威胁情报杂谈——多源情报汇聚

多源情报汇聚是一个很流行的概念，也被大多数人认同。通过汇聚多个来源的情报可以获得更全面的威胁检测能力，这应该是非常明确的道理。不过并不是任意的几个来源汇聚一起，就会得到理想的效果，即使是商业的情报来源（已经解决了准确性、上下文问题）也是如此。我们下面就谈谈这个问题，看看选择来源时需要考虑哪些问题。

威胁情报往往有比较明显的地域特点，这点不清楚是中国特有的情况，还是针对所有的地区都适用。可能是国内安全市场特点决定了国际厂商的产品部署范围、数据收集能力必然不足，这种情况下其批量生成的IOC情报和国内威胁的相关性不强，是再正常不过的事。因此选择IOC情报、文件信誉时特别需要考虑情报来源的地域特性。但也不是说国外的威胁情报对国内组织没有价值，特别是国外的IP信誉类情报用来做特定的监控就比较有效，其中的场景是如果国外的一次攻击（DDoS、SPAM等）出现了企业的IP，就说明极大可能出现了失陷，并被利用来进行攻击。

不同类型的威胁，其基础数据有不同的收集方式。情报数据的收集渠道由多种：开源IOC、安全社区、产品数据（恶意文件、报警日志等）、暗网/黑客社区、网络扫描/监控、事件响应数据、特定范围交流等，基本上越向前提到的，越针对流行性、随机性的网络犯罪攻击，而越向后的就越针对定向型攻击。如果你关注的是流行性的威胁，那比较简单，如果关注的是行业特色明显、以定向攻击为主的威胁情报的话，可能要看相应的厂商是否有强大的事件响应服务团队、以及和特定行业或部门的交流渠道，因为这是这类情报数据线索最重要的来源。

数据运营水平也是比较重要的参考因素。同样的一个来源，在不同的情报运营、生产团队而言，可以产生的结果也有很大的不同。典型的例子就是VirusTotal，相信很多安全公司都有其账号，那儿也确实是个宝库，可以发现新的样本、可以跟踪到在野的0day漏洞，也可以通过它对一些攻击团伙/恶意家族做长达数年的历史分析、甚至可以监控APT团伙的动态。但是否能达到这些目的，关键在于安全运营团队的能力水平。

前面讲的这些，其实想表达的就是一个意思，多源情报汇聚也许是个很好的方式，但怎样选择不同的情报来源，是成功的关键。需要明确自己的需求（地域、行业、威胁类型），清楚地了解可供选择的来源具体特点（数据来源、研究团队水平、运营侧重点等），并且最好能够通过实际的网络环境来测试评估，这样的情况下，才有可能找到适合汇聚的不同情报来源。