当我们谈到情报 我们在谈论什么
01 引言 威胁情报这个概念,自从2014年Gartner提出以后,安全圈就一直在提这个概念,也一直尝试应用这个技术来做一些文章,无论是加在各家的安全产品上做一些对撞,还是自己保留数据库存一些黑产数据,都取得了一些效果。 但每每提到威胁情报,我们普通人观之,就像吃饭扫过米其林、满汉全席、景区的茶叶蛋(误)一样,好像平时接触不到,偶尔想要用也要付出很大的成本。很多人懂web安全,懂渗透测试,懂流程,但是提到威胁情报,总觉得离自己很远,几乎不会用到。 当我们谈论威胁情报, 对于一般的安全从业人员来说,其实并不知道到底在谈论什么,到底要怎么用。就像皇帝的新衣一样,大家都说陛下穿着衣服,凑个热闹,但是陛下到底穿没穿衣服,大家 其实 没那么关心。 图1. 皇帝的新衣 所以今天笔者想聊一聊,当我们谈论威胁情报的时候,我们到底在聊什么。 02 情报是什么 威胁情报的定义是什么呢?最早的援引应该是Gartner在2014年发表的《安全威胁情报服务市场指南》中提出的定义,即: 威胁情报是关于IT或信息资产所面临的现有或潜在威胁的循证知识,包括情境、机制、指标、推论与可行建议,这些知识可为威胁响应提供决策依据。 仔细看Gartner的定义,其实定义得很全面。但是普通人容易看得云里雾里,就像课本里的各种哲学定义,每个字都能看懂,但是一连起来可能就看不懂了。 笔者认为,威胁情报本身还是情报的子类。提到情报