纳尼？威胁情报是什么鬼？

互联网安全曾经历经了流氓互殴，侠客对决、黑社会火并等等阶段，现在已经形成了攻击者有组织有预谋，防御者有侦查有战术的局面——无论是攻击还是防御，都超越了点对点的战术，而越来越倚仗于全面的战法。简单来说，就是搞安全的不仅要看编程指南，还要看孙子兵法了。

既然是正规军对垒，战法就要变得相对立体。所谓知己知彼，百战不殆。威胁情报，就像是八百里加急快报送来的敌情。

先来看看信息安全教主级公司 Gartner 怎么解释威胁情报：

威胁情报是针对一个已经存在或正在显露的威胁或危害资产的行为的，基于证据知识的，包含情境、机制、影响和应对建议的，用于帮助解决威胁或危害进行决策的知识。

由于安全行业的特殊性，各位大神对自己经手的安全事件和服务对象守口如瓶，不过，他们提出了一些理念，还是让人觉得新鲜有趣。

攻击只需数分钟 防御却需数天

木桶理论失衡，现在玩的是塔防

“所有的系统一定可以被入侵。”这是威胁情报专家，Sec-UN网站创始人金湘宇给出的“悲观论断”。他认为，互联网攻击的技术在不断提高，而所有的系统都存在漏洞，避免被攻击在逻辑上并不成立。

原来认为安全就是做木桶，只要补上短板就可以高枕无忧，现在发现安全玩的是塔防，要实时应对到来的威胁。以目前的网速来看，拖库的攻击甚至在一天内就能搞定，往往是网站信息已经泄露到了网上，被攻击者才得知自己遭受攻击，这样的攻防已经完全失衡了。所以做应急响应的关键，实际上是在努力减少攻击者的“自由攻击时间”。

通俗来讲，自由攻击时间就是在被打者反应过来之前，进攻者可以肆无忌惮出拳的时间段。

蓝色时间段为“自由攻击时间”

知道了自己被攻击，好歹还可以断电嘛。被爆菊后还无动于衷，该是多么悲伤啊。

锦囊里有什么？

中国信息安全评测中心首席信息安全咨询师蒋鲁宁说，只有情报收集者能够采取应对行动的情报，才是真正意义上的情报，否则就仅仅是一种知识。所以，可以说安全企业提供的威胁情报不仅是一份报告，还应该包括可以应对的锦囊妙计。

常见的网络安全威胁情报清单

根据上图的情报分类，不难推断出一般企业面临最多的威胁有哪些。除去打击黑客的攻击威胁之外，品牌舆情也是企业最看重的。也就是说，情报的收集，已经不仅仅局限于安全领域，甚至可以拓展到企业的社会评价，甚至是舆论走向预测。例如，锤子发布T1的时候，如果提前进行威胁侦查，就可能会知道：产能严重不足将导致一大波口诛笔伐的到来。

情报不是轮子，而是一台车

攻击是一个行为体系，包含动机、攻击方法、攻击事件、被攻击系统、应对行动等等诸多要素。如果你发现一把刀，并不能认为这把刀是对自己有直接威胁的。一个工具只有在有行凶动机的人手中，并且做出了威胁你的事情，才可以成为凶器。

蒋鲁宁认为，所有的情报都需要根据企业自身的业务流程来加工，才能形成有指导意义的威胁报告。金湘宇举了一个形象的例子：

威胁信息就像汽车的一个零件——一个车轮，但一个车轮并不能工作，而威胁情报是一部车。只有协同配合，才能让没有生命的信息跃迁成为一个更高级的整体。

威胁情报行业这两年在全球以60%的复合增长率膨胀，仰仗的是大数据的整合能力。然而， 在实践的操作中，防护体系有着诸多的问题。

对于一个企业，每天仅仅是高度汇总的威胁信息都有上千条，而其中，真正有用的也许只有几条。另外，常规的安全防火墙只能应对普遍的攻击，对于有特殊目的的针对性“点杀”根本无能为力。

360高级产品总监韩永刚认为，数据驱动非常重要，但是数据量不一定要很大，数据的处理方法也直接决定了处理效果。也就是说，评价这台车的的好坏，不能只看它的体量，最重要的是发动机的精密结构和技术含量。

威胁情报可以改变攻防态势

我就静静地看着你装X

360高级产品总监韩永刚认为：“看见，是防护的第一步。”这也是威胁情报的意义所在。有了威胁情报，某种意义上讲等于开挂，因为防守方有了上帝视角。韩永刚表示，360已经建成了国内首个可商用的威胁情报中心，并已经发现了13个APT（高级持续性威胁）组织。

说到这里，还可以讲一个小故事。

二战中，盟军依靠计算机之父图灵的天才破解了德国的密码，得知德国马上要对考文垂进行轰炸。但是为了争取更大的决定性胜利，盟军选择不让德国人知道对手已经破译了其密码。因此盟军方面没有对考文垂进行有针对性的的防御措施。于是德国人相信其密码依然是安全的，从而一步步走进了盟军的圈套。

在威胁情报中，安全公司同样运用类似的方法和黑客斗法。例如：穿梭各大安全论坛，装作黑客的样子，开心地与之讨论最近哪种攻击方式最流行，有哪些漏洞可以利用。然后回家修补漏洞。

于是，通过威胁情报，企业会对未来的攻击拥有免疫力，这就彻底改变了原本的攻防态势。原来也许黑客可以用上整整一年的攻击手段，一旦进入威胁情报，就被重点监控。如果攻击者第二次还在用同样的后门，就等于主动跑到了探照灯下。

某大神爆料，目前美国正在有计划有组织地曝光其他国家对其基础设施发动的攻击。这句话让人细思极恐，这表明美国已经拥有了一份精准的威胁情报，对其攻击者的攻击路径已经了如指掌。为了不打草惊蛇，其中有60%-70%的攻击路径，美国并没有曝光。没错，美国正在静静地看对手装X。