引言

威胁情报这个概念，自从2014年Gartner提出以后，安全圈就一直在提这个概念，也一直尝试应用这个技术来做一些文章，无论是加在各家的安全产品上做一些对撞，还是自己保留数据库存一些黑产数据，都取得了一些效果。

但每每提到威胁情报，我们普通人观之，就像吃饭扫过米其林、满汉全席、景区的茶叶蛋(误)一样，好像平时接触不到，偶尔想要用也要付出很大的成本。很多人懂web安全，懂渗透测试，懂流程，但是提到威胁情报，总觉得离自己很远，几乎不会用到。

当我们谈论威胁情报，对于一般的安全从业人员来说，其实并不知道到底在谈论什么，到底要怎么用。就像皇帝的新衣一样，大家都说陛下穿着衣服，凑个热闹，但是陛下到底穿没穿衣服，大家其实没那么关心。

所以今天我们聊一聊，当我们谈论威胁情报的时候，我们到底在聊什么。

情报是什么

威胁情报的定义是什么呢？最早的援引应该是Gartner在2014年发表的《安全威胁情报服务市场指南》中提出的定义，即:

威胁情报是关于IT或信息资产所面临的现有或潜在威胁的循证知识，包括情境、机制、指标、推论与可行建议，这些知识可为威胁响应提供决策依据。

仔细看Gartner的定义，其实定义得很全面。但是普通人容易看得云里雾里，就像课本里的各种哲学定义，每个字都能看懂，但是一连起来可能就看不懂了。

笔者认为，威胁情报本身还是情报的子类。提到情报，大家应该知道得很多了，各种热播的谍战剧、抗战剧，都少不了各种情报、情报官的身影。 比如经典谍战剧 《潜伏》，主角余则成为了获取情报，深入敌军内部获取敌军机密，为最后的胜利提供了可靠的情报线索。

所以，我们谈情报，其本质还是用于对抗，只不过军事情报用于两军的对抗。而威胁情报是对抗谁呢？可能就是攻击者、黑产、安全漏洞等敌人了。

情报的重要性毋庸置疑。不知大家是否了解中途岛海战的历史，早在珍珠港海战之前，日本军令部派往珍珠港的间谍达200多名，其中最关键的人物是海军情报专家、海军预备役少尉军官吉川猛夫。他以日本驻檀香山领事馆工作人员“森村正”的假身份来到夏威夷。在察觉到美军监视解除后，吉川立即着手开展情报工作，他通过各种途径刺探情报，甚至跳到海里，游到军舰附近刺探情报。7个月后，以吉川猛夫为代表的日本间谍获得了包括珍珠港停泊舰艇数量、类型、位置、时段等全部情况，还有机场、飞机、驻军、防卫等其他详细信息。在偷袭之前，日军已将珍珠港内的情况全面掌握。1941年12月7日，日军袭击珍珠港，致使太平洋舰队遭受重创。

珍珠港事件后，美军吸取了珍珠港失利的教训，意识到对情报的忽视是失败的根源，空前重视情报工作。在新上任的太平洋舰队司令尼米兹的支持下，情报主管莱顿带领情报小组夜以继日分析破译日本电文。

莱顿连续3个月通宵达旦分析各类情报，从而确定未来中途岛海战日军行动的具体内容。最终得出结论：“日本将在6月3日进攻阿留申群岛，真正的航母编队主力将在6月4日早晨6点钟进攻中途岛，方向西北、方位325度，在距离中途岛175海里位置发起进攻。”中途岛战役打响后，尼米兹对莱顿说，“你的预测只差5海里、5度和5分钟。”

可见，即使在实力悬殊的两军中，谁先掌握情报，谁就能决定战争的主动权。

威胁情报又是什么

上一节我们提到了情报的重要性，那么威胁情报，其实也是一样的，是情报在安全领域的应用。

我们在情报应用中， 主要使用各种攻击者相关的 “证据” 来进行威胁情报的应用， 也就是我们常说的 IOC (Indicators of Compromise) , 即失陷指标。

失陷指标层级

上图中，越往上的层级，获取难度越高，对于一个企业的价值也越高。想一想，如果一个企业知道了攻击者的真实/身份，是不是比简单地封禁他的账号，封禁他的IP这些措施，更有打击效果？（律师函警告）。比如，张表哥发给你一个<震惊，这才是亚索无缝e兵.exe>文件。

<震惊，这才是亚索无缝e兵.exe>文件

你本想学点技术带妹，结果打开之后发现电脑文件全部啪地一下被加密了，很快啊, 需要支付赎金才可以解锁。那么当其他人收到同样的文件时，就可以将文件Hash与你收到的文件进行比对。一旦相同，就可以识别为恶意文件，从而避免财产损失，那么这个文件的Hash，就是图4中最底层的情报，也是最容易获取的文件特征威胁情报。

又比如，你的电脑打开木马后被攻击者控制了，你通过反查进程，或者终端EDR，又或者是流量监测工具，发现了攻击者IP是1.180.27.204，那么你就可以把IP上传到X社区，共享给其他用户。

 

X社区帮你出头

就像小时候被打之后可以报告老师一样，小时候是老师帮我们出头，现在可以告诉X社区。共享到X社区之后，其他用户就可以看到这个恶意IP相关的信息，就可以实时阻断该IP，或者将该IP加入黑名单。与其暗自咒骂攻击者不讲武德，不如直接曝光其IP，这样攻击者获利的机会将大大减少。（我不会告诉你，这种伟大的共享行为，还能获得X社区的奖励。）

其他用户可以实时看到该IP的恶意情况

除了这些，我们拿到些情报，还可以怎么用呢?

比如，我被一个IP攻击了，如果另一个人也同样被该IP访问了，那么就可以发现该IP的攻击行为。就像一个罪犯在洛圣都做了坏事，洛圣都给他打上了标签，那么他去纽约也会被通缉 (此处无作弊码彩蛋)。这是威胁情报被用作攻击证据的例子。

比如，我的网站被别人篡改了，改成了「小红到此一游」。那么，如果你的网站也出现了同样的字段，那是不是意味着我们受到了同一个人的攻击，是不是就可以尽早尽快地发现篡改行为，将损失降到最低。就像小明老是脱发，他去看医生，医生说你这是老熬夜导致的，那小李出现了同样的症状，是不是就可以不用去看医生了，直接让小明告诉他，你最近是不是老是熬夜，我有证据。这是威胁情报被用作失陷证据的例子。

其实是学安全学的

比如，红蓝对抗中，我军蜜罐捕获了一个小红队，获取到了他所使用的IP，以及他的优酷ID，还有平时在优酷喜欢看的片子(误)，溯源出本人之后，我们通知所有的防守方都注意这个IP的攻击行为，那么防守方都可以对这个IP进行封堵，就算失陷也可以进行溯源加分。这是威胁情报被用作防守联动的例子。