威胁情报（Threat Intelligence）

转自https://www.cnblogs.com/achao123/p/4980591.html（博客-北方.的狼）

什么是威胁情报，其实安全圈一直在使用着它们，漏洞库、指纹库、IP信誉库，它们都是威胁情报的一部分。情报就是线索，威胁情报就是为了还原已发生的攻击和预测未发生的攻击所须要的一切线索。“所谓的威胁情报就是帮助咱们发现威胁，并进行处置的相应知识。这种知识就是咱们所说的威胁情报”。

　　互联网安全曾经历经了流氓互殴，侠客对决、黑社会火并等等阶段，如今已经造成了攻击者有组织有预谋，防护者有侦查有战术的局面——不管是攻击仍是防护，都超越了点对点的战术，而愈来愈倚仗于全面的战法。简单来讲，就是搞安全的不只要看编程指南，还要看孙子兵法了。既然是正规军对垒，战法就要变得相对立体。所谓知己知彼，百战不殆。威胁情报，就像是八百里加急快报送来的敌情。

　　二战中，盟军依靠计算机之父图灵的天才破解了德国的密码，得知德国立刻要对考文垂进行轰炸。可是为了争取更大的决定性胜利，盟军选择不让德国人知道对手已经破译了其密码。所以盟军方面没有对考文垂进行有针对性的的防护措施。因而德国人相信其密码依然是安全的，从而一步步走进了盟军的圈套。

　　在威胁情报中，安全公司一样运用相似的方法和黑客斗法。例如：穿梭各大安全论坛，装做黑客的样子，开心地与之讨论最近哪一种攻击方式最流行，有哪些漏洞能够利用。而后回家修补漏洞。

　　因而，经过威胁情报，企业会对将来的攻击拥有免疫力，这就完全改变了本来的攻防态势。原来也许黑客能够用上整整一年的攻击手段，一旦进入威胁情报，就被重点监控。若是攻击者第二次还在用一样的后门，就等于主动跑到了探照灯下。

　　某大神爆料，目前美国正在有计划有组织地曝光其余国家对其基础设施发动的攻击。这句话让人细思极恐，这代表美国已经拥有了一份精准的威胁情报，对其攻击者的攻击路径已经了如指掌。为了避免打草惊蛇，其中有60%-70%的攻击路径，美国并无曝光。没错，美国正在静静地看对手装X。　

　　讲了什么是威胁情报，接下来讲威胁情报有什么用？威胁情报给谁用？

　　从我的角度，若是提供代理IP，刷流量的人想要（绕过IP限制）；若是提供僵尸网络IP，安全防护者想要，其实攻击者也想要，攻击者要的老是比防护者多，因此Ta们更能达到目的。从公司角度而言，先说项目之间，作WAF的、作扫描器的、作漏洞管理平台的能够交换漏洞信息，作杀毒的和入侵检测的能够交换恶意样本信息，作业务欺诈的和作网络攻防的能够交换IP信誉信息，这些都是为了作到内部资源（扫描器，WAF，IPS等安全组件）甚至外部资源（开源资源集合、厂商资源交换）的整合（现状是公司越大，这些信息越碎片化），整合才能起到协同防护的效果，才能有能力地进行深度分析去发现真正有价值的攻击事件与高级的难以发现的APT定点攻击事件。

　　过去，咱们将太多的精力放在实时防护上面，但并无将威胁彻底挡住，这个时代已通过去了。咱们须要创建一个完整的防护体系，从防护、检测到响应，甚至经过威胁情报将攻击事件的预测作起来，而这一切的核心就是要掌握海量的数据，并具有强大的数据分析能力。威胁情报，是面向新的威胁形式，防护思路从过去的基于漏洞为中心的方法，进化成基于威胁为中心的方法的必然结果，它和大数据安全分析、基于攻击链的纵深防护等思想正在造成新一代的防护体系的基石。