回顧情報領域的經典讀物殺鏈模型，當時來自 Lockheed Martin 的作者闡述了一種情報驅動的彈性防御模型，通過相互關聯的工具（殺鏈、指標生命周期、CoA、戰役分析）構建防御、檢測和響應APT 攻擊的閉環和迭代，應該說開啟了情報驅動安全的方向。作者之一的 Michael Cloppert 在2011年SANS DFIR峰會上的主題演講¹中介紹到，這個模型也用于指導工具開發，比如自動化分析師重復工作、實現新的分析方法等等，可以認為是今天情報與DFIR結合的一些用例。

幾年以前，我個人對威脅情報的理解還局限于：它是業界安全理念變革背景下演變出的重要安全能力。隨著近幾年的了解，威脅情報也處在自身產品的發展階段，尤其是和安全運營領域的深度結合。

今年2月19日，Gartner 發布了最新一版《安全威脅情報產品&服務市場指南報告》²。這份報告包含的內容比較豐富，相信對大家更多理解威脅情報市場會有所幫助。我試著從三個方面進行分享：

• 看市場
• 看客戶
• 看廠商

看市場：威脅情報全球市場逐漸成熟

首先 Gartner 提出了戰略規劃假設：“到2022年， 將有20% 的大型企業會使用商業威脅情報為其安全戰略提供信息，而目前不到 10%。”

“By 2022, 20% of large enterprises will use commercial threat intelligence (TI) services to inform their security strategies, which is an increase from fewer than 10% today. ”

對比 2017 年 7 月發布的上一版報告³中，當時分析師的假設則是：當前低于1%的比例到2020年會增加至15%。我們可以看到，一年半的時間，這一比例從低于1%迅速提升到低于10%。

“By 2020, 15% of large enterprises will use commercial threat intelligence (TI) services to inform their security strategies, which is an increase from today's less than 1%. ”

其次，最新的這份報告中，市場定義聚焦在“更純粹的威脅情報服務類型，其中威脅情報作為主要元素，而不是作為其他市場規模更大的某類產品特性”。對應到代表廠商章節，我們可以看到相較上一版本，此次報告中的代表性廠商并不包含集成威脅情報能力的SIEM/FW/IDP/MDR等廠商，情報聚合類產品僅保留了TIP、而去掉了上一版中包含的SOA（Security Orchestration and Automation ）以及TVM（Threat and Vulnerability Management）以及對應廠商。

Gartner 的調查顯示，政府和金融行業目前仍然是威脅情報采購的主要客戶群體，但分析師也看到其他垂直行業的增長，這一增長更多基于安全項目的成熟度，而非行業或地理屬性的特定趨勢。在制造、通信和媒體、IT服務和軟件、零售、銀行和金融、保險、醫療以及公共事業這些垂直行業，可以看到威脅情報被用于支撐戰略決策。

定價模型開始標準化。情報服務通常采用訂閱模式，按使用時間或者數據量（API接口查詢量）進行收費。不同服務等級對應不同價格點，從基于機讀情報的基礎服務到需要投入人力提供研究支撐和安全分析的高級服務，都可能涉及。

綜上，這里給我們傳遞一個信號：威脅情報的市場定義日漸清晰，并逐漸形成自身獨立市場規模。

看客戶：威脅情報的價值呈現

威脅情報火了近幾年，但市場一直在探尋的一個問題是，威脅情報的價值如何體現和落地？Gartner 強調以終為始，基于使用場景和安全目標來選擇威脅情報服務和產品。基于對最終客戶的調研，報告中列出了目前最為普遍的用例。

• 充實現有安全技術：通常機讀情報以附加訂閱方式集成到現有SIEM/IDP等產品中。這一類應用場景的例子還包括 TIP 和 TIG 兩類產品。前者實現多源情報管理和分發、更為有效地完成情報與SIEM/EDR以及事件響應的下游集成。后者則是事先預打包海量多源機讀情報（支持數百萬甚至數十億的威脅指標），并集成到一個特定設備中進行檢測和防御，用于擴充現有網絡安全解決方案。
• 釣魚檢測：分為用戶發起和社區分享兩種情況。前者可以采用TIP和自動化編排技術，在發現可疑郵件后，豐富告警上下文、觸發自動化調查流程并根據調查結果聯動SIEM以及SWG（這其實也是 SOAR 產品的一個典型應用場景）。后者主要是新的釣魚威脅被發現后，通過情報共享機制觸發。
• 漏洞優先級管理：Gartner 在最新的報告《實施基于風險的漏洞管理方法》中明確，過去十年大約八分之一的漏洞事實上是被在野利用，而這些漏洞在遠控木馬、勒索軟件等廣泛威脅中被大量重復利用。CVE 編號和 CVSS 作為初始的漏洞分類至關重要，但缺乏考慮“攻擊團伙實際在做什么”這一要素。基于上述研究， Gartner 認為漏洞管理的第一優先級應該是考慮“您的哪些漏洞正被在野利用”。威脅情報集成到漏洞管理中，能為企業提供一種能力，也即確定“哪些漏洞是我數字業務的最大風險”。這是目前應用威脅情報最實用和有價值的使用場景之一。
• 深網以及暗網監控：這類服務的一個價值主張是，分析師代表客戶去做。分析師積極滲透深網和暗網這類地下信息交流，需要多年的情報經驗。分析師具備的這類技能極為珍稀，往往需要多年的工作積累才能達到從業者的技能水平。對客戶的價值則是，客戶可以使用這些服務事先獲得威脅預警、理解威脅（它們是如何工作的、在哪里被發現），是否有人談論客戶的組織，并且通常是從 TTP 角度來了解攻擊團伙。
• 事件調查和響應：事件響應是威脅情報最重要的應用場景之一。據我了解，現在國內有的情報廠商，安服人員使用自己公司的情報平臺完成分析報告已經是常規動作。正如殺鏈模型所描述的，應用情報和安全分析可能在入侵前期就進行響應而不是等到失陷之后才做響應，可以縮短現在業內常說的MTTD時間。另，之前《事件響應&計算機取證》讀書筆記中介紹過，事件響應其實也是生產 IOC 的重要來源之一。
• 威脅情報分析師擴充：威脅情報分析師在就業市場上，也嚴重短缺，更毋庸說企業自己的人力資源儲備。一些情報提供商通過裁剪的服務，面向客戶“出租一部分”他們的分析師，由分析師承擔客戶特定的與威脅情報相關的任務。
• 攻擊團伙跟蹤：Gartner 認為這是最先進的威脅情報用例之一，它往往需要大量的人員配置和技術，并長期投入。一旦建立起這種能力并積累相關的TTP，對于跟蹤方，攻擊團伙的行為就會浮現而且經常會重復。這是威脅情報能發揮積極主動之處。
• 情報分析師調查工具：這是今年報告中新增的一個用例。是指分析師日常依賴的專用工具，為情報分析師、安全運營人員、威脅獵手、事件響應和取證專家所廣泛使用。它們支持如下任務：允許安全和匿名訪問互聯網用于研究；提供有預建工具和其他角色屬性（如語言）的托管虛擬桌面；用于事件調查的臨時資產，在失陷的情況下不會留下調查人員任何有意義的痕跡；支持基于團隊的調查等。

其他用例還有威脅情報共享、社交媒體監控、品牌監控、欺詐檢測、流氓或虛假移動應用檢測，在此就不一一贅述了。

通過上述用例介紹，從客戶價值層面，我們可以看到威脅情報驅動安全的合理性和重要性：一方面它作為能力輸出提升現有安全產品和服務的防御、檢測與響應能力，同時它也是現有這些市場的差異化特性。另一方面它會在企業和行業客戶的安全架構（漏洞管理）、安全運營（事件監控、事件檢測&響應、威脅狩獵）甚至更高層面的風險管理和安全投資上發揮作用。

看廠商

之前介紹過，市場指南研究方法通常適用于市場興起階段，該階段用戶需求和產品方案都處在動態變化中，廠商進入或退出的可能較高。這個方法主要關注市場定義本身以及市場的趨勢，力圖幫助企業理解目前這個動態市場可獲取的解決方案及其適用場景，從而指導企業結合自身業務需求對新興技術做出合理的投資決策。因此，理解市場及供應商方案的適用場景意義甚于競爭分析。具體也可以參考Gartner網站信息⁴。

報告里面結合每種用例也給出代表性廠商名單并有專門的代表性廠商目錄，大家可以去報告中按圖索驥。Gartner分析師在文中也提出了一些評估廠商實際能力的方法，有興趣可以去看原文。這部分我主要想分享兩組切實的問題樣例，它們是Gartner分析師經常看到最終用戶提出、并由廠商解答的問題。不妨可以借鑒。

第一組是偏技術和戰術層面的問題：

• “Is a connection to this Internet Protocol (IP) address bad? Who owns the IP? To which internet service provider (ISP) is this IP address connected? What other IP addresses are registered by this company? ”
• “Is this URL dangerous? Who registered the domain? Have they registered others? If yes, which ones? What types of threats were served from this website? Is other malicious activity linked to this URL?”
• “Which vulnerabilities in my environment are actively being exploited “in the wild”? Who are the threat actors selling or using these vulnerabilities? Which malware and other threats are leveraging these vulnerabilities? What types of organizations are being attacked via these threats?”
• “What malware is directly targeting my brand of point of sale (POS) terminal? Is this “Day Zero” attack rumor true?”
• “What do the bad guys know about my organization and its staff? Are they selling access to my systems or my intellectual property?”
• “Has our sensitive information been leaked?”
• “Should I anticipate an attack? When? How?”
• “Who are my top adversaries? Are they credible? Can I be advised of their activity within a short period of time of it occurring? Which underground sites do they frequent? Who is known to be associated with these adversaries?”
• “What threat actors could be targeting my organization’s capabilities in the coming months?”

第二組是偏業務和戰略的問題：

• “If I understand more about active threat actors and threats, where should I target security spending?”
• “What improvements can be made to my architecture to better predict, prevent, detect and respond to this type of threat?”
• “Which security monitoring capabilities should we be implementing to account for these threats and threat actors?”
• “What are the strategic and tactical security risks inherent in our business strategy?”
• “Should we be partnering with companies that have questionable security postures that are potential 'weak links in the chain'? What risks could we better understand, if we had more information on my digital supply chain?”
• “How can we perform processes, such as incident response and technical control configurations, more efficiently?”
• “Can we make more informed decisions based on credible evidence of risks versus 'chasing ghosts' and wasting time on lower-priority issues?”
• “How can I better align my security program to what is essentially ‘my landscape’? ”

小結

綜上，今天我主要從三個方面進行了分享。威脅情報的市場潛力還是值得期待，這個領域的創新實踐也還能走得更遠。

• 看市場：威脅情報全球市場逐漸成熟；
• 看客戶：從客戶價值來看，威脅情報驅動安全的合理性和重要性；
• 看廠商：Gartner分析師整理出的問題樣例，不妨可以借鑒思考自身的業務需求，并用于和情報廠商的初步溝通。

參考材料

1. https://ctianalysis.files.wordpress.com/2016/05/incident-response-from-computer-network-defense.pdf
2. Craig Lawson, Ryan Benson, “Market Guide for Security Threat Intelligence Products and Services”, Gartner, 2019年2月19日
3. Craig Lawson, Khushbu Pratap, “Market Guide for Security Threat Intelligence Products and Services”, Gartner, 2017年7月20日發布，2017月7月25日修訂
4. https://www.gartner.com/en/research/methodologies/market-guide，訪問時間：2019年3月12日