如何從威脅資料當中提取出威脅情報

威脅情報供給能力已經成為各類組織機構內網路安全體系的重要組成部分。目前已經有多家安全方案供應商針對最新惡意軟體手段、惡意域名、網站、IP地址以及基於主機的違規指標(簡稱IoC)提供與安全威脅相關的情報反饋。

而這些威脅反饋方案的本質思路可謂大同小異。惡意人士的行動速度正變得越來越快，而強大的情報供應能力則將使安全供應商得以快速反應並共享與實際出現的最新威脅相關聯的重要資訊。

這些策略無疑會給情報訂閱使用者帶來諸多助益。企業能夠通過這種眾包方式快速獲得關鍵資訊，同時實現惡意軟體特徵簽名的快速交付。然而，此類方案的侷限同樣不容忽視。在大多數情況下，威脅供應機制交付特徵簽名的速度仍遠遠不及攻擊者的行動節奏。

特定惡意負載、URL以及IP地址的存在時間可能相當短暫，這意味著其往往只會被應用在一次真正有針對性的攻擊活動當中。2015年Verizon資料洩露調查報告當中詳盡說明了這項結論。

Verizon釋出的這份報告指出，實際攻擊活動中所使用的約70%到90%的惡意軟體為專門針對受害組織所特意打造。很明顯，如果某項威脅已經被使用過一次，那麼單憑快速特徵簽名已經不足以解決問題。

學習與測試

這類問題的核心在於，我們必須立即著手瞭解情報與資料之間的區別。情報的作用是幫助我們更好地做好評估及解決前所未有之新型問題的準備。而在另一方面，資料則類似於測試中的固有答案。如果測試所使用的具體問題發生變化，那麼我們自然會因此陷入巨大的麻煩當中。

而 大多數威脅資訊供應手段中包含的具體內容其實屬於後一種，也就是威脅資料，其中包含的各項細化指標與當前已經出現在真實世界中的威脅可謂一一對應。儘管安 全行業正努力追蹤越來越多的指標並不斷提升更新速度，但這類方案多年來仍然面臨著一大根本性挑戰——保護者的行動永遠落後於惡意人士。

而更重要的是，實際情報絕不能單純來自外界。根據原有測試給出答案不足以解決問題，企業還需要在內部擁有“大腦”，並利用其從既有事故中學習經驗且據此評估新的、未知的威脅。

這意味著檢測手段必須不斷髮展，從而超越舊有個別威脅並更廣泛地適用於新的惡意特徵及設計思路，同時實現全部威脅活動資訊的彼此共享。

解決威脅情報難題的新思路

好訊息是，目前安全業界已經開始在這些領域取得進展。資料科學與機器學習模型正全面交付新的威脅審視角度。相較於以往將單一威脅同單一特徵或者IoC相對映的一對一方式，如此的資料科學模型能夠對威脅進行批量分析，從而瞭解其間存在哪些共通點。

這會給真實世界帶來巨大影響，因為安全性將不再取決於我們此前是否見過同樣的威脅活動。相反，我們將能夠根據全部以往威脅資訊評估任何已經或者可能出現的新型威脅。如果“它走路像惡意軟體、叫聲像惡意軟體”，那麼這就是一種新型惡意軟體——即使我們從未真正接觸過它。

這些模型也能夠基於內部以及外部資訊進行學習。許多極難把握的攻擊活動，例如內部人員威脅或者利用被盜憑證實施的攻擊，只能在與正常網路執行情況相比較時才能被檢測出來。很明顯，每套網路環境都有其特殊性，而通過該本地網路實現的使用者行為必須得到持續監控與學習。

當然，更強的“大腦”與質量更出色的資料供應之間並不存在排斥關係。二者都需要在長遠角度得到保證。這種立足於擴充套件與共享型資料來源的協作型學習將帶來顯而易見的回報。

不 過要想讓這類方案實際起效，企業必須要擁有能夠切實運用這些資料的“大腦”。以STIX與TAXII為代表的此類共享模型能夠識別並共享與威脅行為相關的 各類資訊。不過就目前來看，提供此類行為分析手段的資訊供應方案還非常有限，也鮮有企業做好對其進行處理與利用的準備。

再次強調，最重要的 因素不僅僅是獲取資料，而更多地是如何在其發生的同時加以利用。而這也將成為決定威脅情報工作是否成功的先決條件。外部資料絕不會憑空轉化為情報，我們更 應該將其視為一種“燃料”，並利用它推進我們的情報引擎。如果無法實現正確的執行順序，那麼我們投入了大量資金的安全分析體系極有可能無法帶來任何額外價值。

稿源：E安全