安全行業(yè)已經(jīng)從僅專注特征碼，轉(zhuǎn)變到了將IoC（入侵指標(biāo)）也納入進(jìn)來。因?yàn)楦鞣矫婵磥恚琁oC都更加便捷，也兼容各種不同檢測(cè)平臺(tái)。是時(shí)候重視IoC并更加有效地使用它們了。

然而，這個(gè)轉(zhuǎn)變過程中，IoC遭到了不公正的責(zé)難。個(gè)中原因很容易理解：指標(biāo)有時(shí)候可能只是缺乏上下文的一些數(shù)據(jù)片段。安全人員在努力保護(hù)公司環(huán)境的時(shí)候，往往苦于從數(shù)據(jù)中提煉出有意義的東西，不知道該到哪里去發(fā)現(xiàn)真正的價(jià)值。

大多數(shù)安全人員真正想要的，是對(duì)對(duì)手的了解——對(duì)手所用的工具以及戰(zhàn)術(shù)、技術(shù)和規(guī)程(TTP)。通過了解對(duì)手來強(qiáng)化自身防御，讓壞人的日子不好過。但這一層次的信息，往往不會(huì)輕易交到安全人員手上。正如老話所說，“細(xì)節(jié)決定成敗”，這里的細(xì)節(jié)，就是IoC。

很多公司當(dāng)前的安全基礎(chǔ)設(shè)施都是碎片化的，幾十種安全產(chǎn)品各自為戰(zhàn)。因?yàn)檫@些產(chǎn)品沒有集成到一起，架構(gòu)中的每一層都創(chuàng)建自己的日志和事件，產(chǎn)生大量數(shù)據(jù)。系統(tǒng)日志中充斥著不良IP地址和域名，昭示著可能的C2服務(wù)器通信、數(shù)據(jù)滲漏或非法服務(wù)；還有對(duì)應(yīng)特定/惡意文件的散列值；以及指向敵手的網(wǎng)絡(luò)和終端。所有這些指標(biāo)都能揭示惡意行為，但安全分析師卻難以確知要先找尋和調(diào)查什么。

IoC的重要性就體現(xiàn)在這里了。IoC是所有這些迥異日志的最小公約數(shù)，是將各安全工具的所有輸出整合在一起的切實(shí)方法。IoC可以讓你構(gòu)建整體視圖，從指標(biāo)追蹤到敵人或攻擊活動(dòng)，對(duì)自身環(huán)境中正在發(fā)生的事情有更深刻的了解。

舉個(gè)例子。你看到一個(gè)沒見過的IP地址，需要有關(guān)該地址的更多信息，于是你從外部威脅情報(bào)平臺(tái)盡可能地收集相關(guān)數(shù)據(jù)。通過這些分析，你可能發(fā)現(xiàn)該IP地址與某個(gè)攻擊活動(dòng)或?qū)κ窒嚓P(guān)聯(lián)。然后你決定收集更多關(guān)于該攻擊活動(dòng)或?qū)κ值那閳?bào)，了解他們會(huì)用的TTP和其他相關(guān)指標(biāo)。

所以我們不妨假設(shè)與該特定對(duì)手相關(guān)聯(lián)的指標(biāo)有21個(gè)。你已經(jīng)看到一個(gè)了(IP地址)，所以檢查一下有沒有其他20個(gè)是有意義的。好吧，仔細(xì)一找，又發(fā)現(xiàn)了10個(gè)指標(biāo)。于是，很可能你已經(jīng)被這個(gè)對(duì)手侵入了。而如今你可以主動(dòng)發(fā)送剩下10個(gè)指標(biāo)來強(qiáng)化安全基礎(chǔ)設(shè)施，抵御該特定對(duì)手。

如上述例子所示，IoC是成功調(diào)查與防護(hù)的關(guān)鍵因素。但你需要一個(gè)資源庫(kù)來整合內(nèi)部各系統(tǒng)產(chǎn)生的數(shù)據(jù)和外部威脅饋送的數(shù)據(jù)，并添加進(jìn)上下文豐富這些數(shù)據(jù)。否則，指標(biāo)僅僅是噪音而已。缺乏整合和上下文豐富，正是IoC蒙受不白之冤的原因所在。

威脅情報(bào)平臺(tái)(TIP)可以聚合并規(guī)范化威脅和數(shù)據(jù)，然后關(guān)聯(lián)數(shù)據(jù)并應(yīng)用進(jìn)上下文。于是，在能提供有價(jià)值洞見的IoC加持下，你便能用它導(dǎo)向?qū)κ趾退麄兯玫腡TP。反映敵人活動(dòng)的相關(guān)指標(biāo)看得更全面更清楚了，自家公司被入侵的確鑿證據(jù)也就昭然若揭了。而對(duì)敵手所用方法有進(jìn)一步的了解，惡意活動(dòng)阻止起來也會(huì)更快些，還可以防止未來的類似攻擊。

從僅使用特征碼遷移到包含進(jìn)IoC的利用非常充分。然而不幸的是，遷移過程中安全團(tuán)隊(duì)被自身各種各樣的安全日志和威脅饋送數(shù)據(jù)所淹沒，這些數(shù)據(jù)有些來自商業(yè)源，有些是開源的，有些是行業(yè)內(nèi)的，有些則來自現(xiàn)有安全廠商。所有這些數(shù)據(jù)都能提供巨大價(jià)值，但卻通常處于未被開發(fā)狀態(tài)。與其無視IoC，不如抓緊時(shí)間更有效地利用起來，用以對(duì)抗無孔不入的各路敵手。