威脅情報供給能力已經(jīng)成為各類組織機(jī)構(gòu)內(nèi)網(wǎng)絡(luò)安全體系的重要組成部分。目前已經(jīng)有多家安全方案供應(yīng)商針對最新惡意軟件手段、惡意域名、網(wǎng)站、IP地址以及基于主機(jī)的違規(guī)指標(biāo)(簡稱IoC)提供與安全威脅相關(guān)的情報反饋。

而這些威脅反饋方案的本質(zhì)思路可謂大同小異。惡意人士的行動速度正變得越來越快，而強(qiáng)大的情報供應(yīng)能力則將使安全供應(yīng)商得以快速反應(yīng)并共享與實際出現(xiàn)的最新威脅相關(guān)聯(lián)的重要信息。

這些策略無疑會給情報訂閱用戶帶來諸多助益。企業(yè)能夠通過這種眾包方式快速獲得關(guān)鍵信息，同時實現(xiàn)惡意軟件特征簽名的快速交付。然而，此類方案的局限同樣不容忽視。在大多數(shù)情況下，威脅供應(yīng)機(jī)制交付特征簽名的速度仍遠(yuǎn)遠(yuǎn)不及攻擊者的行動節(jié)奏。

特定惡意負(fù)載、URL以及IP地址的存在時間可能相當(dāng)短暫，這意味著其往往只會被應(yīng)用在一次真正有針對性的攻擊活動當(dāng)中。2015年Verizon數(shù)據(jù)泄露調(diào)查報告當(dāng)中詳盡說明了這項結(jié)論。

Verizon發(fā)布的這份報告指出，實際攻擊活動中所使用的約70%到90%的惡意軟件為專門針對受害組織所特意打造。很明顯，如果某項威脅已經(jīng)被使用過一次，那么單憑快速特征簽名已經(jīng)不足以解決問題。

學(xué)習(xí)與測試

這類問題的核心在于，我們必須立即著手了解情報與數(shù)據(jù)之間的區(qū)別。情報的作用是幫助我們更好地做好評估及解決前所未有之新型問題的準(zhǔn)備。而在另一方面，數(shù)據(jù)則類似于測試中的固有答案。如果測試所使用的具體問題發(fā)生變化，那么我們自然會因此陷入巨大的麻煩當(dāng)中。

而 大多數(shù)威脅信息供應(yīng)手段中包含的具體內(nèi)容其實屬于后一種，也就是威脅數(shù)據(jù)，其中包含的各項細(xì)化指標(biāo)與當(dāng)前已經(jīng)出現(xiàn)在真實世界中的威脅可謂一一對應(yīng)。盡管安 全行業(yè)正努力追蹤越來越多的指標(biāo)并不斷提升更新速度，但這類方案多年來仍然面臨著一大根本性挑戰(zhàn)——保護(hù)者的行動永遠(yuǎn)落后于惡意人士。

而更重要的是，實際情報絕不能單純來自外界。根據(jù)原有測試給出答案不足以解決問題，企業(yè)還需要在內(nèi)部擁有“大腦”，并利用其從既有事故中學(xué)習(xí)經(jīng)驗且據(jù)此評估新的、未知的威脅。

這意味著檢測手段必須不斷發(fā)展，從而超越舊有個別威脅并更廣泛地適用于新的惡意特征及設(shè)計思路，同時實現(xiàn)全部威脅活動信息的彼此共享。

解決威脅情報難題的新思路

好消息是，目前安全業(yè)界已經(jīng)開始在這些領(lǐng)域取得進(jìn)展。數(shù)據(jù)科學(xué)與機(jī)器學(xué)習(xí)模型正全面交付新的威脅審視角度。相較于以往將單一威脅同單一特征或者IoC相映射的一對一方式，如此的數(shù)據(jù)科學(xué)模型能夠?qū)ν{進(jìn)行批量分析，從而了解其間存在哪些共通點(diǎn)。

這會給真實世界帶來巨大影響，因為安全性將不再取決于我們此前是否見過同樣的威脅活動。相反，我們將能夠根據(jù)全部以往威脅信息評估任何已經(jīng)或者可能出現(xiàn)的新型威脅。如果“它走路像惡意軟件、叫聲像惡意軟件”，那么這就是一種新型惡意軟件——即使我們從未真正接觸過它。

這些模型也能夠基于內(nèi)部以及外部信息進(jìn)行學(xué)習(xí)。許多極難把握的攻擊活動，例如內(nèi)部人員威脅或者利用被盜憑證實施的攻擊，只能在與正常網(wǎng)絡(luò)運(yùn)行情況相比較時才能被檢測出來。很明顯，每套網(wǎng)絡(luò)環(huán)境都有其特殊性，而通過該本地網(wǎng)絡(luò)實現(xiàn)的用戶行為必須得到持續(xù)監(jiān)控與學(xué)習(xí)。

當(dāng)然，更強(qiáng)的“大腦”與質(zhì)量更出色的數(shù)據(jù)供應(yīng)之間并不存在排斥關(guān)系。二者都需要在長遠(yuǎn)角度得到保證。這種立足于擴(kuò)展與共享型數(shù)據(jù)源的協(xié)作型學(xué)習(xí)將帶來顯而易見的回報。

不 過要想讓這類方案實際起效，企業(yè)必須要擁有能夠切實運(yùn)用這些數(shù)據(jù)的“大腦”。以STIX與TAXII為代表的此類共享模型能夠識別并共享與威脅行為相關(guān)的 各類信息。不過就目前來看，提供此類行為分析手段的信息供應(yīng)方案還非常有限，也鮮有企業(yè)做好對其進(jìn)行處理與利用的準(zhǔn)備。

再次強(qiáng)調(diào)，最重要的 因素不僅僅是獲取數(shù)據(jù)，而更多地是如何在其發(fā)生的同時加以利用。而這也將成為決定威脅情報工作是否成功的先決條件。外部數(shù)據(jù)絕不會憑空轉(zhuǎn)化為情報，我們更 應(yīng)該將其視為一種“燃料”，并利用它推進(jìn)我們的情報引擎。如果無法實現(xiàn)正確的執(zhí)行順序，那么我們投入了大量資金的安全分析體系極有可能無法帶來任何額外價值。