安全威胁情报实战

2012年5月18日，DarkReading发表了一篇文章，题为威胁情报实战。这个文章提及了威胁情报分析的重要性。

作者认为，在面对新型威胁，新技术革新（例如云计算）的时候，安全专家们需要改变传统的安全防御思路。对此，我也表示赞同。

首先，要确定所要保护的重要资产。正如《当APT成为主流》中所述，在对抗新型威胁的时候，现在已经没有经历去保护网络内部的每个资产了，必须有所取舍，有所重点，要重点保护关键资产。

其次，要获取对网络的可视性（Visibility）。这个我以前的博文也多次提及。要想知道网络中存在什么样的威胁，首先要看到现在网络的运行状态。而可视性的更高境界可以称作态势感知（Situational Awareness），则是在获悉状态的基础上分析下一步的可能走势。

要获取对网络的可视性，必须借助一套生产力工具，SIEM是其中一个重要的工具。借助SIEM，可以快速获知对网络的可视性。

在获知可视性后，就要进行进一步的安全威胁分析，从表象中看出潜在的威胁和风险。这就需要对海量的安全信息进行智能化的分析，这个过程可以称作“安全智能”（Security  Intelligence）分析，而分析的结果就是获取网络内部的安全威胁情报（Security Threat Intelligence）。

要想分析出威胁情报，不是那么容易的。需要一系列相关的理论和算法。基于规则的关联分析只是其中一种方法，除此之外，还有很多其他方式，例如基于统计学的方法，基于BI多维分析的方法，等等。

借助成型的分析工具是很有必要的，这也是SIEM目前正在尽力去达到的能力。优秀的SIEM应该具有良好的、智能化的分析能力，产生威胁情报。更进一步地，这些威胁情报不仅仅只是参考性的，而应该是可执行的，叫做Actionable Intelligence。

上面提到的威胁情报主要是指来在客户网络内部的情报，是通过对内部的安全信息分析获取的情报。而我在《安全威胁情报分析》一文中提及的威胁情报主要是指来自客户网络外部的，来自cyberspace的威胁情报。

内部和外部的威胁情报对于客户而言都是很有用的。

要想获取外部威胁情报，一方面可以寻找OSINT资源，另一方面可以购买情报提供商的服务。

在获取外部情报的时候，应该尽可能地与内部网络情报相结合，例如，相比于购买大量的C&C服务器的情报信息，不如购买通过内部情报分析发现已经对网络发起过***的C&C服务器的信息更加有用。