《防患未然：實施情報先導的資訊安全方法與實踐》——3.2 網絡威脅情報的定義

本節書摘來自華章計算機《防患未然：實施情報先導的資訊安全方法與實踐》一書中的第3章，第3.2節,作者：[美] 艾倫利斯卡（allan liska） 更多章節内容可以通路雲栖社群“華章計算機”公衆号檢視。

在第2章中介紹了情報的定義：

情報是一個“傘狀術語”，指的是一系列活動—從規劃和資訊收集到分析和傳播，以秘密的方式進行，通過提供威脅或者潛在威脅的預警，使預防性政策或者戰略（包括必要時的秘密活動）得以及時實施，旨在維護和加強相對安全。

這是定義網絡威脅情報的良好開端。gartner（mcmillan，2013）使用如下定義代替：

基于證據、關于資産所面臨的現有或新興威脅及風險的認識，包括環境、機制、名額、可能結果及可付諸行動的建議，可以為威脅或風險應對決策提供資訊。

對于本書的目的，這一定義非常合适，因為它包含了網絡威脅情報中對安全團隊的成功至關重要的所有方面。

和情報的傳統定義類似，網絡威脅情報的定義集中于一個事實：情報應該是可以付諸行動的。特别是在較小的機構中，網絡安全情報必須以即時性措施的形式出現，安全團隊可以采取這些措施保護網絡。

定義中的另一個方面強調了環境，這一方面在第2章的原始定義中遺漏了，但是仍很重要。環境實際上與兩個領域有關。首先，如果目标網絡不受影響，那麼網絡威脅也就不是真正的威脅。在安全威脅情報領域中，環境很重要，知道有哪些威脅是不夠的，有效的安全組織還必須全面了解大型組織中所要保護的資産。其次，了解威脅本身的環境是很重要的。分布式拒絕服務攻擊（ddos）的來源是向某個組織發動ddos攻擊然後快速離開的無重點群體，還是使用ddos掩蓋其他活動的有組織團隊？

這是區分術語的合适時機。漏洞（vulnerability）、利用（exploit）和威脅（threat）這些術語往往互相重疊，但是每個術語在本書中都有特定的含義。漏洞是應用程式、系統或者過程中的一個弱點，可能被用來獲得權限提升、幹擾正常使用或者進行其他潛在的惡意活動。利用是可能用于針對漏洞所造成暴露的自動化代碼或者人工行為。威脅是組織網絡中可能被利用的特定漏洞的存在。威脅和利用是主動性的，而漏洞是被動性的。

前面已經提出過，在此定義中又被重複提到的一個要點是：情報不等于資料。在收集的資料通過内部或者第三方分析之前，它隻是資訊。隻有收集的資料經過整個情報生命期，才能成為情報。上述定義中還提到了名額。在網絡威脅情報領域中，名額通常是ip位址、域名、檔案散列、系統資料庫項、特征碼或者類似的其他資訊。這些名額本身并不是情報，它必須與對名額的認識、對目标網絡的威脅級别以及目标網絡的相關性相結合，才能成為情報。

例如，許多來源（本書後面會用到一些）提供用于保護網絡的ip位址清單。這些ip位址清單本身不是情報，而當它們在某個網絡或者一個類似網絡中被檢測到時，就會成為情報。隻有在這些ip位址可以付諸行動時，例如，被攔截的威脅，它們才從資訊變為潛在的情報。