44

情报的场景与进阶

 6 years ago
source link: http://mp.weixin.qq.com/s/_d-qqy0dp685wRYp1QEeZw
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.

情报的场景与进阶

Original Python ZLabs 2017-02-15 06:34 Posted on

Image

别说话,没事时候随便看看就好。

别提问,我也不知道我在说什么。

按照获取的场景划分: 

  • 开源情报

    开源部分应该有大势也有细节,大可大到市场的形态,小可小到一条个人的社交信息数据。

    而开源情报除了取决于人以外,还取决于市场。

    尤其是从商业情报这个视角来看,市场越具有开放性,开源情报价值就越大 —— 《情报术》作者曾在书中质疑前苏联为什么不喜欢利用开源情报,因其本质就是当人们处于封闭型的政治形态之下,信息的开放性和流动性差,可信度也足够低,所以对开放性的信息自然也就抱有不信任态度,外加敌对关系,因此对其对手的开放性信息自然也就呈现出怀疑的态度。这很可能是导致很多封闭型国家无法利用开源信息制造有价情报的重要原因之一。 

  • 自有(自产/业务)情报

    这类情报相比开源情报更进一步。可能会与行业甚至是自身业务具有较强的相关性,但也可以认为是对以上情报的一种深度利用。可以画一个简单的关系图出来: 

    通过将一般性信息或与自身相关性较弱的信息导入到业务或行业特性中去看,就可能延展出新的有价情报。

    但是,这里需要的也不仅仅只是导入,多源头数据的导入除了结合业务或行业特性之外,还能够为情报分析人员提供更广和更高的视角 —— 比如之前曾经提到过的一个例子,军队由丛林迷彩换装到沙漠迷彩,则可能意味着其战略转向至有大量沙漠地带或植被覆盖较少的国家。若能再结合武器装备、换装部队、以及外部的国际形势,则可以推定其战略转向。

    我想信息安全方面的情报也是如此,所以这里除了导入以外还需要融合。 

  • 竞争性情报

    多数攻击遵循着水往低处流的基本原理。高成本的攻击目标将攻击者驱赶到低成本的攻击目标中去,虽然这并不意味着高成本攻击目标不会被人盯上(各种APT就是案例),但至少对于追求高性价比防御模型的人来说还是可以参考这样的原理。如,整个业务暴露点有三个:A、B和C。那么,如果三个暴露点必须存在而不能汇总为一个点的情况下,将ABC三部分都拉至同一水平线几乎是不可能的事情,所以攻击目标一定是流向那个防御能力最差的点 —— 当然前提是它值得被攻击。而如果将这个问题放到更加广阔的范围内去看,可能就不只是ABC三个业务暴露点,而可能是ABC三家同类公司。

    所以竞争性情报可以说是上面那张图中绿色的部分,绿色的部分不但支撑起自有情报的转换环节,更是需要通过更多的竞争性信息来组成这一部分,所以上面的图可以拓展一下变成这样: 

  • 反情报外延很大。这里只讨论制造陷阱或风险转移的问题。

    达成这两个目标的的前提则是利用信息不对称的条件先行获取到了局部情报,或是在自身信息保护到位的前提直接制造假象。比如,为诺曼底登陆转移风险的“水银计划”。

    翻看一下水银计划想到了什么?恩,应该是蜜罐吧。

    不过 …… 互联网上的蜜罐太多了,它们已经吃掉了足够多的流量,获取到了足够多的通用性很强的信息,对于一般需要情报的使用者来说完全可以采用这些数据而没有必要去重复建设。

    但是,如果能够结合自有情报和竞争性情报这两点再去深度思考的话就能发现,其实每个情报的使用者都可以构建一些只有他们自己才能建设且比通用性蜜罐更加直接有效的东西 —— 至于这是个什么东西,不可多说,也无法细说。 

而有了场景之后,如何进阶,这里有两个维度去考虑:

  • 如何结合

    在自有情报和竞争性情报中几乎已经回答了这个问题了。

    但这里我们还要将其与行动结合 —— 这也是引发“如何使用”这个问题的关键。那些年在我们谈【数据驱动安全】的时候,基本都是画表、或是炮图等等。后来才开始说,那些只是【看得见】,还需要【看得懂】,看懂了才能讲驱动。情报也是如此,数据驱动安全之后开始有了情报驱动安全。情报自身所带来的标准化和共享机制已经很大程度上解决了【看得见】的问题。但也带来了更复杂的【看得懂】的问题。

    在之前一篇关于情报的文章(文章 —— 威胁情报:我有药,你有病吗?)末尾提过那个邮箱的案例。一个邮箱和密码的泄露是很容易被看到的,甚至不需要任何技能都可以看到。但根据邮箱后缀丢到不同的企业中去,才是【看得懂】所需要的 —— 虽然这看起来并不是多么困难的一个动作,但很多时候看到和看懂之间的差异也仅此一步而已。

  • 如何使用

    情报在使用方面的第一道门槛应该是验证,验证分两个环节:是否面临威胁和是否会受到威胁。

    面临威胁是证明有无的问题,比如勒索软件,只要是联网的机器都会面临这样的威胁。而有些漏洞则不是,比如一台UNIX不会面临Windows漏洞的威胁。所以这个问题的答案往往是确定性极强的。

    是否会受到威胁,则是在第一个问题为肯定的答案基础之上产生的。当面临某种威胁的时候,这个威胁会从哪里来、会以什么样的方式来、到来之后又会怎样 …等等,这就很像STIX里对TTP的定义了。但这个问题的答案在不同的业务里很可能是不一样的,有可能在某些业务里,完全参考已有STIX中的TTP就足够了,而有些系统中,则是一套完全不同的结果。

    这主要与面临威胁系统的暴露问题以及承载业务有着较强的关系。

    暴露问题无非就是谁可以访问的问题,是互联网上都可以访问,还是特定人群才可以访问,而这些人又是否可控、安全意识是否够强、是否会受到他人诱惑等等 … 承载业务问题比如容易理解,一万人使用的业务和一个人使用的业务无论是在可能的风险上还是处置方式上,都有很大差异。

    把上面提到的这些因素都结合起来,就很容易解答使用问题了。

    好的情报 = 外部视角(获取的信息) + 业务视角 

    说到底,就是天天研究自身业务的那群黑客,那群黑客只有两个定位,一个定位是企业外想要黑你的人,另一个定位是企业请来自己黑自己的人。

最后,其实这本是一篇深夜胡思乱想的随笔。

结果却从一张纸片开始写起,又画到了本子上,最后又转战到mind上。无奈在其容量不断扩充之下,就索性发成一文。

                       --- 2017年情人节 晚


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK