威脅情報供給能力已經成為各類組織機構內網絡安全體系的重要組成部分。目前已經有多家安全方案供應商針對最新惡意軟件手段、惡意域名、網站、IP地址以及基于主機的違規指標(簡稱IoC)提供與安全威脅相關的情報反饋。

[[162455]]

而這些威脅反饋方案的本質思路可謂大同小異。惡意人士的行動速度正變得越來越快，而強大的情報供應能力則將使安全供應商得以快速反應并共享與實際出現的最新威脅相關聯的重要信息。

這些策略無疑會給情報訂閱用戶帶來諸多助益。企業能夠通過這種眾包方式快速獲得關鍵信息，同時實現惡意軟件特征簽名的快速交付。然而，此類方案的局限同樣不容忽視。在大多數情況下，威脅供應機制交付特征簽名的速度仍遠遠不及攻擊者的行動節奏。

特定惡意負載、URL以及IP地址的存在時間可能相當短暫，這意味著其往往只會被應用在一次真正有針對性的攻擊活動當中。2015年Verizon數據泄露調查報告當中詳盡說明了這項結論。

Verizon發布的這份報告指出，實際攻擊活動中所使用的約70%到90%的惡意軟件為專門針對受害組織所特意打造。很明顯，如果某項威脅已經被使用過一次，那么單憑快速特征簽名已經不足以解決問題。

學習與測試

這類問題的核心在于，我們必須立即著手了解情報與數據之間的區別。情報的作用是幫助我們更好地做好評估及解決前所未有之新型問題的準備。而在另一方面，數據則類似于測試中的固有答案。如果測試所使用的具體問題發生變化，那么我們自然會因此陷入巨大的麻煩當中。

而 大多數威脅信息供應手段中包含的具體內容其實屬于后一種，也就是威脅數據，其中包含的各項細化指標與當前已經出現在真實世界中的威脅可謂一一對應。盡管安 全行業正努力追蹤越來越多的指標并不斷提升更新速度，但這類方案多年來仍然面臨著一大根本性挑戰——保護者的行動永遠落后于惡意人士。

而更重要的是，實際情報絕不能單純來自外界。根據原有測試給出答案不足以解決問題，企業還需要在內部擁有“大腦”，并利用其從既有事故中學習經驗且據此評估新的、未知的威脅。

這意味著檢測手段必須不斷發展，從而超越舊有個別威脅并更廣泛地適用于新的惡意特征及設計思路，同時實現全部威脅活動信息的彼此共享。

解決威脅情報難題的新思路

好消息是，目前安全業界已經開始在這些領域取得進展。數據科學與機器學習模型正全面交付新的威脅審視角度。相較于以往將單一威脅同單一特征或者IoC相映射的一對一方式，如此的數據科學模型能夠對威脅進行批量分析，從而了解其間存在哪些共通點。

這會給真實世界帶來巨大影響，因為安全性將不再取決于我們此前是否見過同樣的威脅活動。相反，我們將能夠根據全部以往威脅信息評估任何已經或者可能出現的新型威脅。如果“它走路像惡意軟件、叫聲像惡意軟件”，那么這就是一種新型惡意軟件——即使我們從未真正接觸過它。

這些模型也能夠基于內部以及外部信息進行學習。許多極難把握的攻擊活動，例如內部人員威脅或者利用被盜憑證實施的攻擊，只能在與正常網絡運行情況相比較時才能被檢測出來。很明顯，每套網絡環境都有其特殊性，而通過該本地網絡實現的用戶行為必須得到持續監控與學習。

當然，更強的“大腦”與質量更出色的數據供應之間并不存在排斥關系。二者都需要在長遠角度得到保證。這種立足于擴展與共享型數據源的協作型學習將帶來顯而易見的回報。

不 過要想讓這類方案實際起效，企業必須要擁有能夠切實運用這些數據的“大腦”。以STIX與TAXII為代表的此類共享模型能夠識別并共享與威脅行為相關的 各類信息。不過就目前來看，提供此類行為分析手段的信息供應方案還非常有限，也鮮有企業做好對其進行處理與利用的準備。

再次強調，最重要的 因素不僅僅是獲取數據，而更多地是如何在其發生的同時加以利用。而這也將成為決定威脅情報工作是否成功的先決條件。外部數據絕不會憑空轉化為情報，我們更 應該將其視為一種“燃料”，并利用它推進我們的情報引擎。如果無法實現正確的執行順序，那么我們投入了大量資金的安全分析體系極有可能無法帶來任何額外價值。