安全是一場攻防戰(zhàn)，那么，如今這樣的攻防戰(zhàn)發(fā)展到了什么level了呢？日前，安全領(lǐng)域的大神們進(jìn)行了一場閉門研討 。大神們表示，如今要想保證自己的安全，你不僅需要武器，還需要偵察兵，需要一份威脅情報(bào)。

納尼？威脅情報(bào)是什么鬼？

互聯(lián)網(wǎng)安全曾經(jīng)歷經(jīng)了流氓互毆，俠客對決、黑社會火并等等階段，現(xiàn)在已經(jīng)形成了攻擊者有組織有預(yù)謀，防御者有偵查有戰(zhàn)術(shù)的局面——無論是攻擊還是防御，都超越了點(diǎn)對點(diǎn)的戰(zhàn)術(shù)，而越來越倚仗于全面的戰(zhàn)法。簡單來說，就是搞安全的不僅要看編程指南，還要看孫子兵法了。

既然是正規(guī)軍對壘，戰(zhàn)法就要變得相對立體。所謂知己知彼，百戰(zhàn)不殆。威脅情報(bào)，就像是八百里加急快報(bào)送來的敵情。

先來看看信息安全教主級公司 Gartner 怎么解釋威脅情報(bào)：

威脅情報(bào)是針對一個(gè)已經(jīng)存在或正在顯露的威脅或危害資產(chǎn)的行為的，基于證據(jù)知識的，包含情境、機(jī)制、影響和應(yīng)對建議的，用于幫助解決威脅或危害進(jìn)行決策的知識。

由于安全行業(yè)的特殊性，各位大神對自己經(jīng)手的安全事件和服務(wù)對象守口如瓶，不過，他們提出了一些理念，還是讓人覺得新鮮有趣。

攻擊只需數(shù)分鐘 防御卻需數(shù)天

木桶理論失衡，現(xiàn)在玩的是塔防

“所有的系統(tǒng)一定可以被入侵?！边@是威脅情報(bào)專家，Sec-UN網(wǎng)站創(chuàng)始人金湘宇給出的“悲觀論斷”。他認(rèn)為，互聯(lián)網(wǎng)攻擊的技術(shù)在不斷提高，而所有的系統(tǒng)都存在漏洞，避免被攻擊在邏輯上并不成立。

原來認(rèn)為安全就是做木桶，只要補(bǔ)上短板就可以高枕無憂，現(xiàn)在發(fā)現(xiàn)安全玩的是塔防，要實(shí)時(shí)應(yīng)對到來的威脅。以目前的網(wǎng)速來看，拖庫的攻擊甚至在一天內(nèi)就能搞定，往往是網(wǎng)站信息已經(jīng)泄露到了網(wǎng)上，被攻擊者才得知自己遭受攻擊，這樣的攻防已經(jīng)完全失衡了。所以做應(yīng)急響應(yīng)的關(guān)鍵，實(shí)際上是在努力減少攻擊者的“自由攻擊時(shí)間”。

通俗來講，自由攻擊時(shí)間就是在被打者反應(yīng)過來之前，進(jìn)攻者可以肆無忌憚出拳的時(shí)間段。

藍(lán)色時(shí)間段為“自由攻擊時(shí)間”

知道了自己被攻擊，好歹還可以斷電嘛。被爆菊后還無動于衷，該是多么悲傷啊。

錦囊里有什么？

中國信息安全評測中心首席信息安全咨詢師蔣魯寧說，只有情報(bào)收集者能夠采取應(yīng)對行動的情報(bào)，才是真正意義上的情報(bào)，否則就僅僅是一種知識。所以，可以說安全企業(yè)提供的威脅情報(bào)不僅是一份報(bào)告，還應(yīng)該包括可以應(yīng)對的錦囊妙計(jì)。

常見的網(wǎng)絡(luò)安全威脅情報(bào)清單

根據(jù)上圖的情報(bào)分類，不難推斷出一般企業(yè)面臨最多的威脅有哪些。除去打擊黑客的攻擊威脅之外，品牌輿情也是企業(yè)最看重的。也就是說，情報(bào)的收集，已經(jīng)不僅僅局限于安全領(lǐng)域，甚至可以拓展到企業(yè)的社會評價(jià)，甚至是輿論走向預(yù)測。例如，錘子發(fā)布T1的時(shí)候，如果提前進(jìn)行威脅偵查，就可能會知道：產(chǎn)能嚴(yán)重不足將導(dǎo)致一大波口誅筆伐的到來。

情報(bào)不是輪子，而是一臺車

攻擊是一個(gè)行為體系，包含動機(jī)、攻擊方法、攻擊事件、被攻擊系統(tǒng)、應(yīng)對行動等等諸多要素。如果你發(fā)現(xiàn)一把刀，并不能認(rèn)為這把刀是對自己有直接威脅的。一個(gè)工具只有在有行兇動機(jī)的人手中，并且做出了威脅你的事情，才可以成為兇器。

蔣魯寧認(rèn)為，所有的情報(bào)都需要根據(jù)企業(yè)自身的業(yè)務(wù)流程來加工，才能形成有指導(dǎo)意義的威脅報(bào)告。金湘宇舉了一個(gè)形象的例子：

威脅信息就像汽車的一個(gè)零件——一個(gè)車輪，但一個(gè)車輪并不能工作，而威脅情報(bào)是一部車。只有協(xié)同配合，才能讓沒有生命的信息躍遷成為一個(gè)更高級的整體。

威脅情報(bào)行業(yè)這兩年在全球以60%的復(fù)合增長率膨脹，仰仗的是大數(shù)據(jù)的整合能力。然而， 在實(shí)踐的操作中，防護(hù)體系有著諸多的問題。

對于一個(gè)企業(yè)，每天僅僅是高度匯總的威脅信息都有上千條，而其中，真正有用的也許只有幾條。另外，常規(guī)的安全防火墻只能應(yīng)對普遍的攻擊，對于有特殊目的的針對性“點(diǎn)殺”根本無能為力。

360高級產(chǎn)品總監(jiān)韓永剛認(rèn)為，數(shù)據(jù)驅(qū)動非常重要，但是數(shù)據(jù)量不一定要很大，數(shù)據(jù)的處理方法也直接決定了處理效果。也就是說，評價(jià)這臺車的的好壞，不能只看它的體量，最重要的是發(fā)動機(jī)的精密結(jié)構(gòu)和技術(shù)含量。

威脅情報(bào)可以改變攻防態(tài)勢

我就靜靜地看著你裝X

360高級產(chǎn)品總監(jiān)韓永剛認(rèn)為：“看見，是防護(hù)的第一步?！边@也是威脅情報(bào)的意義所在。有了威脅情報(bào)，某種意義上講等于開掛，因?yàn)榉朗胤接辛松系垡暯?。韓永剛表示，360已經(jīng)建成了國內(nèi)首個(gè)可商用的威脅情報(bào)中心，并已經(jīng)發(fā)現(xiàn)了13個(gè)APT（高級持續(xù)性威脅）組織。

說到這里，還可以講一個(gè)小故事。

二戰(zhàn)中，盟軍依靠計(jì)算機(jī)之父圖靈的天才破解了德國的密碼，得知德國馬上要對考文垂進(jìn)行轟炸。但是為了爭取更大的決定性勝利，盟軍選擇不讓德國人知道對手已經(jīng)破譯了其密碼。因此盟軍方面沒有對考文垂進(jìn)行有針對性的的防御措施。于是德國人相信其密碼依然是安全的，從而一步步走進(jìn)了盟軍的圈套。

在威脅情報(bào)中，安全公司同樣運(yùn)用類似的方法和黑客斗法。例如：穿梭各大安全論壇，裝作黑客的樣子，開心地與之討論最近哪種攻擊方式最流行，有哪些漏洞可以利用。然后回家修補(bǔ)漏洞。

于是，通過威脅情報(bào)，企業(yè)會對未來的攻擊擁有免疫力，這就徹底改變了原本的攻防態(tài)勢。原來也許黑客可以用上整整一年的攻擊手段，一旦進(jìn)入威脅情報(bào)，就被重點(diǎn)監(jiān)控。如果攻擊者第二次還在用同樣的后門，就等于主動跑到了探照燈下。

某大神爆料，目前美國正在有計(jì)劃有組織地曝光其他國家對其基礎(chǔ)設(shè)施發(fā)動的攻擊。這句話讓人細(xì)思極恐，這表明美國已經(jīng)擁有了一份精準(zhǔn)的威脅情報(bào)，對其攻擊者的攻擊路徑已經(jīng)了如指掌。為了不打草驚蛇，其中有60%-70%的攻擊路徑，美國并沒有曝光。沒錯(cuò)，美國正在靜靜地看對手裝X。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。