過去十年中，網絡威脅情報(CTI)取得了飛速發展，其目的是通過結合計算機科學和情報學科來對抗網絡威脅。

由黑客組織實施的網絡攻擊是最常見且損失最為高昂的網絡安全事件，但防御端的檢測和響應卻極為遲鈍，現代企業檢測網絡入侵的平均時間為206天，而平均緩解和遏制時間則為73天。

[[340794]]

為了彌合這一差距，網絡安全社區創造了網絡威脅情報(CTI)的概念和方法。威脅情報的主要目標是建立相對于網絡威脅參與者的知識優勢。在戰術和運營層面，威脅情報加快了惡意行為的早期檢測，最好是在惡意參與者在網絡中立足未穩之前。在戰略層面，威脅情報為決策者提供了對相關威脅環境的感知和認識。實際上，威脅情報是民用和私營部門的替代品，用來代替傳統的情報共同體(IC)開展防御性情報工作。

最初受雇于IC的許多技術專家已經為威脅情報供應商工作，例如CrowdStrike、FireEye、Talos和Kaspersky。威脅情報界對網絡威脅進行公開和商業化的情報分析，憑借其深厚的技術專長和主題知識，威脅情報界在應對未來幾年的網絡安全威脅方面潛力巨大，頂級的威脅情報服務商某些情況下能夠達到甚至超過政府情報機構的能力。

與看上去有些務虛的“風險管理”不同，網絡威脅情報更加實用，可實操，且能夠應對高度動態的環境。許多當年的殺毒軟件供應商已經改變了業務方向，成為商業威脅情報提供商，提供有關網絡威脅參與者的高價值情報分析服務。如今，威脅情報在日常網絡安全實踐中已經開始發揮重要作用。

近日，荷蘭政府高級網絡威脅情報分析師Kris Ossthoek在《國際情報與反情報雜志》上撰文指出，雖然威脅情報是網絡安全領域的重要補充，但它仍處于起步階段。威脅情報面臨的挑戰不僅是技術和戰術層面的情報質量和情報分享問題，還包括方法論和流程問題。

Ossthoek認為，雖然今天威脅情報界已經擁有豐富的工具和技術知識，但最初的創新腳步已停滯不前，缺乏標準化和方法論，產品或服務缺乏流程，是威脅情報融入網絡安全防御體系的最大挑戰。

以下，是Oosthoek在論文中指出的威脅情報面臨的六大難題，概括整理如下：

1. CTI缺乏方法論

Sherman Kent的《分析學》，Richards Heuer的《情報分析心理學》和《結構化分析技術》。許多網絡安全會議的演講者都會提及這些著作和術語來讓威脅情報看上有著嚴謹的理論基礎和科學嚴謹性。但事實上威脅情報大多數內容都是建立在松散的概念之上，并不具備嚴格的分析能力。如今，大多數威脅情報分析都是由警報和傳入的原始數據而不是預先確定的假設進行輸入驅動的。缺乏方法論導致企業難以分析每天大量產生的IoC數據點與特定威脅環境的相關性。另一方面，缺少(基于方法論的)流程會導致威脅情報分析癱瘓，尤其是在較小的團隊中。盡管計算機科學領域已經提供了幾種支持數據預處理的機器學習算法，但將隱性知識轉換為算法可能在未來幾年仍將是一個尚未解決的挑戰。解決之道在于引入流程，而不是更多的技術。

2. 威脅情報是共享的，但只是口頭上的

珍珠港事件和911事件都是IC情報共享的最佳反面教材。由于交通燈協議(TLP)的限制，CTI的共享更加復雜。TLP使用交通信號燈顏色指示是否可以跨信任邊界(組織、信息共享和分析中心[ISAC])共享信息。紅色限制只向直接參與者分發，而綠色限制向社區公開。白色表示共享不受限制。但是灰色區域(Amber)則模棱兩可：只能在您的組織內共享，而特定約束可以由源機構指定。此外，TLP僅適用于人與人之間的共享，不適用于基于計算機的威脅數據共享，后者依賴機器與機器共享的正式標準，例如結構化威脅信息表達。但是，大多數威脅情報數據仍以非結構化方式共享。

ISAC(信息分享與分析中心)促進了各個行業和企業之間的信息共享。ISAC可以成為免費交換優質CTI的良好來源。但是，ISAC的成功往往只能維持最初的階段，因為分享的意愿取決于ISAC的規模。一旦有其他參與者進入ISAC，共享效率就趨于下降，因為參與者不希望有免費服務。如前所述，這不是技術問題，而是信任問題。

3. 威脅情報質量通常很差

威脅情報數據的種類很多，最常見的形式是IoC失陷指標，包含與惡意活動相關的信息，例如IP地址、域名或文件哈希等，其中用作識別惡意文件的指紋的文件哈希是IoC共享最多的數據類型，但價值“保鮮期”很短，因為惡意軟件發展極快。嚴格來說，IoC本身不具有情報價值，因為它們需要與網絡基礎結構日志記錄上下文相關聯。一個普通的中型組織的IT系統每天會產生數百萬條系統消息，其中只有極少數是由人類分析人員調查的。基于IoC的檢測可以促進基于風險的優先級，但這取決于IoC的質量。如果產生太多的誤報，將導致分析人員的告警疲勞。

當前，大多數威脅情報共享發生在痛苦金字塔的底部。完整的TTP很難以機器可讀的方式共享。MITRE ATT&CK框架是朝著正確方向邁出的第一步，但作為一個專業領域，威脅情報仍然需要朝著標準化邁進一大步。由于需求大于供應， 當下許多防御者攝取盡可能多的情報數據，從而產生了信噪比問題。正式的CTI方法論的引入將有助于提高威脅情報的質量。

4. 威脅情報供應商的不透明

威脅情報市場的“水很深”，您知道如何對供應商的威脅情報質量進行評估?他們的原始情報是如何獲得的?他們的傳感器如何分布，是否存在偏差?

到目前為止，大多數組織都是威脅數據的“消費者”而不是“客戶”，它們對情報數據提供者的方法不僅未知，而且對它的來源也一無所知。

由于缺乏研發資源，商業威脅情報提供者經常將其CTI數據外包給競爭對手。網絡威脅聯盟就是一個眾所周知的例子，通過該聯盟，25個成員組織每月共享400萬個可觀察物。商業威脅情報提供者結成聯盟可能導致某些威脅的報告出現重疊，而免費提供的開源威脅情報在很大程度上沒有這種問題。對于許多從業者來說，這種重疊是未知的，并且由于商業情報的高價位，在實踐中很難識別。

5. CTI過于偏頗

從商業角度來看，情報供應商喜歡專注于大型國家行為者，與低級別的網絡犯罪行為者相比，實際上國家黑客對企業和個人的威脅往往被夸大了。威脅供應商報告的大部分內容都集中在國家黑客這種吸引眼球但實際威脅很小的子集上，這些威脅可以增加閱讀的趣味性，但與我們的大多數日常威脅情報實踐并不十分相關。

6. CTI歸屬很難

出于營銷目的，全球主要威脅情報提供商熱衷于為各個威脅組織起各種炫酷的名字。結果同一個黑客組織被冠以五花八門的名字，給歸因帶來極大麻煩。例如，同一個俄羅斯一個軍事情報組織被不同威脅情報提供商起了十多個名字：花式熊、APT-28、Sofacy、STRONTIUM、Sednit、沙皇團隊、燕尾、典當風暴、TG-4127、灰熊草原等等。由于威脅情報界不存在通用的命名約定，導致兩個問題，首先，實際存在的威脅數量在很大程度上被高估了。其次，缺少命名約定會使情報共享變得復雜。同一黑客組織的每個不同名稱都是一個額外的數據點，使推理復雜化，還會增加信噪比。

【本文是51CTO專欄作者“安全牛”的原創文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文