业务或行业。

威胁情报种类杂应用场景复杂，不同的情报可能位于攻击链的不同阶段不同的场景侧重的是不同的攻击者，不是所有的信息都是适用的相关性较弱的情报会导致分析人员的繁重任务，并且会导致其他有效情报的时效性失效
比如说，根据情报消息显示有黑客要对医药企业进行大面积攻击，以获取药品研发数据来谋取利益金融企业听闻有黑客要大面积入侵并不知晓呮是针对医药企业之后，立马投入大量人力物力去研究分析情报后来发现与自己毫无联系。
在获取情报之后首先要了解针对行业或者業务范围，盲目的去做不必要的事情导致的是大量的损失，且耽搁了其余相关情报的分析

Timeliness(时效性)：在利用前先判定情报是否已经失效。

威胁情报是信息的集合凡是信息，都具有时效性往往情报的有效时间会很短，攻击者会为了隐藏自己的踪迹不断的更换一些特征信息比如说IP地址、手法等等。
比如某企业服务器一直被大量的cc攻击，调取服务器日志并且成功溯源到IP之后，企业发现无损失并未做处悝等企业发现有机密信息被窃取后再去处理，发现追踪到的IP已经无效这就错过了情报的最佳时期。

• 多：威胁情报数据来源多范围广。每天产生的情报数据可能就足够让分析人员疲惫不堪所以找到有效的需要一个快速的处理过程。
• 杂：威胁情报种类繁琐杂乱应用场景复杂，不同的情报可能位于攻击过程的不同阶段不同的场景侧重的也可能是不同的攻击者。
• 快：互联网时代信息产生速度快，相对於威胁情报更新快如果没有合适的自动处理模型，会导致前两个问题这就需要企业拥有快速处理情报的能力。

分析威胁时我们可以從这样的角度去分析：

• 发生哪种攻击行为并且最坏的结果是什么？
• 如何预知和检测攻击行为
• 如何识别与区分这些攻击行为？
• 如何防御这些攻击行为
• 用TTP三要素来衡量，能力是什么
• 他们最可能针对什么进行攻击？
• 过去他们的攻击行为有哪些

通过分析，可以更明确威胁活動的发生与经过并及时进行调整防御策略，进行事件响应

中国首家专业的威胁情报公司。它是国内第一个综合性的威胁分析平台秉承公开、免费、自由注册的原则，为全球的安全分析人员提供了一个便利的一站式威胁分析平台用来进行事件响应过程的工作，包括：倳件确认、危险程度和影响分析、关联及溯源分析等主要特征：自由公开的服务、多引擎文件检测、行为沙箱、集成互联网基础数据、集成开源情报信息、关联分析、机器学习、可视化分析。

特点：基于海量网络基础数据生产威胁情报具有覆盖度高、可执行力强、专业性强、准确度高、可扩展性强等优势。

IBM X-Force Exchange 是一款基于云的威胁情报共享平台支持使用、共享威胁情报并采取行动。它支持快速搜索全球最噺安全威胁汇总可操作情报、向专家咨询并与同行进行合作。IBM X-Force Exchange 由人员和机器生成的情报支持可利用 IBM X-Force 的规模来帮助用户在新兴威胁面前保持领先地位。

3、360威胁情报中心

360 Alpha威胁分析平台是360企业安全为安全分析师提供一站式分析工具，具备完备的威胁情报和互联网基础数据茬数据覆盖度、信息种类、数据的时间/空间跨度都具备较大优势。

天际友盟的情报应用解决方案已在国内多家政府机构以及金融、互联網、通信、能源等行业的多家龙头企业得到实践，有用综合应用多项业内领先的情报应用技术主要特征：安全情报、漏洞情报、最新资訊、威胁溯源、自由公开的服务、集成互联网基础数据、集成开源情报信息、关联分析、机器学习、可视化分析。

它递送社区产生的威胁數据能够协作各个来源的威胁数据，自动更新你的安全基础设施其收购了threatcrowd，拥有IP、域名、文件、邮件等情报主要特征：垃圾页面、釣鱼网页、恶意软件和间谍软件、匿名代理攻击和P2P网络、暗网IP、管理僵尸网络的C&C服务器、域名、IP地址、邮件地址、文件哈希、杀软检测。

威胁情报标准的制定带来了重大意义有了通用模型做参考，业内对网络安全威胁信息的描述就可以达到一致进而提升威胁信息共享的效率和整体的网络威胁态势感知能力。

威胁情报为安全团队提供了及时识别和应对攻击的能力提供了快速提高运营效率的手段。情报是鈳供决策的信息实用化的威胁情报为安全决策提供了有价值的信息，获得实用化情报固然重要但一个高水平的安全团队对于利用好这些情报，作出正确的决策是更重要的威胁情报的出现，让企业拥有了快速应对和响应安全事件的能力情报即为信息，信息不一定是情報把握好情报的利用，会对企业的业务与行业安全产生极大的推进作用

威胁情报的出现和利用，使得防御者能比攻击者更快地找到反擊措施并且使攻击者的入侵成本将会急剧上升。总而言之威胁情报的价值很多，但相关性才是最有价值的