1.4.4　威脅情報

為了實現有效的主動防御，一個關鍵要素是針對攻擊者的情報消費能力，通過情報驅動環境中的安全變更、安全流程和行動措施。情報消費措施屬于主動防御類別，但情報生產措施卻屬于威脅情報類別。正是在威脅情報這一階段，分析人員通過各種方法挖掘關于攻擊者的數據、信息和情報。

在網絡安全領域，對于數據、信息和情報之間關系的理解偏差導致“情報”一詞被濫用。威脅情報處理及信息與情報之間的關系如圖1-8所示。

圖1-8對情報生產過程做了直觀的演示，很多廠商熱衷于兜售情報生成工具，這也導致了“可供行動的情報”一詞被頻繁濫用。工具不會創建情報，只有分析人員才能產出情報。這些工具和系統有助于從操作環境中收集數據，這些環境可以是企業自身的網絡環境，也可以是攻擊者的系統環境。可將數據處理成為有用的工具和系統，或是有價值的投入目標。

圖1-8　威脅情報處理及信息與情報之間的關系

然而，分析和生產上述信息并執行（例如競爭性假設分析方法），只能由分析人員完成。這些分析人員理解需要做出的內部決策或行動，分析各種來源的信息以生成情報評估，并在此基礎上給出制定內部決策和行動方案的建議。單獨利用工具無法完成這一過程。

網絡安全領域中的情報涉及一系列活動。例如，某些組織通過訪問攻擊者所處網絡收集和分析信息，就是一種網絡情報行動。被攻擊者竊取的文件會執行自動通報（call home），這種文件存儲在攻擊者的網絡內部，會向防御者傳送攻擊者的確切位置。防御者將收集到的這些信息提供給國家政策制定者、軍隊或其他人員作為情報。同樣，從蜜罐角度分析攻擊行為的研究人員，可在不向攻擊者采取行動的情況下，收集相關信息并進行分析，以創建有關攻擊者的情報。此外，分析人員從已被攻陷的系統中收集數據，從而得出面臨威脅的情報。上述示例，在網絡安全社區中被定義為威脅情報。

威脅情報是一種特定類型的情報，旨在為防御者提供有關攻擊者的知識，幫助防御者了解攻擊者的行動、能力和TTP（戰術、技術和過程）信息。我們的目標是從攻擊者身上獲得經驗，以便更好地識別威脅和做出響應。威脅情報是非常有用的，但由于缺乏對情報領域的深入理解，許多組織并沒有充分利用它，導致了許多錯誤認知。想要正確利用威脅情報，至少要做到以下3點。

●防御者必須知道什么能夠對其構成威脅（有機會、能力和意圖傷害他們的攻擊者）。

●防御者必須能使用情報驅動環境中的應對措施。

●防御者必須了解生產情報和消費情報之間的區別。

目前，大多數組織并不了解它們面臨的威脅環境，這意味著無法確定攻擊者和攻擊能力構成的威脅。如果沒有充分理解組織的架構安全和被動防御，就不可能確定系統中是否存在某個已識別的漏洞，也就無法確定那些漏洞是否能夠被修復或者已經被修復，因此也就不能準確表述風險情況。防御者必須熟悉（所承載）業務流程、安全狀態、網絡拓撲和網絡與系統的架構安全體系，這樣才能有效利用威脅情報。同樣，他們必須熟悉組織內部的運作機制，并且能夠獲得來自管理層的支持，才能（根據情報）采取防護行動。如果情報不被使用，就沒有情報“失敗”一說。

此外，情報生產和情報消費對分析人員、過程和工具方面的要求有顯著差異。情報生產通常需要大量的資源投入、廣泛的數據收集以及聚焦目標的所有信息。情報消費要求分析人員熟悉威脅情報作用的環境，了解可能受到影響的業務操作和技術，并且能夠將情報以防御者可用的形式呈現出來。情報生產是一種情報行動，而情報消費則是主動防御類別中的一個角色。

簡單地說，組織必須了解自己、了解威脅，并授權相關人員使用情報信息進行防御，才能正確使用威脅情報。因為必須建立在標尺模型的其他4個類別的基礎之上，所以情報這一概念的實際應用會更加復雜。正是上述核心基礎使得威脅情報對防御者的意義重大，如果沒有威脅情報，會大大降低情報的價值。