威胁情报：拼图理念

拼图是威胁情报的一个基础理念，最著名的就是盲目摸象的例子。我一直认为，威胁情报的拼图其实包含两层意思。

威胁情报，最直观的解释就是威胁相关的情报，先了解下最基本的威胁情报是怎么来的。如下图所示，首先，攻击者发动攻击行为，产生了包含攻击的数据，包括网络流量、文件、访问记录等；其次，安全人员或者安全设备要具有接触这些数据的权限，且有从中发现攻击的能力；进而从中发现攻击事件，再从攻击事件中提取与攻击者相关的可观察物，包括IP、域名、URL、文件、手机号、邮箱、字符串等等，这些形成了最基础的威胁情报。

一、面向安全厂商的拼图。

根据以上对威胁情报的解释，可以发现两个关键点：带有攻击的数据，与发现攻击的能力。对于各家安全厂商，包括Cisco在内，没有一家敢说有权限接触所有网络空间数据，同样，也没有一家敢说，100%覆盖其他厂商的安全能力。这里引出了拼图的第一层意思，也就是面向各安全厂商的拼图，安全厂商借助其他厂商的拼图，补足并提升自己的安全能力。

举个例子，假设有两家安全厂商A和B，A通过部署在他们客户那的安全设备、工具发现了一个攻击事件，并提取了威胁情报，然后通过共享机制（如国外的STIX 2.0）将情报共享给了B；B发现它的设备并没能报出与A共享情报相关的事件，比如A说一个IP是攻击IP，B发现了这个IP，但是它的规则、策略等并没有报出与这个IP相关的网络流，那么B就能借此发现自己的安全能力缺陷，进而补足。

真要做到这一点，必须有一套各厂商都能受益的共享机制在里面，否则，不可能！

二、面向黑客画像的拼图。

这也是威胁情报拼图的本意。攻击者从发动攻击，到成功窃取数据、达成目标，在这过程中会做一系列的动作，包括找跳板机、扫描探测、注册域名、获取漏洞、找到绕过方式、购买开发工具、窃取数字证书等。如果能把整个链条梳理清楚，也就完成了对黑客的画像。这里面涉及的数据、技术，相当的多呀，这里先不展开讨论了。

祝好！