蓝皮书 2019 02 威胁情报技术应用及发展分析蓝皮书 版权声明 本蓝皮书版权属于编写单位，并受法律保护。转载，摘编或利用其他方式使用本蓝皮书文字或者观点的， 应注明来源。违反上述者，将追究其相关法律责任。 编写说明 牵头单位： 大数据协同安全技术国家工程实验室 - 金融行业安全研究中心 参与单位： 大数据协同安全技术国家工程实验室 - 金融行业安全研究中心 平安金融安全研究院 国家信息技术安全研究中心 中国电子技术标准化研究院 编委会成员名单： 大数据协同安全技术国家工程实验室 - 金融行业安全研究中心、平安金融安全研究院：李洋、谢晴、周亚军、苏云凤 国家信息技术安全研究中心：俞克群、刘瑛煜、曹岳 中国电子技术标准化研究院：蔡磊、胡颖、周毅02 威胁情报技术应用及发展分析蓝皮书03 威胁情报概述 威胁情报概述 1.1 威胁情报的基本概念 1.1.1 威胁情报的定义 1.1.2 威胁情报的价值 1.1.3 威胁情报的特点 1.2 威胁情报的历史及现状 1.3.1 威胁情报政策 1.3.2 威胁情报规模 1.3.3 威胁情报落地现状 1.3.4 威胁情报生态构建 目 录 前 言 05 06 06 06 07 0809 09 1212 12 15 15 15 16 1617 1801 威胁情报分类、标准及应用 2.1 威胁情报分类 2.1.1 威胁情报数据类型 2.1.2 威胁情报内容 2.1.3 威胁情报使用场景 2.1.4 威胁情报来源 2.1.5 威胁情报共享 0204 威胁情报技术应用及发展分析蓝皮书 26 26 27 28 3031 31 32 342020 24 24 03威胁情报实践探索及创新 3.1 情报利用 3.2 情报生产 3.3 情报社区 3.4 企业威胁情报中心 3.5 威胁情报和安全运营 3.5.1 安全运营成熟度 3.5.2 SOAR 04总结与展望 2.2 威胁情报行业标准和规范 2.2.1 美国威胁情报标准规范 2.2.2 中国威胁情报标准规范 2.3 威胁情报典型应用 05 前言 网络空间的攻防是一场“非对称”的战争。高级持续性威胁（Advanced Persistent Threat，APT）等 新型攻击层出不穷，攻击者拥有较长的准备时间、丰富的攻击工具和较低的攻击成本。传统的安全防护多数依赖边界或特殊节点部署像防火墙等安全设备的静态防御，实行以特征检测为主的安全监控，并基于规则匹配产生告警。然而，面对各类新型威胁，传统的安全防御方式显得愈发捉襟见肘。在上述背景之下，提高检测识别的准确率、缩短响应时间和降低防御成本等成为网络安全研究的重点。 威胁情报的出现推动了传统事件响应式的安全思维向全生命周期的持续智能响应转变。借助威胁情报， 企业能够从网络安全设备的海量告警中解脱出来，以更加智能的方式掌握网络安全事件、重大漏洞、攻击手段等信息，并在第一时间采取预警和应急响应等工作。威胁情报具备高度规范化的数据格式，同时支持机读和人读分析，可以为安全分析的各个阶段提供有力的数据支撑，提升安全运行效率。因此，各国安全团队都开始积极地挖掘情报数据的价值，研究威胁情报分析与共享技术。越来越多的安全厂商开始提供威胁情报服务，众多企业的安全应急响应中心也开始接收威胁情报，威胁情报的受重视程度日益变高。 基于上述前提，本蓝皮书主要对威胁情报的概念、价值及现状、威胁情报分类、标准规范、典型架构展 开论述。同时，就大数据协同安全技术国家工程实验室 - 金融行业安全研究中心在探索安全运营体系建设过程中积累的经验和提出的创新点进行阐述。 最后，本蓝皮书旨在和业内同仁一起探讨如何利用或生产高质量的威胁情报，如何利用威胁情报提高企 业或组织的安全运营效率，以及如何构建一个完整的威胁情报生态。 前 言06 威胁情报技术应用及发展分析蓝皮书06 威胁情报技术应用及发展分析蓝皮书 威胁情报概述 1.1 威胁情报的基本概念 1.1.1 威胁情报的定义 许多机构曾提出过威胁情报的定义，截至目前，还是 Gartner 提出的威胁情报定义接受度最广，即“威 胁情报是关于 IT 或信息资产所面临的现有或潜在威胁的循证知识，包括情境、机制、指标、推论与可行建议，这些知识可为威胁响应提供决策依据。” 1 以往人们常常通过个人经验积累来获取外部威胁的知识，然而，不管是现在还是将来的安全状况都无法通过经验来表达。经验往往是零散且缺乏统一认识的，其时效性也较差，无法机读并难以进行知识传递。在变换无穷的攻击手法和工具面前，防御往往滞后于攻击的发生，此时需调整防御策略来预知攻击，威胁情报由此诞生。 基于威胁情报的概念，通过统一的结构化描述，合理的大数据分析及可视化等技术，可实现系统性地获 取、分析、利用和共享这些知识。通过汇集处理海量威胁情报，可实现较精准的动态防御。在落地阶段，为了更贴合威胁情报的概念，威胁情报已经演变成一个由威胁及其相关的漏洞、资产、事件等组成的知识集合，在“知彼”的同时也需要做到“知己”。 1 威胁情报，百度百科0107 威胁情报概述 1.1.2 威胁情报的价值 从价值维度而言，威胁情报是安全信息中具备较高价值和较强时效性的一个知识子集。此价值的定义， 取决于能否通过有效信息的获取和分析手段的利用，减少攻防对抗和安全管理中的不确定因素，从而辅助决策，保障安全行动。按照价值维度，我们可以构建一个“金字塔”状的安全信息应用价值模型，如图 1 所示。 威胁情报对于个人和组织而言，都具备一定的价值。在威胁情报落地的过程中，首先要弄清楚威胁情报 对个人或组织的意义，这取决于公司、行业、组织的规模和许多其他因素。 就不同作业层而言，其面临的安全问题和威胁情报对其带来的价值如表 1 所示：图 1. 网络安全信息的四个应用维度决策维度： 多维结合，最终判断，处置决策，需实际落地，容错率极低 情报维度： 深度加工，准确性高，时效性强，与场景贴合，应用频次高 信息维度： 基于数据，初步加工，准确性差，时效性不高，多作为参考 数据维度： 原始数据，未做加工，数据量大，利用难度大，应用频次低决策 情报 信息 数据08 威胁情报技术应用及发展分析蓝皮书 就公司不同岗位角度而言，例如从事 Web 应用防火墙（Web Application Firewall，WAF）、扫描器、 漏洞管理平台的人员可以通过威胁情报交换漏洞信息；从事业务欺诈和网络攻防的人员可以通过威胁情报交换 IP 信誉信息等；从事杀毒和入侵检测的人员可以通过威胁情报交换恶意样本信息。这些都是为了实现内外资源整合，进而起到协同防御的效果。 威胁情报对组织即将面临的攻击进行预测， 可帮助企业在防御上做出更优的决策， 利用威胁情报的目的 （包 含但不限于）以下要点： 1. 采取积极的措施，提前建立计划预防威胁2. 获取了解安全技术的最新发展，及时阻止出现的威胁3. 形成安全预警机制，在攻击到达前就能够知晓4. 完善安全事件响应方案5. 提高企业或组织已有的安全运营效率和安全投入产出比 1.1.3 威胁情报的特点 威胁情报具备以下三种特点，它们分别是：基础作业层 专业技术层 战略决策层 职责 完善设备安全规则、 补充威 胁指标、 日常监测任务应急响应、 安全相关细节、安全技术分析研究选择战略方向人员、 预算等资源分配 面临的问题 未出现过的攻击行为难以匹配、 设备告警信息杂乱无章无法控制完成应急所需时间、 难以识别告警所涉及的其他安全风险对资源分配没有很好的支持依据、 执行层多数没有技术背景 威胁情报的作用 确认威胁指标、 规则、 告警 缩短并前置检测与响应时间、 提供情景参考， 定位关联证据揭示风险全貌、 量化安全风险表 1. 威胁情报对应不同作业层的价值