威脅情報面臨六大難題

過去十年中，網絡威脅情報(CTI)取得了飛速發展，其目的是經過結合計算機科學和情報學科來對抗網絡威脅。

由***組織實施的網絡***是最多見且損失最爲高昂的網絡安全事件，但防護端的檢測和響應卻極爲遲鈍，現代企業檢測網絡***的平均時間爲206天，而平均緩解和遏制時間則爲73天。

爲了彌合這一差距，網絡安全社區創造了網絡威脅情報(CTI)的概念和方法。威脅情報的主要目標是創建相對於網絡威脅參與者的知識優點。在戰術和運營層面，威脅情報加快了惡意行爲的早期檢測，最好是在惡意參與者在網絡中立足未穩以前。在戰略層面，威脅情報爲決策者提供了對相關威脅環境的感知和認識。實際上，威脅情報是民用和私營部門的替代品，用來代替傳統的情報共同體(IC)開展防護性情報工做。

最初受僱於IC的許多技術專家已經爲威脅情報供應商工做，例如CrowdStrike、FireEye、Talos和Kaspersky。威脅情報界對網絡威脅進行公開和商業化的情報分析，憑藉其深厚的技術專長和主題知識，威脅情報界在應對將來幾年的網絡安全威脅方面潛力巨大，頂級的威脅情報服務商某些狀況下可以達到甚至超過政府情報機構的能力。

與看上去有些務虛的「風險管理」不一樣，網絡威脅情報更加實用，可實操，且可以應對高度動態的環境。許多當年的殺毒軟件供應商已經改變了業務方向，成爲商業威脅情報提供商，提供有關網絡威脅參與者的高價值情報分析服務。現在，威脅情報在平常網絡安全實踐中已經開始發揮重要做用。

近日，荷蘭政府高級網絡威脅情報分析師Kris Ossthoek在《國際情報與反情報雜誌》上撰文指出，雖然威脅情報是網絡安全領域的重要補充，但它仍處於起步階段。威脅情報面臨的挑戰不只是技術和戰術層面的情報質量和情報分享問題，還包括方法論和流程問題。

Ossthoek認爲，雖然今天威脅情報界已經擁有豐富的工具和技術知識，但最初的創新腳步已停滯不前，缺少標準化和方法論，產品或服務缺少流程，是威脅情報融入網絡安全防護體系的最大挑戰。

如下，是Oosthoek在論文中指出的威脅情報面臨的六大難題，歸納整理以下：

1. CTI缺少方法論

Sherman Kent的《分析學》，Richards Heuer的《情報分析心理學》和《結構化分析技術》。許多網絡安全會議的演講者都會說起這些著做和術語來讓威脅情報看上有着嚴謹的理論基礎和科學嚴謹性。但事實上威脅情報大多數內容都是創建在鬆散的概念之上，並不具有嚴格的分析能力。現在，大多數威脅情報分析都是由警報和傳入的原始數據而不是預先肯定的假設進行輸入驅動的。缺少方法論致使企業難以分析天天大量產生的IoC數據點與特定威脅環境的相關性。另外一方面，缺乏(基於方法論的)流程會致使威脅情報分析癱瘓，尤爲是在較小的團隊中。儘管計算機科學領域已經提供了幾種支持數據預處理的機器學習算法，但將隱性知識轉換爲算法可能在將來幾年仍將是一個還沒有解決的挑戰。解決之道在於引入流程，而不是更多的技術。

2. 威脅情報是共享的，但只是口頭上的

珍珠港事件和911事件都是IC情報共享的最佳反面教材。因爲交通燈協議(TLP)的限制，CTI的共享更加複雜。TLP使用交通訊號燈顏色指示是否能夠跨信任邊界(組織、信息共享和分析中心[ISAC])共享信息。紅色限制只向直接參與者分發，而綠色限制向社區公開。白色表示共享不受限制。可是灰色區域(Amber)則模棱兩可：只能在您的組織內共享，而特定約束能夠由源機構指定。此外，TLP僅適用於人與人之間的共享，不適用於基於計算機的威脅數據共享，後者依賴機器與機器共享的正式標準，例如結構化威脅信息表達。可是，大多數威脅情報數據仍以非結構化方式共享。

ISAC(信息分享與分析中心)促進了各個行業和企業之間的信息共享。ISAC能夠成爲免費交換優質CTI的良好來源。可是，ISAC的成功每每只能維持最初的階段，由於分享的意願取決於ISAC的規模。一旦有其餘參與者進入ISAC，共享效率就趨於降低，由於參與者不但願有免費服務。如前所述，這不是技術問題，而是信任問題。

3. 威脅情報質量一般不好

威脅情報數據的種類不少，最多見的形式是IoC失陷指標，包含與惡意活動相關的信息，例如IP地址、域名或文件哈希等，其中用做識別惡意文件的指紋的文件哈希是IoC共享最多的數據類型，但價值「保鮮期」很短，由於惡意軟件發展極快。嚴格來講，IoC自己不具備情報價值，由於它們須要與網絡基礎結構日誌記錄上下文相關聯。一個普通的中型組織的IT系統天天會產生數百萬條系統消息，其中只有極少數是由人類分析人員調查的。基於IoC的檢測能夠促進基於風險的優先級，但這取決於IoC的質量。若是產生太多的誤報，將致使分析人員的告警疲勞。

當前，大多數威脅情報共享發生在痛苦金字塔的底部。完整的TTP很難以機器可讀的方式共享。MITRE ATT&CK框架是朝着正確方向邁出的第一步，但做爲一個專業領域，威脅情報仍然須要朝着標準化邁進一大步。因爲需求大於供應， 當下許多防護者攝取儘量多的情報數據，從而產生了信噪比問題。正式的CTI方法論的引入將有助於提升威脅情報的質量。

4. 威脅情報供應商的不透明

威脅情報市場的「水很深」，您知道如何對供應商的威脅情報質量進行評估?他們的原始情報是如何得到的?他們的傳感器如何分佈，是否存在誤差?

到目前爲止，大多數組織都是威脅數據的「消費者」而不是「客戶」，它們對情報數據提供者的方法不只未知，並且對它的來源也一無所知。

因爲缺少研發資源，商業威脅情報提供者常常將其CTI數據外包給競爭對手。網絡威脅聯盟就是一個衆所周知的例子，經過該聯盟，25個成員組織每個月共享400萬個可觀察物。商業威脅情報提供者結成聯盟可能致使某些威脅的報告出現重疊，而免費提供的開源威脅情報在很大程度上沒有這種問題。對於許多從業者來講，這種重疊是未知的，而且因爲商業情報的高價位，在實踐中很難識別。

5. CTI過於偏頗

從商業角度來看，情報供應商喜歡專一於大型國家行爲者，與低級別的網絡犯罪行爲者相比，實際上國家***對企業和我的的威脅每每被誇大了。威脅供應商報告的大部份內容都集中在國家***這種吸引眼球但實際威脅很小的子集上，這些威脅能夠增長閱讀的趣味性，但與咱們的大多很多天常威脅情報實踐並不十分相關。

6. CTI歸屬很難

出於營銷目的，全球主要威脅情報提供商熱衷於爲各個威脅組織起各類炫酷的名字。結果同一個***組織被冠以五花八門的名字，給歸因帶來極大麻煩。例如，同一個俄羅斯一個軍事情報組織被不一樣威脅情報提供商起了十多個名字：花式熊、APT-2八、Sofacy、STRONTIUM、Sednit、沙皇團隊、燕尾、典當風暴、TG-412七、灰熊草原等等。因爲威脅情報界不存在通用的命名約定，致使兩個問題，首先，實際存在的威脅數量在很大程度上被高估了。其次，缺乏命名約定會使情報共享變得複雜。同一***組織的每一個不一樣名稱都是一個額外的數據點，使推理複雜化，還會增長信噪比。

【本文是51CTO專欄做者「安全牛」的原創文章，轉載請經過安全牛（微信公衆號id:gooann-sectv）獲取受權】

戳這裏，看該做者更多好文 

【責任編輯：趙寧寧 TEL：（010）68476606】