“威胁情报能预测哪里要发起攻击？说这话的一定是骗子

发布时间：2017-03-31 09:36:09 所属栏目：安全来源：雷锋网

导读：副标题#e# 有一个不幸的消息。小王在某公司安全运营部上班，因为想钱少、事多、离家远，最近他想离职了。换工作本身并没有什么不幸，但可怕的是，他的小秘密被老板发现了…… 悲剧是这样发生的—— 小绿：张主任，您好，今天公布了一个Web应用漏洞，编号

副标题[/!--empirenews.page--]

有一个不幸的消息。

小王在某公司安全运营部上班，因为想钱少、事多、离家远，最近他想离职了。

换工作本身并没有什么不幸，但可怕的是，他的小秘密被老板发现了……

悲剧是这样发生的——

小绿：张主任，您好，今天公布了一个Web应用漏洞，编号是CVE-2017-XXX，如果被利用，将会被远程执行任意代码，后果非常严重。您公司的安全运维接口人王工已经在今天早晨7点55分，漏洞公布后的5分钟内，收到了我们的安全通告邮件和短信。我们有下列安全建议和配置：blablabla……

张主任：我让小王立刻进行配置。

小绿：最近王工是不是有什么心事？或者想离职？

张主任：啊，你怎么知道？他刚刚提出离职。

小绿：云端情报显示，他和以前不太一样，以前新设备入网，规则配置的相当及时，基本在一小时内完成；最近3天，都需要一天才完成，我们每隔一小时会发送短信提醒。另外，他从文档服务器上下载了大量密级很高的文件，并发给一个他不常用的邮箱。

张主任：……

不过，这并不是一个真实的故事，但这是一个未来可能发生的故事。如果是一个真实的故事，小王可能会因为涉嫌盗窃公司机密被警察蜀黍带走……

2017年初，绿盟科技副总裁周凯去了趟美国RSA大会，今年这个大会有3万人参加、600多个参展商搞起来代表安全商业走势的盛大会议上，和威胁情报相关的参展商就有151个。

这说明了什么？安全厂商都觉得威胁情报是门大生意啊！于是，周凯在 3月28日RSA 热点研讨会上讲述了小王的故事。

小编()宅客频道编辑小李以为，坐下来一聊，周凯就要来一波威胁情报的安（guang）利（gao）。结果，他从头到尾强调了五次“威胁情报不能预测接下来要发生的攻击”，并摆出了拒绝的样子：

“谁要是和你说，威胁情报能百分百预测接下来哪里要发起攻击，他们一定是骗子！”

“威胁情报能预测哪里要发起攻击？说这话的一定是骗子！”

那……它有什么用？为什么各大厂商一副动手抢江山的架势？

2017RSA抢这块蛋糕是怎么回事

信息安全业界面对着纷繁复杂的形势，越来越意识到：仅仅防御是不够的，更加需要持续地检测与响应。而要做到更有效的检测与更快速的响应，要做到这一点，得拿到至关重要的威胁情报！

比如，两军交战，总要有人刺探军情对不对？所以，各大厂商当然要抢占这个蛋糕！

“威胁情报能预测哪里要发起攻击？说这话的一定是骗子！”

但是，安全领域的威胁情报比较坑爹：又不是时时能派人卧底攻击者内部！（虽然可能有，但绝对不是大多数，你以为人人都能无间道？）

“威胁情报能预测哪里要发起攻击？说这话的一定是骗子！”

于是，大家就使出浑身解数来搜集各类信息，甚至，可能仅仅看到蛛丝马迹，200块拼图只拿到其中的几十块，在强大的分析之下，有一定几率知道敌人可能瞄上了你的哪块肥肉，从而提醒你做出准备和响应。

说白了，威胁情报就是揭露一个企业、组织，乃至一个国家网络资产的脆弱面，它也有可能在某一段特殊时间内发现你可能会遭到某种类型的攻击。

比如，小明家失火了，你家也跟小明家一样有类似的安全隐患，最近天干物燥，它能指点你哪哪不对，要消除火灾隐患。

据周凯介绍，现在，威胁情报主要承担这些方面的重任：

情报查询：告诉大家世界发生了什么
威胁监测：童鞋，你家设备暴露在公网上了你知道吗？你这些资产（IP/域名/URL）的信誉怎么样？来来来，我告诉你。
情报机读：不光要告诉管理的安全人员，我们对待机器也要“一视同仁”，这位机器童鞋，我给你同步一下信息。管理平台不要急，你也有份，直接通过 API 喂饱你。
情报资讯：敲小黑板了，最近大家要注意这些热点威胁，哎哟，你看又暴露了这些漏洞、木马，我来给你分析分析。告诉你，最近这一阵子不大太平，有这些安全趋势blabla…… 对了，还有这些高级情报，算了，我偷偷说给你听。
……

“威胁情报能预测哪里要发起攻击？说这话的一定是骗子！”