如何从威胁数据当中提取出威胁情报

威胁情报供给能力已经成为各类组织机构内网络安全体系的重要组成部分。目前已经有多家安全方案供应商针对最新恶意软件手段、恶意域名、网站、IP地址以及基于主机的违规指标(简称IoC)提供与安全威胁相关的情报反馈。

而这些威胁反馈方案的本质思路可谓大同小异。恶意人士的行动速度正变得越来越快，而强大的情报供应能力则将使安全供应商得以快速反应并共享与实际出现的最新威胁相关联的重要信息。

这些策略无疑会给情报订阅用户带来诸多助益。企业能够通过这种众包方式快速获得关键信息，同时实现恶意软件特征签名的快速交付。然而，此类方案的局限同样不容忽视。在大多数情况下，威胁供应机制交付特征签名的速度仍远远不及攻击者的行动节奏。

特定恶意负载、URL以及IP地址的存在时间可能相当短暂，这意味着其往往只会被应用在一次真正有针对性的攻击活动当中。2015年Verizon数据泄露调查报告当中详尽说明了这项结论。

Verizon发布的这份报告指出，实际攻击活动中所使用的约70%到90%的恶意软件为专门针对受害组织所特意打造。很明显，如果某项威胁已经被使用过一次，那么单凭快速特征签名已经不足以解决问题。

学习与测试

这类问题的核心在于，我们必须立即着手了解情报与数据之间的区别。情报的作用是帮助我们更好地做好评估及解决前所未有之新型问题的准备。而在另一方面，数据则类似于测试中的固有答案。如果测试所使用的具体问题发生变化，那么我们自然会因此陷入巨大的麻烦当中。

而 大多数威胁信息供应手段中包含的具体内容其实属于后一种，也就是威胁数据，其中包含的各项细化指标与当前已经出现在真实世界中的威胁可谓一一对应。尽管安 全行业正努力追踪越来越多的指标并不断提升更新速度，但这类方案多年来仍然面临着一大根本性挑战——保护者的行动永远落后于恶意人士。

而更重要的是，实际情报绝不能单纯来自外界。根据原有测试给出答案不足以解决问题，企业还需要在内部拥有“大脑”，并利用其从既有事故中学习经验且据此评估新的、未知的威胁。

这意味着检测手段必须不断发展，从而超越旧有个别威胁并更广泛地适用于新的恶意特征及设计思路，同时实现全部威胁活动信息的彼此共享。

解决威胁情报难题的新思路

好消息是，目前安全业界已经开始在这些领域取得进展。数据科学与机器学习模型正全面交付新的威胁审视角度。相较于以往将单一威胁同单一特征或者IoC相映射的一对一方式，如此的数据科学模型能够对威胁进行批量分析，从而了解其间存在哪些共通点。

这会给真实世界带来巨大影响，因为安全性将不再取决于我们此前是否见过同样的威胁活动。相反，我们将能够根据全部以往威胁信息评估任何已经或者可能出现的新型威胁。如果“它走路像恶意软件、叫声像恶意软件”，那么这就是一种新型恶意软件——即使我们从未真正接触过它。

这些模型也能够基于内部以及外部信息进行学习。许多极难把握的攻击活动，例如内部人员威胁或者利用被盗凭证实施的攻击，只能在与正常网络运行情况相比较时才能被检测出来。很明显，每套网络环境都有其特殊性，而通过该本地网络实现的用户行为必须得到持续监控与学习。

当然，更强的“大脑”与质量更出色的数据供应之间并不存在排斥关系。二者都需要在长远角度得到保证。这种立足于扩展与共享型数据源的协作型学习将带来显而易见的回报。

不 过要想让这类方案实际起效，企业必须要拥有能够切实运用这些数据的“大脑”。以STIX与TAXII为代表的此类共享模型能够识别并共享与威胁行为相关的 各类信息。不过就目前来看，提供此类行为分析手段的信息供应方案还非常有限，也鲜有企业做好对其进行处理与利用的准备。

再次强调，最重要的 因素不仅仅是获取数据，而更多地是如何在其发生的同时加以利用。而这也将成为决定威胁情报工作是否成功的先决条件。外部数据绝不会凭空转化为情报，我们更 应该将其视为一种“燃料”，并利用它推进我们的情报引擎。如果无法实现正确的执行顺序，那么我们投入了大量资金的安全分析体系极有可能无法带来任何额外价值。

稿源：E安全