網(wǎng)絡(luò)威脅情報應(yīng)用逐漸普及，網(wǎng)絡(luò)威脅情報應(yīng)用的誤區(qū)也隨之而來。錯誤的威脅情報應(yīng)用模式不僅僅是資源的誤用，還可能帶來額外的暴露面，其支持者可能被對抗性情報模式所利用。作為定向攻擊的武器篩選條件，而這些誤區(qū)被推廣則可能會造成更大面積的潛在受害者群體，甚至作為攻擊關(guān)鍵信息基礎(chǔ)設(shè)施的跳板，因此，筆者選擇一些典型的誤區(qū)，剝開“洋蔥的心”。

　　誤區(qū)一：告警查詢論

　　最嚴重的誤區(qū)莫過于“告警查詢論”，該方法主張將網(wǎng)絡(luò)安全設(shè)備或系統(tǒng)平臺（如：IDS、WAF、NGFW、SIEM、態(tài)勢感知等）產(chǎn)生的告警日志，取出IOC值（IP、域名、URL等）提交威脅情報平臺查詢，根據(jù)查詢結(jié)果決定封禁與否，甚至支持永久封禁。

　　誤區(qū)分析：

　　1、首先，如果這是一個確認的攻擊日志，網(wǎng)絡(luò)安全人員必須對此做出響應(yīng)，因為“100個人說它是無害的，它就是無害的嗎？它攻擊我，它就是有害的，即使除了我以外其他任何人或機構(gòu)都沒有標記這是一個惡意的對象！”，所以“告警查詢論”存在嚴重漏洞！

　　2、在該言論中，放棄了對未告警的信息的檢查。如果安全人員到網(wǎng)上以“繞過”+【安全設(shè)備】，【*】中可以為任何安全設(shè)備的代換，可以看到大量的繞過安全設(shè)備的帖子。未將威脅情報應(yīng)用于主動防御或更全面的檢測，是一種嚴重的資源浪費和疏忽。

　　3、第三，忽略了威脅情報的重要屬性之一：時間屬性。IP、域名等均為網(wǎng)絡(luò)資源，都可以更換屬主，可回收、可轉(zhuǎn)讓，注銷后可能會被其他屬主所使用，因此“永久”這種用法忽略了威脅情報的時間屬性。

　　4、另外，該觀點的支持者忽略了私有威脅情報的概念，告警經(jīng)過分析研判，可以根據(jù)結(jié)果決定是否納入私有威脅情報管理。并且，可以利用威脅情報交換機制和協(xié)議（例如：TLP）進行發(fā)布，作為對合作伙伴、行業(yè)、國家安全的回饋。

　　正確理解：

　　沒有任何一種方法可以獨立完成網(wǎng)絡(luò)安全防護、檢測全部需求，網(wǎng)絡(luò)威脅情報的應(yīng)用如同我們所列舉過的所有設(shè)備、系統(tǒng)、平臺一樣，是一種具有獨特能力的網(wǎng)絡(luò)安全補充，它和其他所有的網(wǎng)絡(luò)安全設(shè)備與系統(tǒng)，共同承擔(dān)著企業(yè)網(wǎng)絡(luò)安全防護，對針對性繞過技術(shù)是一種強補充。

　　針對網(wǎng)絡(luò)威脅情報的自定義篩選應(yīng)用，可以構(gòu)成主動防御陣線，例如：在有效情報的前提下，設(shè)置網(wǎng)絡(luò)規(guī)則。大家一定不會忘記WannaCry通過Sinkhole免疫的方法（如果可以成功訪問iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com，則電腦在中了勒索病毒后不會進行文件加密而直接退出），因此只需要打開防火墻規(guī)則，則可以避免該災(zāi)難，但需要注意的是Sinkhole可能會搜集受害群體的信息。

　　同時，威脅情報可以針對告警信息進行線索擴展。在線索擴展場景下對告警信息的優(yōu)先級重定義起到重要作用。

　　誤區(qū)二：公開失效論

　　另一個廣泛被傳播的誤區(qū)是“公開失效論”，即網(wǎng)絡(luò)威脅情報一經(jīng)公開就失效了，將希望寄于攻擊者不會再次使用該方法，或者漏洞將被完全關(guān)閉，攻擊方法會失效。讓我們先學(xué)習(xí)如下案例：

　　WannaCry持續(xù)被利用。提起勒索軟件，可能無人不知WannaCry以及它的“業(yè)績”，曾經(jīng)在瞬間造成約150個國家200萬臺計算機被攻擊。然而，這個臭名昭著的勒索軟件，并不是利用0Day進行攻擊，根據(jù)報道，微軟在WannaCry肆虐前兩個月即發(fā)布了補丁，按照“公開無效論”者的觀點，這本是一個可以避免的災(zāi)難，但不幸的是，災(zāi)難還是發(fā)生了。筆者建議“公開失效論”者應(yīng)該思考一下這句話“study in preventable catastrophes” （https://datatechvibe.com/data/wannacry-should-you-still-worry/）。

　　到目前為止，WannaCry似乎并沒有完全被控制住，我們還是經(jīng)?？梢钥吹奖籛annaCry入侵的案例被報道出來。

　　誤區(qū)分析：

　　網(wǎng)絡(luò)情報僅當(dāng)對抗雙方信息一致，并且采取了必要、完整的對抗手段，公開的網(wǎng)絡(luò)威脅情報（也稱為：開源網(wǎng)絡(luò)威脅情報）才是出現(xiàn)“失效”，這種“失效”是網(wǎng)絡(luò)威脅情報應(yīng)用的結(jié)果，而“對抗雙方完全利用”的場景則出現(xiàn)的比例極少。

　　正確理解：

　　1、網(wǎng)絡(luò)威脅情報公開不代表目標受眾均有效接收，按照信息理論，信息接受方需要正確解讀發(fā)送方的全部含義。然而，現(xiàn)實中很多網(wǎng)絡(luò)安全人員沒能夠接收或者完整接收到威脅情報的相關(guān)信息，并根據(jù)威脅情報的建議進行了部署。威脅情報的完整接收和理解是網(wǎng)絡(luò)安全人員需要進行提升的關(guān)鍵環(huán)節(jié)。

　　2、網(wǎng)絡(luò)威脅情報的公開，需要對抗手段的對齊，方能發(fā)揮威脅情報的效用。

　　彩蛋：有心者是否注意到關(guān)于WannaCry的威脅情報中提到僅打補丁是不足夠的？

　　誤區(qū)三：開源無用論

　　“開源無用”論者認為開源情報因為受到信息發(fā)布的管制，缺少情報研究所需的高價值信息，并且隨著自媒體、多種媒體方式的衍生，開源情報存在著大量冗余、錯誤、虛假的情報，因此沒有用途。

　　針對這一言論，請先看一起非網(wǎng)絡(luò)安全的開源情報分析案例：

　　上個世紀50年代，格林斯潘靠著有限的公開信息，從飛機構(gòu)件材料中鋁、銅、鋼鐵的比例和數(shù)量入手，推出美國軍工業(yè)對經(jīng)濟體構(gòu)成的影響。他發(fā)表的統(tǒng)計結(jié)果，跟美國軍方所掌握的秘密數(shù)據(jù)驚人地接近，以至于五角大樓的人立刻斷定“這個人肯定是拿到了我們的秘密數(shù)據(jù)，否則不可能這么精確”。

　　誤區(qū)分析：

　　產(chǎn)生“開源無用”論的基礎(chǔ)，是情報分析人員的思維慣性、惰性、能力所造成，他們認為公開的情報由于受到各種嚴格的審核，無法推導(dǎo)出有效的結(jié)論。

　　正確理解：

　　“凡有接觸，必留痕跡”（Every contact leaves a trace，Edmond Locard），筆者在《溯源（歸因分析）與機器學(xué)習(xí)》中曾引用這一觀點。

　　關(guān)于開源威脅情報，首先面對的是冗、錯、偽的挑戰(zhàn)，這需要分析人員或組織投入大量人力、財力研究威脅情報的源頭、記錄威脅情報傳播的路徑、并進行冗余管理，同時還需要解決開源網(wǎng)絡(luò)威脅的錯誤信息，甚至處理上升到威脅情報對抗角度的虛假情報。

　　開源情報分析，需要情報分析人員的思維具有嚴謹、開拓等多面性，避免思維慣性，甚至是惰性的工作習(xí)慣，其培養(yǎng)過程漫長，并且還需要一些“天才”人物的出現(xiàn)。

　　開源情報在溯源分析中起到了重要作用，下圖則是筆者利用開源情報所獲得的信息（先進威脅情報商已經(jīng)于更早時間開始重點布局開源情報）：

　　筆者一直有一個疑問，“開源無用論”者是否真正研究過開源情報并愿意通過理論基礎(chǔ)公布是他們是如何得出“開源情報無用”這一結(jié)論的？

　　其他誤區(qū)

　　一勞永逸論：

　　“人不能兩次踏進同一條河”---赫拉克利特

　　一勞永逸論者，通常會提出威脅情報永久使用的期望，忽略了威脅情報具有動態(tài)的特性。這一輪點的支持者，通常略加思考，即能正確認識到事實。

　　上帝視角論：

　　“你們的威脅情報是最新、最全的嗎？”這是上帝視角論者最常提出的問題。從追求威脅情報質(zhì)量的角度上看威脅情報永遠都有可提升的空間，但由于傳遞時效、范圍（想一想“鐵路警察各管一段”的故事，更何況有著利益沖突的多方角逐）等因素的影響，新、全、準，就如同奧林匹克的精神一樣，可以不斷被刷新；最需要注意的重點是，威脅情報帶有預(yù)測，而預(yù)測總有伴隨著準確、遺漏的平衡。

　　試想，如果針的有上帝視角，我們把安全交給上帝，不香嗎？

　　結(jié)語

　　關(guān)于網(wǎng)絡(luò)威脅情報的誤區(qū)，或許還有很多，筆者所揭開的只是這顆洋蔥“一層”，希望廣大威脅情報研究者站出來共同糾偏，促進網(wǎng)絡(luò)威脅情報的應(yīng)用。