Author: elknot@360corpsec

0x00 前言

其实这篇文章在昨天构思的时候就已经想到了，但是为什么过段时间才放出来，是因为看到了b1z0n大佬写的那篇文章，于是准备把这篇文章的结构完善一下然后写出来。
其实上篇文章在基础设施威胁情报里面，我们干的事情很大一部分都是在将资产与威胁情报结合来看，那么这么做，实际上是为了怕一种情况而来——突发的信息安全事件，这个事件可能是比较大规模的公共类型事件，也可能是小规模爆发黑产性质的事件，前者的最佳案例就是上半年WannaCry肆虐全球，后者最佳案例就是12月底的Weblogic挖矿事件。换句话说，事件情报实际上就是为了迅速确定事件对我方的影响程度和如何缓解或彻底解决事件对我们产生的影响。如果等被搞了之后再来做方案，估计，有可能等你反应过来的时候就有可能全军覆没了。

0x01 事件威胁情报在内网中运用

所谓事件威胁情报实际上是把威胁情报按照事件的相关程度聚类获得的威胁情报，其实很多威胁情报商都会提供这种类型的情报，有些是作为公众服务来将与之相关的威胁情报元素（可以是IP地址、可以是MD5、可以是邮件内容、也可以是预警通告什么的，总之就是和这件事情相关的一切可检索的信息）聚合称为事件情报，然后对外输出。而有些则是以社区的方式来输出这些情报，聚集社会的力量来查一个事件。最好的两个例子就是国内改版后的微步在线x.threatbook.cn（这里不知道是什么原因，因为我不想看Mac上的访达而是想看Finder，所以把区域和语言做了切换，然后我再打开微步的时候发现这个版块突然没了，估计是按照区域做了限制）和国外的AlienVault。


我们其实在使用这些已经公开的事件情报的时候，最重要的事情是抢时间，也就是说我们在这些情报刚出来的时候立刻就能监测到相关的信息和情报，这样的话我们就有足够多的时间去部署防御措施和持续追踪事态发展。威胁情报相对于网络安全而言，完完全全就是军事上的情报和战略制定的关系。假设在打仗中如果我们收到了准确可靠情报说敌军现在没有在城中部署大规模的防守力量，只留下了部分残兵在守城，这个时候我们就可以放心大胆的攻城了，如果你没有收到相关的情报，这个时候你是无论如何也不敢放开胆子大干一场的，当然如果派尖兵过去看一下这个也算获得情报的一种途径了。
刚才扯远了，继续说情报时效性和我们安全运营的关系。结合PDR模型和安全防御生命周期来看的话，如果我们情报部署得当，在攻击影响到我方前就已经部署了相关的防护措施，实际上我们是仅需要对我们系统进行持续化监控，一旦检测到触发了相关的IOC，立刻进入响应缓解，下线受影响资产。

那么在时间这个维度上看的话，实际上我们获得相关情报的时间越长，检测规则就会越快部署，也就可以更早的发现该事件对我方基础设施的影响，一旦发现影响，应急响应团队立刻跟进，这样的话就能更快的去消灭该事件造成的影响，从而保护我们。
而站在安全防御生命周期的角度上来看的话，各个阶段可以部署相对应的威胁情报种类。下面这张图大概了情报部署的阶段和来源，首先对于某个事件的监控一定是持久化的，尤其是高级威胁这种持续时间长危害性大的事件，在监控的同时也需要吧情报信息匹配到现有的安全日志，诸如终端Agent日志、流量DPI日志、系统设备日志、远程登录日志等等。

如果要是想匹配一些威胁情报数据，但是安全设备的规则厂商又没更新，这个时候可以考虑部署一个轻量级IDS，放到传统的IDS、WAF这些安全检测设备之后。

0x02 事件情报的持续追踪

这里就需要谈到一个持续追踪的问题， 因为有些互联网安全事件不像公开事件这种引起全球恐慌的世界大战，而是小规模的针对特定行业的，这个时候我们就需要对事件进行持续化跟踪。那么这个时候跟踪这些小规模事件，就需要一些特殊的情报源，比如说微信群（有时候刷微信真的比什么泰式感知有用得多）、朋友圈这种社交属性的，因为有时候大家很容易碰到一拨人再搞，比如这次weblogic事件，当时我们发现不止一个受害者都是因为weblogic的漏洞然后在一些微信群里，这样的话当我们发现一个话题被讨论很多次而且又带有很大共性的时候，这可能就是一个小规模事件爆发的前兆。现在网络安全大规模爆发某种安全事件的可能性不是很大，正如同现在再来一次世界大战的可能性一样，反而是小规模的地区冲突爆发的非常频繁，巨头们可能不会在意这些问题，但是在一些安全体制不健全的企业里面，这个时候会不会来一波攻击，这个可说不好。如果很幸运的躲过了这一次攻击，那么下一次你还会躲过么，这个时候就需要对某些事件进行持续性的观察了，当然不是让专人去盯，微信机器人，爬虫什么的都可以用起来。

0x03 推荐的事件情报源

这段时间一直在致力于情报源的收集，其实好用的情报源就那么几个，个人比较推荐国内的微步在线（大品牌你懂得），国外的IBM X-Force Exchange、Alienvault OTX、Emergency Threat Pro、Snort这些，这些厂商已经把一些时间打包并持续性跟踪了，所以用起来相对容易。当然还有一些blog性质的研究比如cisco talos、palo alto Network unit42、IBM Security、TrendMicro Intelligence、Securelist这些blog，不定时也会推送一些安全事件的分析报告和信息。当然我这个肯定不全，欢迎大家补充。

Reference

http://hiphotos.baidu.com/_wang8/pic/item/826d41f3d7ca7bcba4edaa95be096b63f724a85e.jpg