安全情报入门--知彼知己，百战不殆

1 什么是安全情报？

《孙子兵法·谋攻篇》：知彼知己，百战不殆；不知彼而知己，一胜一负；不知彼不知己，每战必殆。

说到情报，一般人们会想到什么？ 1.是James Bond那种吗，中情六处还是CIA来着，太酷了！ 问题：公司有必要创建一支安全情报团队吗？

2.不就是收集一下数据和PDF写报告吗，搞得这么高大上。。 问题：信息和情报的区别是什么？

1.1 战争中的情报案例

先讲几个大家耳熟能详的例子感受一下：

• 长平之战 秦国获悉赵国易帅赵括并分析了其缺点，秘密起用白起为将，诱敌深入，坑杀赵军45万人。赵国经此一战元气大伤，加速了秦国统一中国的进程。
• 中途岛战役 破译日军进攻计划，美国海军集中有限兵力，有效部署防御并伏击，以仅损失一艘航母“约克城”号的代价击沉日本“飞龙”、“苍龙”、“赤城”、“加贺”四艘重型主力航空母舰，取得初步扭转太平洋战局的胜利。
• 诺曼底登陆 盟军释放假情报迷惑德军，使其浪费大量人力物力部署于挪威，接近三百万士兵成功渡过英吉利海峡前往法国诺曼底，使第二次世界大战的战略态势发生了根本性的变化。

1.2 信息时代的安全情报

信息时代的网络安全本质是一场没有硝烟的战争

关于安全领域情报的定义，众说纷纭，但核心思想其实都差不多，即从被动防御到主动防御的转变。 以下为比较流行的定义：

• 2014年Gartner在《安全威胁情报服务市场指南》（Market Guide for Security Threat Intelligence Service）中提出，即： 威胁情报是一种基于证据的知识，包括了情境、机制、指标、影响和操作建议。威胁情报描述了现存的、或者是即将出现针对资产的威胁或危险，并可以用于通知主体针对相关威胁或危险采取某种响应。
• 2011年IBM文章《What Is Security Intelligence and Why Does It Matter Today》: Security intelligence is the real-time collection, normalization, and analysis of the data generated by users, applications and infrastructure that impacts the IT security and risk posture of an enterprise. The goal of Security Intelligence is to provide actionable and comprehensive insight that reduces risk and operational effort for any size organization.”

2 为什么要有安全情报？

2.1 先看现状

虽说亡羊而补牢，未为迟也，可如果压根就不知道已经亡羊了呢？ 根据IBM的报告《Cost of a Data Breach in 2018》，“the average cost of a data breach per compromised record was $148, and it took organizations 196 days, on average, to detect a breach.” 很多企业在意识到发生了什么之前，它们的数据可能已经在黑市上贩卖了。 所以与其花费资金在攻击发生之后对漏洞的修补和调查问题上，何不主动出击，提前做好防范措施。

2.2 安全情报能做什么

主动防御：情报驱动安全

以往的企业防御和应对机制根据经验构建防御策略、部署产品，无法应对还未发生以及未产生的攻击行为。但是经验无法完整的表达现在和未来的安全状况，而且攻击手法和工具变化多样，防御永远是在攻击发生之后才产生的，而这个时候就需要调整防御策略来提前预知攻击的发生，所以就有了安全情报。通过对安全情报的收集、处理可以实现较为精准的动态防御，在攻击未发生之前就已经做好了防御策略。 某网站列出的5大理由：

• Reducing Risk
• Preventing Financial Loss
• Maximizing Staffing Efficiency
• Investing Wisely in your Infrastructure
• Lowering Expenses
• … 其实还有很多

3 怎么开展安全情报工作？

3.1 未知攻，焉知防？

先看看攻击者的典型杀链(kill chain)是什么：

1.侦察阶段：“侦察永远不浪费时间”。大多数军事组织承认，在进攻敌人之前，最好尽可能地去了解敌人的一切信息。同样，攻击者在攻击之前也会对目标展开广泛的侦察。事实上据估计，针对渗透测试或攻击，70%的“工作量”是进行侦察！一般来说，可采用两种类型的侦察：

• 被动侦察。审查公共可用网站，评估在线媒体、社交网站，试图确定目标的攻击表面。
• 主动侦察。物理访问目标前端、端口扫描和远程漏扫等。

2.交付阶段：选择和开发武器，武器用于完成攻击中的任务。 3.利用（或攻击）阶段：一个特定的漏洞被成功利用的时刻，此时攻击者实现他们的目标。 4.后期利用阶段：

• 对目标的行动。窃取敏感信息、提权等。
• 持久性。攻击者持续与被攻破的系统之间保持通信。

看吧，黑客在策划一场攻击时，首要任务也是搜集情报!

3.2 安全情报分类

既然黑客可以搜集我们的信息，对应的我们也能搜集他们的信息。 由杀链出发，很自然会得出如下分类

知己：

• 资产情报：从边界上讲属于内部情报，主要用来确定己方信息资产，用于风险评估阶段。
• 漏洞情报：各种软硬件系统已知或未知的漏洞或脆弱性，用于风险评估和漏洞管理阶段。

知彼：

• 威胁情报：对攻击源的多维度画像，描述其攻击基础设施、技术风格、惯用手法等标识。
• 事件情报：对于已经发生的安全事件的报道或者咨询，有助于面临相同风险者提前应对。

3.3 资产情报

资产管理：

• 最直接的：坚持做好资产管理，对资产的变动做好备案记录
• 对于遗忘的的闲置资产（这些资产可能老旧脆弱，无人维护，风险极高）：对所有公网资产和内网资产进行全盘扫描。一个简单的公网资产发现的思路是，结合现有的IP、域名、URL列表。通过子域名字符串爆破，PDNS信息收集解析来发现子域名，进行DNS查询来获取CNAME、A、NS、MX等记录。利用前面的发现整合域名、IP，并对所有发现的域名、IP进行扫描，收集系统相关信息。内网资产信息可对内网进行扫描。通过以上收集扫描过程，需要收集相关的硬件信息（型号、版本、对应驱动）、OS指纹信息、软件信息（名称、版本）、服务信息、对外开放接口信息、防火墙等配置信息[CCE]。

资产收集是非常重要的一步，我们有必要知道哪些资产需要重点防护，哪些闲置资产可下线规避风险。 在拿到资产情报后，对资产进行权重赋值至关重要，犹如建房子先打地基一般，资产等级划分将直接影响到后续的漏洞风险评估、威胁风险评估、漏洞处置优先级等其他信息安全工作的开展。

资产评估：

机密性、完整性和可用性是评价资产的三个安全属性。风险评估中资产的价值不是以资产的经济价值来衡量，而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值，而资产面临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全属性的达成程度产生影响。

3.4 漏洞情报：

脆弱性： 1）最直接的：购买专业的外部漏洞情报服务 2）自己构建漏洞情报系统

• 漏洞搜集：可借助NVD、CNNVD、CNVD等公开漏洞平台，获取最新漏洞信息。结合资产做初步筛选，对严重、高危漏洞的POC/EXP进行全网搜索并二次筛选。
• 漏洞分析：对曝出POC/EXP漏洞进一步分析其利用难度、危害程度、修复措施，确定对自身的影响范围，并适当进行置信度验证。
• 应急响应：对评估后威胁程度高或舆论热度高的漏洞及时告警，通知相关团队采取应对措施。
• 综合利用：数据整合，详细的漏洞信息和POC/EXP可增强自身渗透测试、漏洞扫描能力，可为漏洞修复的优先级提供参考，也可通知安全厂商及时升级版本、安装补丁。

脆弱性评估：

可以根据对资产的损害程度、技术实现的难易程度、弱点的流行程度，采用等级方式对已识别的脆弱性的严重程度进行赋值。由于很多弱点反映的是同一方面的问题，或可能造成相似的后果，赋值时应综合考虑这些弱点，以确定这一方面脆弱性的严重程度。 对某个资产，其技术脆弱性的严重程度还受到组织管理脆弱性的影响。因此，资产的脆弱性赋值还应参考技术管理和组织管理脆弱性的严重程度。

3.5 威胁情报：

威胁态势： 1）最直接的：购买专业的外部威胁情报服务 2）自己构建威胁情报系统： 根据杀链的几个阶段，所以威胁情报要重点勾画这几个阶段的标志。

• 侦察阶段：收集攻击源的扫描IP、扫描MAC、扫描工具（技术手段）特征等标识。
• 武器研制：收集攻击源的恶意程序、代码的散列值、以及技术特征。
• 交付阶段：收集攻击源的账户信息、电子邮箱地址等信息货币资本往来标识。
• 攻击阶段：收集攻击源攻击时使用的IP、MAC、DOMAIN、URL、HASH、漏洞等标识。

对于追踪溯源和分析对抗而言，收集whois信息，域名注册备案信息（国内），ipwhois，pdns也很重要。

威胁情报收集的几种来源：

• 开源网站爬取直接标识分类的恶意指示器。
• 搭建蜜罐蜜网收集攻击数据（IP、HASH、URL、DOMAIN…），并加以分析处理。
• 收集已有网络、系统日志，对网络、系统行为进行建模处理，整理成对应的情报。

对于收集到的相关信息要持续监控，动态跟踪，以保证数据的及时收集、更新、淘汰，从而使基于情报数据的安全响应更加及时准确。 注明：这里尤其关注一点，品牌信誉也属于资产之一，对于品牌舆情的监控也可能很有必要。

威胁评估：

判断威胁出现的频率是威胁赋值的重要内容，评估者应根据经验和（或）有关的统计数据来进行判断。在评估中，需要综合考虑以下三个方面，以形成在某种评估环境中各种威胁出现的频率：

a)以往安全事件报告中出现过的威胁及其频率的统计； b)实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计； c)近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统计，以及发布的威胁预警。

可以对威胁出现的频率进行等级化处理，不同等级分别代表威胁出现的频率的高低。等级数值越大，威胁出现的频率越高。

3.6 事件情报：

事件响应： 1）还是买，CNCERT等应急响应中心服务 2）关注国内外安全论坛、厂商博客、社交账户、暗网等。。

拿到事件情报后，首先确认通报事件是否与自身相关，若无法立即判断相关性，在分发排查的同时，对事件真实性展开调查，确保对事件快速响应。

4 如何让安全情报有效？

上文也说了，攻击者同样关心着情报，例如一个新的特高危漏洞曝出，利用细节和代码均已公开，黑客第一时间拿到EXP便可快速实现攻击，若企业在这场时间赛跑中输了，后续的修补将也无法挽回已造成的损失。这种情况下，“过期”的安全情报毫无用处。

安全风险评估三要素：

• 威胁（这里结合威胁情报）
• 资产（这里结合资产情报）
• 脆弱性（者理结合漏洞情报）

安全情报要点：

• Real-Time Analysis
• Pre-Exploit Analysis
• Collection, Normalization, And Analysis
• Actionable Insight
• Scalable
• Adjustable Size And Cost
• Data Security And Risk

安全情报的难点：

• 多：威胁情报数据来源多，范围广。每天产生的情报数据可能就足够让分析人员疲惫不堪。所以找到有效的需要一个快速的处理过程。
• 杂：威胁情报种类繁琐杂乱，应用场景复杂，不同的情报可能位于攻击过程的不同阶段，不同的场景侧重的也可能是不同的攻击者。
• 快：互联网时代，信息产生速度快，相对于威胁情报更新快，如果没有合适的自动处理模型，会导致前两个问题，这就需要企业拥有快速处理情报的能力。

可从两方面解决问题：

1. 技术层面：结合大数据、机器学习等技术，使信息收集自动化、分析响应智能化，将有限的人力更多投入在技术和管理研究上。
2. 管理层面：统一的行业标准。安全情报若能快速传递、开箱即用，则可提升整个行业的安全水平。现有标准如漏洞情报的[CVE][CPE]，威胁情报的[结构化威胁信息表达式STIX][信息安全技术网络安全威胁信息格式规范(GB/T 36643-2018)]等，中小公司依然可以享用到一流的安全情报。

参考

1. https://www.anquanke.com/post/id/164836
2. https://www.cnblogs.com/KevinGeorge/articles/7725818.html
3. https://securityintelligence.com/ponemon-cost-of-a-data-breach-2018/
4. https://securityintelligence.com/what-is-security-intelligence-and-why-does-it-matter-today/
5. https://www.exabeam.com/glossary/security-intelligence-definition/
6. http://network.51cto.com/art/200904/120964.htm
7. 《Kali Linux高级渗透测试》
8. 《信息安全技术 信息安全风险评估规范GB/T 20984—2007》