至少这位同学回答的一点,就是狡猾,狡猾是带有隐蔽的,特定的需要隐蔽,有各种各样的信息,但我们发现现在谈的威胁情报好像不是那么一回事在业界在场上给大家谈的威胁情报,统一的IE,统一的样本,把它们叫做威胁情报,这是怎么回事呢?其实在情报学当中本身就有两个学派的争论,一是图书馆情报学LIS,还有一个IS情报学。19世纪情报学刚开始产生时就开始有了这样的流派,这时候大把情报描述成,情报是信息,针对特定用途对它传递有价值信息或知识。
到二战之后,它的发展发现定义远远不能满足现实,拿到各种各样的信息反制对手,不仅要猜测各方面,比如诺曼底登陆,或者在哪儿登陆,这不是知识可以告诉我们的东西。现代情报学对情报重新进行了定义,信息是原料,情报是产品,情报是我们基于信息并且加上人工自然推测,人智能在里面,最后生成的对一个东西的分析,包括一些预测在里面,把这些称之为情报。在这当中可以看到,中国的情报在这个定义是在走反方向的。1992年科委有个情报司,但1992年叫科技信息司,他不认为是情报,认为情报是信息。
反观国外,一开始成立所有的学校叫LIS学院,但90年代大量倒闭,因为培养出来的学生不能满足现代情报学的工作,所以他的情报学基本都关闭了,只有部分转向以LIS描述为主的情报,可以看到整个情报学的发展已经从信息真正往情报方向发展。所以,在国外产生两派新的情报学,把传统情报学,以知识定义的情报归之为传统情报学,这一排强调竞争强暴学,包括“9·11”事件之后美国兴起了情报与安全信息的情报学分支。传统情报学强调的是找知识,给我这么多信息,我把最有用的信息找出来就可以了,找不到我也不会预测它,推测它。
情报学里强调情报是帮助组织获得竞争优势的,所以它对的是你决策这一层。安全情报当中,不仅是赢得对抗的优势,因为在竞争情报学当中你是有对手的,情报与安全的情报学当中也是有对手的,但在传统的情报学当中它不会描述你的对手。在核心工作上就有了很典型的差异,传统情报学强调我要把有价值的信息给找到就OK了,我只是找。但是竞争情报学,情报与安全学强调预测、决策,情报的使命是帮助预测一件事情,补充组织上层做出合理的决策,情报与安全信息当中,“9·11”之后更强调取证,怎么印证一个事情需要取证的手段,所以工作上就有很大的区别,传统情报学找到知识之间的关联就完成任务了,但在竞争情报学当中首先竞争的关联要首先信息有序化,形成有组织的关联,最重要的工作是做信息的分析,信息分析之中把人的工作合理地猜测、预测,把各种线索之间进行关联,进行推测、预测,并加以学习,因为你的对手是智能的,不能让你的系统僵化,要不断适应竞争对手处置的方式,不断地去变化。在情报与安全信息学里还增加了模拟验证,比如我推测这件事情,预测这件事情要做,加上合理的验证模型,推测这个事情是不是可行的,要取证谁是可能的,要把验证模型做进去,从整个逻辑链条上去分析确实是这样的,所以,情报与安全信息学当中,“9·11”之后针对反恐分支当中特别强调它很大工作,就是要去关注组织和人的关系描述,包括人的行为和意图的分析。
特定属性当中,传统情报学强调情报是知识,它可以传递。竞争情报学包含了更多的隐蔽性,你是为了赢得竞争对手的,你的信息被对手知道了,价值会有所降低,这个价值对A有作用,对B就没有价值。对抗性,可能一个资源我们要争夺,最终是为了预测和决策,现代竞争情报学、安全与情报学、情报学当中都强调了情报的更多属性。现在我们知道威胁情报的定义,最有名的几家,比如McAfee、FREEZE,强调所有的信息将恶意的样本库、情报库称之为情报,最多只能叫信息和知识,它们可以说是情报吗?可以说是,严格来说只是传统的情报,但延伸出有价值的信息,并不能真正帮助组织去做抉择,帮助组织做预测,不能锁定你对抗的对手是谁。所有产业都把情报延续着老式的图书馆情报学对威胁情报的定义,他们的威胁情报的定义我认为不适应现代真正的竞争。因为我们现在已经明确知道,安全当中我们最大的威胁是来自于组织的对抗,来自于跟人和组织的对抗,而不是你知道是谁定义的。
这个过程当中,传统的技术手段已经不能够应对威胁,你知道这个样本是坏的,Block掉就可以把威胁决断了吗?威胁是意图成因能力,你阶段了攻击样本,没有把攻击者的意图,也没有阶段攻击者的能力,你知道是恶意IP又怎么样,把恶意攻击IP阻断了,人家再换个新的,好的,你没有识别的IP呢?你能阻截住他吗?我们传统对抗的思路是把信息拦做攻击者会走,实际新的对抗当中你把攻击者拦住他还会寻求新的路径。
作为防御者、最终用户角度来说他首先要知道我的弱点在哪里,不仅知道攻击者在哪儿,怎么打进来的,你能把整个攻击脉络告诉我,做不到,你告诉他攻击的脉络有什么用。那么对手是什么样的,对手在哪里?有什么样的攻击能力?对手是谁?核心目标是什么?他有什么意图?所有产业提出的威胁情报我认为都不能回答用户这种问题。或许通过这种威胁情报能够增加一些防御者的能力,但并不能够真正为防御者解决真正的问题。
真正防御者需要什么样的问题?防御者和攻击者最终都是为了真多利益,可以看到他们是竞争对手,竞争对手之上后端都有治理的人和组织进行知识和情报的对抗。威胁方来说一定要摸清楚防御方我想偷你的东西,窃取有价值的东西,破坏你的东西,一定要了解你的价值点在哪里?你有什么东西值得我破坏,你系统的内部构成是怎样的,我怎样通过这个脉络拿到我的东西,你的防御体系是怎样,你的组织架构是怎样,可能单纯靠技术点攻破不了你,但单纯通过组织架构,ATP的思路,人际关系来跳过攻击。所以,要靠一套攻击体系。研究ATP的都知道他有专门的团队做分工的,有专门的团队做信息分析,发起攻击。防御者也需要一套自己的防御知识情报和体系,来和攻击者进行对抗。从入侵事件当中你把他Block不是最佳的方案,要从入侵事件里要找到你最原始,被开始被攻入的点,最弱点在哪里,攻击者有什么攻击手段你才能应对它。你Block这一个攻击,可能攻击者已经在里面很长时间,已经把你所有资产拿走,这时候一个IP你能知道你的受害范围和损失到底有多大,最后了解攻击者的意图和攻击者的身份。
如果能帮防御者建立起这样一套完整的知识和情报体系,才能更加有效对抗有组织的攻击。
如何达到这样的目标。防御者角度都是看到单点的信息,一个入侵被我们发现了,一台受害的主机被我们发现,或者一个攻击人正在准备攻击我被发现了,正是单点的线索,一般是换所环节就Block掉,永远拿不到的后面的信息。我们如果只采取观测、监测,观察,就可以把威胁的线路图拿出来。你要了解威胁者的意图是什么?攻击者拥有的能力是什么,只有又有能力又有意图才能对你形成威胁,有能力没意图或者有意图没有能力都不能对你构成威胁。为了达到这个目的我们要从线索分析你当前的态势是怎样的。
从这一个点上我们可以分析,到底你内部有多少受害,有多少已经被攻击者控制,已经有多少损失,能不能还原过去,从各个点,关联的蛛丝马迹从攻击者最初的点到现在的途径给画出来。最开始攻击者通过漏洞打过来,对你内部的木马通过暴力拆借,你把路径画清楚就可以了解过去的路径在哪里?结合更多的线索我们能发现外界的信息都有谁,了解当前的态势,攻击者怎么进来的,你才能描绘攻击者的能力如何,或者攻击者是谁,现在做了什么?我才能了解他的意图,攻击者的能力,他的意图,在我的内部已经达到什么样的状态,你就知道攻击者下一步有可能会做什么。最后,在风险这个层次上去支撑决策。我们要描述全景的威胁情报细细,要描述基础情报信息,尤其是IT资产信息,通过IT资产才能准确描述你受害和资产的关系,特别是人员和黑客组织的信息,这个基础之上,可以在很多点上找到线索,通过攻击事件被我们发现,一个新的样本出来了,一个热点曝光实际他们都是单一的线索。
在单一的线索之上,我们根据各种东西还有可能生成知识,比如一个线索来了被我们验证是个威胁的样本,威胁的样本怎么识别它?变成了一种知识,这个威胁样本做什么,威胁样本的行为,包括它的DNA,你应对威胁样本该怎么做?现在所有的样本都只能应对到知识层面。情报要做什么?
实际情报要回答清楚三个问题:过去、现在和未来。过去,攻击者通过什么样的路径进来,你得把整个链路给了解清楚,怎么达到现在的状态,现在攻击者在你的内部控制了多少点,他做了多少事情。最后才是着眼于未来,当中可以看到威胁的知识并不是真正的威胁情报,虽然语义上可以对它进行区分。
情报是有一定动态的信息,知识是一种比较静态的信息,我告诉你一种知识,这个样本是坏的,今天可以用,明天可以用,后天也可以用,但情报是可以给你一定时间,动态相关的。之后你可以构建自己一套威胁情报体系,和产业当中的,IBM基于威胁知识生产的体系是有一定差异的,当然知识也是会生成的,这当中通过各种事件的采集和对威胁线索的识别会生成大量威胁线索,在威胁线索之上会做技术的分析,然后生成威胁的知识。但在更多的线索之上把IT资产的信息和黑客组织人员之间的信息进行关联,就有可能生成威胁的情报。最后威胁的情报应对的是决策,他面向的用户是组织的高层,在威胁知识上,他应对事件就是和我们现在产业界的情报相应对,它Action处置,从低端到运维层面人员的Action,真正应对层面是组织的上层,这样只有情报可以帮助组织获得竞争优势的方式,你输出再多的威胁知识,可能会增加你的能力,但并不能真正帮助一个组织在对抗当中获得竞争优势。
今天民居发生了爆炸是一起事件,有可能有个小孩玩个大爆竹,有可能是恐怖分子造炸弹失败了,也可能是民居发生一起煤气爆炸,我们通过当量分析、各种分析和识别,知道这不是简单的爆炸,是恐怖分子在小院子里实验炸弹失败了发生了小范围的爆炸。这时候我们要分析线索,把爆炸现场的爆炸物给取回来,我们就可以做威胁的技术分析,技术分析当中我们发现爆炸物当中有个特定的物质和其他所有炸弹的东西研制的,制造特定的物质,我们怀疑恐怖组织说的,通过这个特定的物质可以获得恐怖组织相关的东西,比如预演这个炸弹有关。这就形成了威胁的指示,通过这个威胁的知识隐身到其他已知炸弹威胁当中,已经袭击的恐怖分子的炸弹物物质在其中,我们就可以关联在一起。因为实验的房子里恐怖分子租了房,留下了租房的信息,我们可以把这个实验的人和社会关联信息关联在一起,再发现这个组织和一些人,这些人正在学习开飞机,因为我们锁定,可以认定他们是一帮恐怖分子,恐怖分子在学开飞机我们推测他们可能会劫机。了解了这帮人的路径,这些人不仅在学飞机,他还去图书馆了解世贸大楼多少承重度,飞机多少燃油相关,这时候我们推测出来,这帮恐怖分子追求学开飞机撞五角大楼。这时候我们可以看到威胁的情报,威胁的线索上市,定义点是有不同的。
威胁的知识是静态的,帮助你描述威胁,它可以对你有一定指导作用的知识,并不因此而过期,我告诉A、告诉B、告诉C,它的价值不会递减。但威胁的情报则是动态的信息,它不一定指示你做什么,一般威胁是精确的,告诉你怎么识别它,比如有AAA的是坏的,这是一条知识的,而且有时效性,过了一段时间它有可能被验证,有可能失效。威胁情报包括过去、现在、将来的推测,不是没有理由的推测,而是邮政局,带有人工智力相关的推测。
威胁的线索一般是单点的事件,它是动态的,各种线索关联加入人工的思想就可能变成情报。基础信息更多描述评述性的东西,比如A是B的,这是一个信息基础,比如资产是谁,这个组织有什么人什么人。事件和数据就是大量动态产生,我们在事件当中发现威胁的线索,把各种事件、知识、信息关联起来形成威胁的情报,对威胁当中各种素材进行分析,可以获得我们一些威胁的知识,最后生成这样一套情报体系。这里描述了各种知识、情报线索、信息各种区别,比如动态的,静态的,叙述的还是指导的,面对的信息是微观还是宏观的,对应的行动是应急还是决策的,价值形是特定的还是所有的,对应行动是应急的还是决策的。