威脅情報（Threat Intelligence）

轉自https://www.cnblogs.com/achao123/p/4980591.html（博客-北方.的狼）

什麼是威脅情報，其實安全圈一直在使用着它們，漏洞庫、指紋庫、IP信譽庫，它們都是威脅情報的一部分。情報就是線索，威脅情報就是爲了還原已發生的攻擊和預測未發生的攻擊所須要的一切線索。「所謂的威脅情報就是幫助咱們發現威脅，並進行處置的相應知識。這種知識就是咱們所說的威脅情報」。

　　互聯網安全曾經歷經了流氓互毆，俠客對決、黑社會火併等等階段，如今已經造成了攻擊者有組織有預謀，防護者有偵查有戰術的局面——不管是攻擊仍是防護，都超越了點對點的戰術，而愈來愈倚仗於全面的戰法。簡單來講，就是搞安全的不只要看編程指南，還要看孫子兵法了。既然是正規軍對壘，戰法就要變得相對立體。所謂知己知彼，百戰不殆。威脅情報，就像是八百里加急快報送來的敵情。

　　二戰中，盟軍依靠計算機之父圖靈的天才破解了德國的密碼，得知德國立刻要對考文垂進行轟炸。可是爲了爭取更大的決定性勝利，盟軍選擇不讓德國人知道對手已經破譯了其密碼。所以盟軍方面沒有對考文垂進行有針對性的的防護措施。因而德國人相信其密碼依然是安全的，從而一步步走進了盟軍的圈套。

　　在威脅情報中，安全公司一樣運用相似的方法和黑客鬥法。例如：穿梭各大安全論壇，裝做黑客的樣子，開心地與之討論最近哪一種攻擊方式最流行，有哪些漏洞能夠利用。而後回家修補漏洞。

　　因而，經過威脅情報，企業會對將來的攻擊擁有免疫力，這就完全改變了本來的攻防態勢。原來也許黑客能夠用上整整一年的攻擊手段，一旦進入威脅情報，就被重點監控。若是攻擊者第二次還在用一樣的後門，就等於主動跑到了探照燈下。

　　某大神爆料，目前美國正在有計劃有組織地曝光其餘國家對其基礎設施發動的攻擊。這句話讓人細思極恐，這代表美國已經擁有了一份精準的威脅情報，對其攻擊者的攻擊路徑已經瞭如指掌。爲了避免打草驚蛇，其中有60%-70%的攻擊路徑，美國並無曝光。沒錯，美國正在靜靜地看對手裝X。　

　　講了什麼是威脅情報，接下來講威脅情報有什麼用？威脅情報給誰用？

　　從我的角度，若是提供代理IP，刷流量的人想要（繞過IP限制）；若是提供僵屍網絡IP，安全防護者想要，其實攻擊者也想要，攻擊者要的老是比防護者多，因此Ta們更能達到目的。從公司角度而言，先說項目之間，作WAF的、作掃描器的、作漏洞管理平臺的能夠交換漏洞信息，作殺毒的和入侵檢測的能夠交換惡意樣本信息，作業務欺詐的和作網絡攻防的能夠交換IP信譽信息，這些都是爲了作到內部資源（掃描器，WAF，IPS等安全組件）甚至外部資源（開源資源集合、廠商資源交換）的整合（現狀是公司越大，這些信息越碎片化），整合才能起到協同防護的效果，纔能有能力地進行深度分析去發現真正有價值的攻擊事件與高級的難以發現的APT定點攻擊事件。

　　過去，咱們將太多的精力放在實時防護上面，但並無將威脅徹底擋住，這個時代已通過去了。咱們須要創建一個完整的防護體系，從防護、檢測到響應，甚至經過威脅情報將攻擊事件的預測作起來，而這一切的核心就是要掌握海量的數據，並具有強大的數據分析能力。威脅情報，是面向新的威脅形式，防護思路從過去的基於漏洞爲中心的方法，進化成基於威脅爲中心的方法的必然結果，它和大數據安全分析、基於攻擊鏈的縱深防護等思想正在造成新一代的防護體系的基石。