威胁情报层级

基础威胁情报（数据情报）

流量、文件、BGP、AS、路由、Whois、指纹、Passive DNS、信誉数据、C&C、IP、

战术威胁情报（数据关联&分析）

机读文件（IOC/TTP）、情报落地、协作联动、报警分析、定性分析、关联分析、事件预警、漏洞预警

战略威胁情报（价值&决策）

可读报告、意图分析、感知预测、决策支撑、危害范围、攻击路径、防御策略

威胁信息收集

开源的互联网设备搜索平台

Shodan、 Censys、 ZoomEye、 ICSfind、 IVRE、 Rapid7

开源扫描框架

nmap、zmap、masscan

威胁情报生产

SOAR（安全编排、自动化和响应） & 关联分析 、开源情报抓取、全网扫描、蜜罐/密网、流量获取、恶意软件处理、闭源和人际关系

情报能力发展

1. 基于报警
2. 基于机读情报检测/防御、基于安全通报响应
3. 基于事件响应（SOAR、可视化关联分析）生产情报
4. 特定范围内情报共享
5. 基于 hunting 的情报生产

防御终极问题

1. 能否发现攻击和风险
2. 能否快速止血
3. 能否评估影响范围
4. 能否知道是谁（人、资产等）意图是什么
5. 能否预测下一步他想做啥

威胁情报指标

分类

手机号、IP、端口、Email、Hash、User-Agent、Payload、Domain、C&C

标签

薅羊毛、暴力破解/撞库、CC 攻击、短信/邮箱轰炸、僵尸网络、肉鸡、远控/反链主机、病毒文件、远控端口、挖矿、恶意文件、网络扫描、爬虫、钓鱼

数据来源

PDNS、历史 Whois、域名、样本、网络空间探测

攻击者特征

1. 每个恶意软件/域名背后都有一个黑客—从人/团伙的视角看待每一次攻击
2. 终端不是感知威胁的必要条件--通过网络层面的关联分析，也可以感知威胁
3. 物以类聚，人以群分—黑客资产往往存在复用、聚集等特点
4. 情报的价值不仅仅是检测已知攻击—通过对黑客所有资产的掌握和发现，分析最新攻击动向

行业威胁情报共享原则

1. 保密性：仅限行业内流转、不可跨机构共享
2. 相关性：非必要信息不可共享
3. 最小传播：情报信息有必要最小范围传播
4. 可追溯：准确记录共享内容、共享时间以及信息提供者
5. 信息归属：信息共享者所有、有权要求使用者立即停止使用并销毁（销毁泉归属）
6. 依法执行：涉及执法机构依法进行案例调查时，应征得上级单位批准后，进入相关流程
7. 隐私保护：在情报信息申请单位内最小范围传播（情报提供者隐私，情报指向者隐私）
8. 分类分级：依法对隐私信息、敏感信息的收集及处理进行严格的管理及保护
9. 技术依托：信息共享过程中需采取必要的技术手段对信息实施保护

行业威胁情报共享的问题

1. 行业运营机构权威性保障
2. 提交情报质量保障
3. 情报流转标准技术及知识产权保障
4. 情报下发准确性保障

工控系统威胁情报

国家关键信息基础设施

能源、关键制造业

Stuxnet、Duqu、Flame、BlackEnergy

SCADC 系统

远程控制、协议探测、资产扫描

工控蜜罐

已被甄别、难管理、难分析

数据分析

攻击动作

写内存数据、操作 CPU 状态、修改系统时钟、删除系统程序

攻击影响

数据异常、程序停止运行、系统时间异常、系统运行故障