00X0 前言

威胁情报已经被大多数人接受了，随着微步社区的发展，威胁情报成为了攻防演练的"标配"了。但是知其然，不知其所以然；威胁情报在蓝队体系的建设并不是所谓的监控与研判的辅助工具，情报的作用可大可小。情报驱动与事件驱动相比，更加方便企业的信息安全建设。在情报驱动的事件响应中，收集信息有多种方式。但是，重要的是要注意事件响应本身也会产生网络威胁情报。传统的情报周期涉及方向、收集、处理、分析、传播和反馈。情报驱动的事件响应涉及所有这些步骤，并有助于在威胁情报的其他程序中形成方向、收集和分析，比如网络防御和用户意识培训。情报驱动的事件响应要经过理解和修复入侵风险，否则不会结束，实际上它会为情报周期持续不断地产生信息。所以说，情报驱动的事件响应不仅有助于识别、理解和消除网络中的威胁，而且有助于加强整个信息安全流程，最终改善后续的响应。

00X1 数据与情报

数据与情报，那么先有数据还是先有情报呢？数据是一条信息、事实，或统计结果。数据是用来描述某些事情的，对人有用的数据就叫做情报。数据和真正的情报之间的区别在于分析。情报需要基于一系列要求进行分析，目的是回答问题。所以说威胁情报，就是在一次又一次的攻防对抗当中获取的信息，精炼，分析，提取的对安全运营人员有用的数据。

但是，这么理解却也有失偏颇，原因是情报也可以催生出数据，借助威胁情报提前布局，从而捕获高价值的数据。不管攻防演练的结果是成或败，都会给运营中心提供多种信息，可以更好地了解企业的安全建设情况。很多蓝队成员错误的将IOC（攻陷指标）视为威胁情报的代称。

注释：IOC可以帮助我们在系统或网络日志中寻找某类特征数据来发现已被入侵的目标，这类特征数据包括与C2服务器或恶意软件下载相关联的IP地址和域名、SSL证书、恶意文件的哈希值、JARM指纹以及其他可以表明入侵的基于网络或主机的特征。

00X2 情报收集手段

蜜罐/蜜网

企业安全建设当中，安全设备历来是重中之重，随着攻防演练的普及，蜜罐这类安全设备往往是以高交互模式为主，并通过高交互的特点来收集有关攻击者的信息。蜜罐有很多种类：低交互蜜罐、高交互蜜罐、内部蜜罐以及边界蜜罐。蜜罐信息非常有用，只要我们理解蜜罐的类型，它们正在监控的内容以及交互的性质。蜜罐上捕获到的攻击尝试流量（尝试在系统上进行漏洞利用或安装恶意软件），往往要比分析网络扫描流量或Web爬虫流量有用多了。

小红书/脉脉（社工）

企业安全建设当中，防御社工历来是艰巨的。许多企业员工无意的情况下（例如：某大一实习生，在其抖音视频当中泄露了中信建投的敏感信息...），就会被攻击者利用社工的手段控制，对公司的安全造成巨大的威胁。众所周知，红队的社工往往是出其不意，并与时俱进的，那种方式快就使用那种，就使用那种方式，一般有如下的软件和方式可供选择，但是也要分在不同的项目场景下，在时间和条件的允许下：利用脉脉、Boss直聘等招聘或职场沟通软件，利用互联网公开信息，如：xxx+招标、xxx+联系方式、xxx+联系人。

电报群/论坛（APT组织）

企业安全建设当中，针对暗网信息的监测也是不可或缺的。在许多情况下，安全运营人员会通过互联网监测那些受限的论坛和聊天室。在这些论坛网站上，许多人会在完成信息分析后互相交换有价值的信息。这种类型的网站数量非常庞大，每家公司收集情报的范围往往是有限的，如何根据泄露的情报进行分析，也是非常考验安全运营人员的能力的。

00X3 情报建设

企业为什么会成为攻击目标？

答：这个问题本身就包含大量的信息，原因是公司得存在有价值的数据或者说攻击者知道公司的现金流非常富裕。攻击的性质（无论攻击者针对数据的完整性、保密性还是可用性，无论他们是否通过攻击获取第三方网络连接权限，也无论他们在找到目标后采取哪种行动）为你需要进一步寻找的目标提供了洞察力。战术和手法可能会发生变化，但攻击者的目标不会轻易改变。

谁会对企业进行攻击？

答：在攻防演练当中领导通常都会发出这样的感叹，这并不是安全人员要考虑的第一个问题。无论是哪种信息让企业成为某组织的目标，但是企业却不是该组织的唯一目标，原因是总会有另外类似的企业也会被觊觎。因此，最好不要过分纠结为什么攻击者会对企业进行攻击，反而忽略了总体的安全建设。安全人员需要摸清攻击者的攻击成本，就能针对特定攻击做出有效的拦截（例如：安全运营人员需要分析的攻击者相关信息包括：攻击者所使用的策略、目标、严谨程度、工作时间、基础设施，攻击行为表现出个体行为还是组织行为，以及其他数据可以通过分析数据来识别的模式）。

企业如何预防这类攻击？

答：分析的重要目标是了解发生了什么，并查清原因，以便将来能够预防。为了回答这个问题，你应该关注内网中出现的问题。是否存在被攻击者利用的未修补漏洞？是否IDS的警报被触发却无人问津？是否某个用户重新启用了曾在某个不相关的入侵事件中被泄露的密码？这个分析过程不会令人愉快，因为谁也不愿意听到或看到自己犯了错。可是，如果你的企业只是简单地从系统中删除了某个恶意软件，而并不理解或消除感染恶意软件的原因，那么你很快就会把整个的事件响应流程再来一遍，因为问题的根源并未找到，也没有得到处理。

企业应该如何监测这种攻击？

答：这个时候安全运营人员收集的数据，即威胁情报就会派上用场。安全运营人员所能做的事情在很大程度上取决于企业的安全建设是否完善合理。在回答这个问题时，重要的是要关注该攻击的独特之处（例如：恶意软件哈希、命令和控制服务器IP地址，以及入侵过程中那些不太短暂的方面）。

至于应急响应的流程构建（如下图所示），在将内部事件与信息共享组织或开源渠道报告的事件相比较时，此类分析尤其重要。安全运营人员为了解决这个问题，安全运营人员提出了如下的应急响应的流程构建图，帮助企业通过威胁情报驱动其应急响应，极大程度的减轻了企业安全建设的难度。

任何情报产品的目标都与事件紧密联系在一起。因此，威胁情报的存在在于，帮助企业建立起完善的应急响应流程与机制（如下图所示），为企业的安全建设提供有价值的信息，帮助企业预测和识别潜在的安全威胁，从而建立起完善的应急响应流程和机制。最重要的是，威胁情报还可以促进企业与供应商的沟通和协作，通过分享威胁情报，可以提高安全意识和防护能力，共同对抗安全威胁。

自动化告警工具（Automated consumption）是一种支持人工智能技术的安全服务，可以帮助企业通过自动发现、分类和保护企业的敏感数据。自动化告警工具一般会使用机器学习来识别敏感数据 (例如：企业员工信息、网站的AK/SK等)。自动使用型产品分为四类，如下所示：

非结构化/半结构化IOC

使用Snort规则描述的网络特征

使用Yara规则描述的文件特征

自动化IOC格式

00X4 总结

在应急响应中记录调查获取的数据，是非常重要的，安全运营人员通常会关注以下数据（如下所示），来帮助企业建立起合适的防护措施，例如网络安全设备设备配置、员工安全意识培训和安全政策和标准的制定等。

1. 源IP、目的IP和payload
2. 攻击者杀伤链流程（包括信标特征、手法和跳板...）
3. 攻陷主机包含数据（包括主机漏洞信息、设备类型...）
4. 攻击者残留的数据，（包括入侵残留文件，入侵获取的敏感信息...）

这个时候，我们根据上述收集的数据，构建出威胁情报，并对攻击者进行画像处理，就可以帮助安全员运营人员在应急响应流程（如上图所示）当中节约时间和精力，更好的完成企业的安全建设。