安全威胁情报分析

随着以APT为典型代表的新型威胁和***的不断增长，企业和组织在防范外部的***过程中越发需要依靠充分、有效的安全威胁情报做为支撑，以帮助其更好的应对这些新型威胁。安全威胁情报分析市场应运而生，并蓬勃发展。

针对传统的威胁，我们采用的防御和检测机制基本上是以特征检测为主，而新型威胁更多地利用0day进行***，这意味着防守方可能无法提前获知特征信息，从而无法发挥现有检测机制的作用。即便有些新型威胁利用的不是0day，而是1day或者更老的漏洞信息，但是由于防守方的特征检测库过于庞大，且没有针对性，也会因受困于性能和有效性而频频漏报。

新型***的特点也决定了现有的检测机制恐难以凑效。这类***的特点包括：潜伏的时候多采用低慢频度的***，难以察觉；发起实质性***的过程十分快（通常就几分钟，不超过几个小时），并且***目标的指向性特别明确【称之为Targeted】，同样的***过程几乎以后再也不会重复（就像惯犯好抓，而只犯一次的人就难抓一样）【称之为Polymorphic】。

任由你防守方有多么厉害的防御体系，最终也难逃被攻破，RSA、洛克希德马丁、诺斯罗普都是顶级的安全防御公司，最终都被攻破，可见一斑。

因此，作为防守方，需要改变策略。

有很多事情可以去做。其中一个事情就是依靠来自外部的安全威胁情报。

什么是安全威胁情报（Security Threat Intelligence）？形象地说，我们经常可以从CERT、安全服务厂商、防病毒厂商、政府机构和安全组织那里看到安全预警通告、漏洞通告、威胁通告等等，这些都属于典型的安全威胁情报。而随着新型威胁的不断增长，也出现了新的安全威胁情报，例如僵尸网络地址情报（Zeus/SpyEye Tracker）、0day漏洞信息、恶意URL地址情报，等等。这些情报对于防守方进行防御十分有帮助，但是却不是单一的一个防守方自身能够获取和维护得了的。因此，现在出现了安全威胁情报市场，有专门的人士、公司和组织建立一套安全威胁情报分析系统，获得这些情报，并将这些情报卖给作为防守方的企业和组织。安全威胁情报市场现在是一个很大的新兴安全细分市场。根据IDC的估计，市场规模会从2009年的2亿美元迅速膨胀到2014年9亿美元。

之前，我已经多次提及过安全威胁情报，例如SBIC的报告《当APT成为主流》中，例如这篇文章——《INSA：美国须发展网络空间情报系统 》，例如对情报分析的介绍，等等。

现在的情报分析市场还有一个很重要的特点，就是给客户提供的情报的特定性越来越强。情报提供者会根据购买者的网络/应用的环境信息，提供给他们特定的威胁情报，而非简单的通用情报信息。

谁是这个市场的玩家？包括专业的安全情报分析厂商，MSS厂商，公开的情报分析组织（OSINT，例如http://isc.sans.edu/index.html），甚至某些个人。

而作为一个专业的玩家，其核心竞争力在于安全情报分析系统。一个强大的安全情报分析系统，首先有广泛的基础信息来源，有的厂商会监测整个互联网。还有的厂商，会将客户的网络纳入监测的范围，以获得该客户的特定安全情报信息。然后，有高级的分析手段，不论是FPC/FPI技术，DPI/DFI分析技术，还是SIEM技术，蜜网技术、沙箱技术、以及BDA技术，通通都可以派上用场。

作为安全情报的购买者，有最终用户，也有下游的安全厂商，他们会将这些情报打包其安全产品和服务中去。

情报的分享与传递也很重要。例如在A企业遭受***的信息及其追踪分析的结果对于同行业的B企业可能就极为有用。美国政府的智库们就很重视这点。而之前介绍过的欧洲龙虾计划中也有类似的工作（匿名化）。

最后，请注意，我们有时候说Security Intelligence是指安全情报，而在另外一些时候又会指代安全智能（相对于BI，商业智能），请勿混淆。为了避免模糊化，我一般将安全情报说为安全威胁情报——STI，或者Cyberspace (Security) Threat Intelligence，Cyber Threat Intelligence。