威胁情报那些事儿 (威胁情报是什么)

前两年大热的电视剧《伪装者》中，提到了一份“死间计划”，这一幕在战场曾真实发生过。二战中，盟军依靠计算机之父图灵破解了德国的密码，得知德国马上要对考文垂进行轰炸。但是为了争取更大的决定性胜利，盟军选择不让德国人知道己方已经破译了其密码。因此盟军方面没有对考文垂进行有针对性的的防御措施。于是德国人相信其密码依然是安全的，从而一步步走进了盟军的圈套。

在威胁情报中，安全公司同样运用类似的方法和黑客斗法。例如：穿梭于各大安全论坛，装作黑客的样子，开心地与之讨论最近哪种攻击方式最流行，有哪些漏洞可以利用。然后回家修补漏洞。

一、威胁情报

21世纪已经步入科技时代、互联网时代，在这个时代，我们获得了太多的便利。借助互联网，似乎只有我们想不到的，没有搜不到的。互联网时代下的网络，集合了各类数据，为当下的生产生活提供了参考指南。然而任何事物的发展，从来都不会是一蹴而就的，也都不是一帆风顺的。我们在正视网络带来的诸多好处的同时，也应理性、冷静对待同时带来的一些弊端。

当前，网络空间的广度和深度不断拓展、安全攻防战日趋激烈，传统的安全思维模式和安全技术已经无法有效满足政企客户安全防护的需要，新的安全理念、新的安全技术不断涌现，当前的网络安全正处在一个转型升级的上升期。

1. 传统网络防御

传统网络安全防护手段主要采取攻击行为感知、收集与分析、通报等防御手段，通过部署防火墙、入侵检测系统等安全产品，配置相应访问控制策略和审计策略，对网络安全状况进行监测。当发生网络安全事件时，采取应急响应和地域措施，事后进行备份与恢复操作。虽然这种防护模式能抵御一定的网络安全攻击，但仍具有滞后性，事件处理效果受限于安全事件的识别能力、响应速度及时候数据备份与恢复的效率。

目前，安全界普遍认同的一个理念是：仅仅防御是不够的，被动的“挨打”永远不会是解决之道，要想保证自身的安全，需要拿起武器，主动反击。在这样的反击战中，所谓“知己知彼，百战不殆”，实时掌握对方形势动态，才能更好的响应与应对。安全情报，就像是八百里加急快报送来的敌情。

2. 安全情报与威胁情报

安全情报(SecURIty Intelligence)是一个宽泛的概念，主要包括了威胁情报、漏洞情报、事件情报以及基础数据情报。其中，威胁情报已然成为近几年国内外安全领域的热点。这里的“情报”既是知识，也是载体，既是输入，也是输出。

如果将威胁情报单纯的理解为“敌情”和“知彼”，安全情报在这个基础上还需要关注“我情”和“知己”，因此安全情报也可以被称为“广义威胁情报”。

3. 威胁情报重要性

信息安全教主级公司Gartner认为，威胁情报是一种基于证据的知识，包括了情境、机制、指标、隐含和实际可行的建议。威胁情报描述了现存的、或者是即将出现的针对资产的威胁或危险，并可以用于通知主体针对相关威胁或危险采取某种响应。简言之，威胁情报可以帮助企业和组织快速了解到敌对方对自己的威胁信息，从而帮助他们提前做好威胁防范、更快速地进行攻击检测与响应、更高效地进行事后攻击溯源。

具体来说，威胁情报可以帮助人们解决如下问题：

“所有的系统一定可以被入侵。”这是威胁情报专家，Sec-UN网站创始人金湘宇给出的“悲观论断”。他认为，互联网攻击的技术在不断提高，而所有的系统都存在漏洞，避免被攻击在逻辑上并不成立。

原来认为网络安全就是做木桶，只要补上短板就可以高枕无忧，现在发现安全玩的是塔防，要实时应对到来的威胁。往往网站信息泄露数天之后，被攻击者才得知自己遭受攻击，这样的攻防已经完全失衡了。

因此，可以想象一份及时、精准的威胁情报对于网络防御是多么的重要。通过威胁情报，企业会对未来的攻击拥有免疫力，这就彻底改变了原本的攻防态势。原来也许黑客可以用上整整一年的攻击手段，一旦进入威胁情报，就被重点监控。如果攻击者第二次还在用同样的后门，就等于主动跑到了探照灯下羊入虎口，你还死不死?

小编联想到之前某个论坛上有“大神”爆料，目前美国正在有计划有组织地曝光其他国家对其基础设施发动的攻击。这句话让人细思极恐，这表明美国或许已经拥有了一份精准的威胁情报，对其攻击者的攻击路径已经了如指掌。为了不打草惊蛇，其中有60%—70%的攻击路径，美国并没有曝光，目的就是给对手造成一种假象。没错，美国正在静静地看着对手“表演”。

4 .威胁情报处理流程

二、威胁情报厂商

根据真实事件改编的电影《斯诺登》中的一句话，“Secrecy is security and security is victory”，其中的含义不言而喻。

在小编看来，电影中的情节并不夸张。生活在互联网时代，无论是从国家层面还是企业层面，安全领域打的就是信息战。如今，越来越多的企业高层意识到，威胁情报是针对高级网络攻击的有力武器。根据Gartner分析师Rob McMillan和Khusbu Pratap的说法：“到2018年，全球60%的大型企业将使用商用威胁情报服务，帮助他们制定安全策略。”

那么，世界上现在有哪些代表性的威胁情报厂商呢?

1. 美国厂商

(1) Palo Alto Networks

创立于2005年，总部位于美国加利福尼亚州圣克拉拉，是一家为网络及资讯安全软件制作商，提供网络安全解决方案，其核心平台的防火牆，为在整个企业网路上传输的应用程式、使用者和内容提供可视度和控制。

产品：Palo Alto Networks AutoFocus

Palo Alto Networks AutoFocus威胁情报服务，能够为各种规模的组织提供威胁分析，包括智能分析、相关性分析、上下文分析，并自动响应实时事件，做出实时流量防护分析。

(2) AlienVault

AlienVault是硅谷初创网络安全企业，业务主要针对中小型企业提供统一安全管理平台(USM)、开放式威胁情报交换平台(OTX)等网络安全产品。该公司已于2018年7月被美国移动运营商AT&T宣布收购。

产品：OTX开源威胁情报社区、USM安全管理平台(软件部署)

AlienVault旗下产品OTX是全球最大的免费威胁情报社区，每天能够提供超过400，000个威胁情报指标。另一产品USM统一安全管理平台(Unified Security Management)是通过单一平台进行企业整体安全业务管理。声称能够从网络中的任何地方发现威胁，而不仅仅通过防火墙，且能够将发现的威胁以KILL CHAIN的不同阶段进行归类。USM能够提供：统一、协调的安全监控;简单安全事件管理和报告;持续的威胁情报信息;快速部署;集成多项安全功能。

(3) IBM Security

IBM(国际商业机器公司)或万国商业机器公司，简称IBM(International Business Machines Corporation)。总公司在纽约州阿蒙克市。1911年托马斯·沃森创立于美国，是全球最大的信息技术和业务解决方案公司。2006年IBM收购Internet Security Systems 和X-Force,2007年收购的Watchfire，2013年收购的Trusteer，加上自己的安全部门和研发部门，开拓了自己的威胁情报业务。IBM的威胁情报业务基本与其他服务捆绑在一起，只有X-Force威胁分析服务和高级网络威胁情报服务是例外。IBM的内容分析SDK也可以介入威胁情报源。

产品：x-force 情报社区、胁情报服务(MSSP)、QRadar安全情报平台

x-force 情报社区是一个协同威胁情报平台，它能帮助安全分析师研究威胁目标，以帮助加快行动的速度，并且每个月能够免费提供5000条安全记录。它拥有查询功能和无限的可扩展性，并可以提供IP和URL、web应用程序、恶意软件、漏洞和垃圾邮件相关的情报。

(4) Anomali

威胁情报平台供应商，总部位于美国。截至2018年1约17日，该公司累计融资9600万美金，其背后有谷歌公司、中央情报局(CIA)投资。

产品：ThreatStream

ThreatStream聚集了数以万计的威胁情报信息来识别新的攻击,并发现已知的漏洞,使安全团队能够快速发现并阻止相关威胁。其主要功能包括:重复数据删除，清除误报,与其他安全工具集成，并防止钓鱼邮件窃取你的数据。该公司还提供几个免费的威胁情报工具。

(5) Crowdstrike

CrowdStrike由两名McAfee前员工于2011年创立。该公司提供专注于检测和阻止定向攻击，特色是主动防御。帮助政府和企业发现并阻止正在发生的黑客攻击。客户超过170个国家，全球十大企业中有三家，全球十大金融机构有五家使用crowdstrike的服务。其产品Falcon系统是一个主动防御的大数据云平台。

产品：Falcon终端EDR、Falcon威胁情报订阅和Falcon平台

Falcon终端EDR：Falcon终端检测和响应服务方案能够解决Silent failure的问题。(Silent failure:威胁发生到警报响起中间的这段时间)。其声称只需5秒调查就能发现历史和正在进行的终端行为;结合威胁情报能力，具备更全面的视角和战术、技术的事件响应能力。部署简单，无需硬件和存储资源。

Falcon威胁情报订阅(Falcon Threat Intelligence)：能够获取及时准确的情报信息。支持多种输出格式：yara, snort, CEF等。提供API方式获取情报信息，包括IOC。已分析出了超过70个攻击者的技术、战术和规程信息(TTPs)和攻击团伙信息。提供有API和 Feeds，可以轻松和现存基础设施对接。目前已联合以下公司加入威胁情报交换计划：Agiliance, Centripetal Networks, Check Point Software Technologies, Ltd., General Dynamics Fidelis Cybersecurity Solutions, LogRhythm, ThreatQuotient, and ThreatStream.

Falcon平台：基于大数据分析的主动防御平台，可监控企业的数据，侦测零日威胁，并防止定向攻击造成的破坏。平台还可以识别恶意软件，学习攻击者特征，然后形成一套响应措施，提高对方攻击的风险和代价。

(6) Secureworks

Secureworks是Dell旗下公司，去年独立上市。SecureWorks 是比较典型的MSSP(托管安全服务商)，因此较为中立，整合了全球多家技术和方案为客户提供服务，主要为客户提供安全服务、安全与风险咨询以及威胁情报等。

产品：Enterprise Security Counter Threat Platform(SaaS)

为各种规模的客户同时提供有针对性和全球威胁情报，以及高级或附加服务。戴尔全球威胁情报(Dell Global Threat Intelligence)提供三种基于订阅的数据源：漏洞、威胁和咨询，这是一个通用或者说非针对性威胁情报服务，它是基于从数千SecureWorks全球客户收集的威胁数据。另一方面，戴尔针对性威胁情报(Dell Targeted Threat Intelligence)可以根据特定企业环境、品牌和管理人员进行定制化，以发现潜在威胁和构成潜在风险的威胁因素。SecureWorks附加服务包括攻击者数据库、CTU支持、恶意软件分析和无边界威胁监控。

(7) Fireeye(火眼)

FireEye是一家提供APT防护产品及服务的公司，成立于2004年。FireEye近年来积极开展威胁情报业务并进行战略合作。FireEye的高级威胁情报(ATI+)从FireEye全球传感器(核心是其大名鼎鼎的沙箱系列产品)中提取威胁数据，并与旗下公司曼迪昂特(Mandiant)的事件响应数据相融合，产生情报产品。FireEye目前能够提供战术、战略和运营情报。2016年它收购了老牌的威胁情报厂商iSightPartners，使其在威胁情报方面的实力更上一层楼。

产品：iSIGHT威胁情报订阅、威胁情报服务、邮件安全(硬件)、终端安全、威胁分析平台

FireEye提供5种不同的iSIGHT情报订阅，专门为不同的安全工作角色而设计：

FireEye Threat Intelligence是基于设备的自动化抵御零日和其他高级网络攻击的平台的一部分，小型、中型和大型企业客户可以购买FireEye设备，再订阅其威胁情报产品。该服务让企业可以查看有关全球威胁的海量数据，它旨在帮助FireEye客户识别威胁因素和网络及系统泄露事故的指标。该服务提供三种级别的威胁情报订阅：动态、高级和高级+。

(8) Symantec(赛门铁克)

赛门铁克是信息安全领域全球领先的解决方案提供商, 成立于1982年，公司总部位于加利福尼亚州的 Cupertino，现已在全球 40 多个国家和地区设有分支机构。

产品：DeepSight Intelligence

在威胁情报市场，赛门铁克最知名的就是DeepSight服务，属于实时监控和通知的范畴，提供安全风险，漏洞，IP，URL，域名信用库情报。赛门铁克较高端的服务提供更深入的分析，基于这一点，赛门铁克在威胁情报的获取和分析方面并不突出。赛门铁克提供分集的服务，以满足低预算和高预算的需求，大部分客户购买的为低价服务，而高价服务的交易额占其收入的很大部分。像赛门铁克这样大型的企业，业务遍布全球多个地区，但略微偏向北美，涉及众多垂直行业，较为倚重金融服务。

RiskIQ成立于2009年，RiskIQ定位为数字风险监控厂商。致力于让企业及组织客户能够访问安全智能和应用程序，从而保护数字攻击面、定位业务风险。客户能够随时发现和处理恶意软件、恶意广告和恶意 App，降低网络、移动及社交工具的威胁。RiskIQ 通过全球代理网络每天持续扫描数以千万计的网站，随时向客户报告异常情况。据悉美国前十大金融机构中有八家都适用RiskIQ追踪监控企业web和移动应用资产。2015年收购Passive Total的威胁分析平台扩张自己的服务领域。

产品： PassiveTotal威胁分析平台、安全情报服务

(10) TrendMicro(趋势科技)

总部位于日本东京和美国硅谷，在全球38个国家和地区设有分公司，拥有7个全球研发中心，是一家高速成长的跨国信息安全软件公司。

产品：趋势科技旗下Digital Vaccine Labs提供实时、准确的威胁情报，TippingPoint Advanced Threat Protection系列产品可通过监控所有端口和100多种协议，检测入侵，出站或横向移动的未知威胁，将未知数据转化为已知数据，并与众多安全工具(包括TippingPoint NGIPS)共享威胁信息。

2. 俄罗斯厂商

(1) Group-IB

总部位于俄罗斯莫斯科，对东欧网络威胁和诈骗活动深入研究。该厂商主要为金融行业服务。

产品：威胁情报解决方案

Group IB的威胁情报经验与能力已经被融合进高复杂度的软硬件生态系统解决方案中，以实现对网络威胁的监控、识别和预防。同时，Group IB也提供高级威胁情报咨询和应急响应服务。

(2) Kaspersky(卡巴斯基)

总部设在俄罗斯首都莫斯科，全名“卡巴斯基实验室”，是国际著名的信息安全领导厂商，创始人为俄罗斯人尤金·卡巴斯基。

产品：HuMachine Intelligence

HuMachine Intelligence是卡巴斯基推出的基于行为分析和机器学习算法的保护手段，结合了人工智能技术和卡巴斯基自身安全团队的优势，是基于下一代技术的高级解决方案。

3. 英国厂商

Sophos全球总部位于英国牛津近郊。该公司开发用于通信端点、加密、网络安全、电子邮件安全、移动安全和统一威胁管理的产品。

产品：Sophos Labs

Sophos Labs是Sophos的全球安全研究中心，从事对全球的安全隐患的调查研究，并24小时提供对任何地区任何新型病毒的预防和有效防御的分析报告。

(2) Digital ShADOws

网络安全公司，重点关注互联网攻击和数据窃取问题。会监控互联网和暗网，防止窃取个人资料(包括员工的电子邮件和密码)、敏感文件线上共享安全、以及聊天室网络犯罪等。

产品：SearchLight

Digital Shadows的旗舰产品SearchLight是一款网络数据监控工具，现支持30多种语言，1亿多条数据源。这些数据源包括社交媒体、犯罪论坛、GitHub、加密暗网Tor、I2P等等。

4. 以色列厂商

CheckPoint

全称Check Point软件技术有限公司，成立于1993年，总部位于美国加利福尼亚州红木城，国际总部位于以色列莱莫干市，是全球首屈一指的Internet 安全解决方案供应商。

产品：ThreatCloud IntelliStore

CheckPoint旗下的ThreatCloud IntelliStore能够让高度相关且最新的网络威胁情报源转化为用户网络中基于特定地理位置、行业和保护类型的威胁情报，从而将威胁情报数据转化为可行的安全保护，主动阻止威胁，管理安全服务，监控网络攻击事件，从而快速响应和解决攻击。

三、总结

威胁情报一直是安全行业热议的话题，实际上在国内的发展还比较稚嫩。威胁情报具有优秀的预警能力、快速响应能力，并且能改善管理层之间的沟通、加强策略规划和投资。但是大部分企业机构并不具备充分利用威胁情报的能力：数据量太大且过于复杂;拥有相关知识的人才匮乏。

大数据时代，人类利用机器的超级计算能力辅助收集和处理海量数据，从中找出有价值的信息和情报，如何利用好这些信息和情报还是要依赖人的知识和决策能力。获得实用化情报固然重要，但一个高水平的安全团队对于利用好这些情报，作出正确的决策是更重要的。任何一个先进的安全情报系统也不可能取代安全团队。请记住：“人”才是威胁情报利用的核心。掌握了“人”这一力量，方能构建威胁情报体系，协同联动，扭转攻防失衡的局面。

叫花子和乞丐是一样的吗？

乞丐何以被称为是“花子”？这有两方面的原因，一个原因，乞丐俗称叫花子，从元代的一些文学作品中就常常会见到这两个字。元代戏剧家张国宾《合汗衫》：“我绕着他后巷前街，叫化些剩汤和这残菜。 ”这里，“叫化”是一个动词，渐渐地，人们将叫化剩汤残饭的人称为是叫花子，再将“叫花子”通俗地称为是“花子”，乞丐就变成花子了，这就是“谓乞儿为花子”的由来。再一个原因，古时天津，职业乞丐，上街讨饭，手中都拿着一只花棍，一路乞讨，一路舞动，这就是天津俗称的打花棍。有一出京剧，李逵回家，见到老母亲时，老母亲的眼睛已经瞎了，李逵为了引起他老娘的记忆，就给他老娘唱起了儿时的童谣：“打花棍儿嘿，正月正。 ”这就又是山东一带地方的风俗了。中国乡间，认为有乞丐来行乞，是一种吉象，因为这个地方的粮食多，乞丐才会找上门来行乞。所以，每到过年，为了祈求好年景，乡间的孩子们就扮作乞丐，在村里凑热闹。孩子们如何扮作乞丐呢？就是手拿花棍沿街表演，也就是李逵小时候常玩的一种游戏。再演变到最后，每逢过年，乡间都有人表演打花棍，就和扭秧歌一样，成为春节期间的一项娱乐活动了。天津卫，直到50年代，每逢过年，天后宫还卖花棍，是一根小木棍，上面缠着花纸条，花棍上系着几个小铃铛，耍起来铃铃作响，甚是好玩。这种花棍，乞丐们拿在手里，既是行乞的象征，有时候也用它打恶狗。狗这种动物欺侮人，还专门欺侮穷人，人家人穷志不穷地宁肯行乞也不偷不抢，干狗的屁事？偏偏狗眼看人低，你行乞，狗先看你不起，恶凶凶地向你叫起来了。遇见恶犬怎么办？那只花棍儿就有用处了。所以，天津人也把叫化子们手里的花棍叫作打狗棍。 “三十六行，打狗卖糖”，打狗，就是行乞。天津人骂一个人是花子，并不等于说这个人是乞丐。天津人把那些作事不漂亮的人，通称是花子。天津人死要面子活受罪，下饭馆，一定得点几样菜，看见有人只要一碗面汤，“花子”，太小气了。而且，各行各业，还把那些技术不行的力巴儿，也称作是“花子”。同行是冤家，向一个人问起谁谁谁的手艺怎么样？“别找他，花子。 ”表示这个人的手艺不行，作不出漂亮活儿来。天津人骂一个人是“花子根儿”，那就更刻薄了。更为有趣，还是女性朋友之间，常常用“花子根儿”一语相互取笑，未必就是恶意：“小花子根儿，夜儿个你哪儿去了，打了半天传呼也没呼着你。 ”带着三分的娇气。中国话的特点，一些贬意词，有时会变得非常亲昵，似《西厢记》，张君瑞看见崔莺莺，先说了一句“可憎模样”，变成时下词语，就是“瞧你那小可恨模样”。这里，“可恨”就变成可爱了。天津姑娘之间相互说“小花子根儿”，是表示对于对方的欣赏，相貌俏，会撒娇，让人爱不够，“小花子根儿”，骂一句，倒显出心中的无限喜爱。将“小花子根儿”变成“老花子根儿”，就没有一点喜爱的意思了，常听见老姐妹们骂“老花子根儿”，那是骂她们家的穷老头子，舍不得吃、舍不得穿，逢年过节的儿女们来了，派他去买菜，只买了一堆臭带鱼回来，明摆着有活螃蟹，明摆着有大鲤鱼，他就是舍不得买，“老花子根儿”，恨得咬牙切齿。孩子在学校上半天学，中午母亲把孩子接回来，头一件事，先给孩子洗洗“小花子脸儿”，虽然花子就是乞丐，但这时，你不能说洗洗小乞丐脸儿。母亲爱孩子，她可以骂小花子脸儿，你不能说她的孩子是乞丐，此中的含意，那可是太微妙了。

低碳生活有哪些

低碳生活的做法有：

1、平时出门购物要自带环保袋，不要用一次性塑料袋。

2、出门自带水杯，减少使用一次性纸杯。

3、多用永久性筷子，饭盒，不用使用一次性筷子和饭盒。

4、生活中少用纸巾。

5、随手关灯、关电源。

6、平时出行尽量乘坐公共交通、步行或骑自行车。

7、水要循环利用。

8、绿化不仅是种树，还可以在家中的阳台种植一些花草。

9、节约用水，避免浪费。

10、电视机在不看的时候要拨掉电源。

11、不乱扔废旧电池、塑料袋等。

12、打印材料尽量双面打印，这样可接间保护森林资源。

拓展资料：

低碳生活(low carbon living)，就是指在生活中要尽力减少所消耗的能量，特别是二氧化碳的排放量，从而低碳，减少对大气的污染，减缓生态恶化。

主要是从节电、节气和回收三个环节来改变生活细节.。

低碳生活 - 网络百科低碳生活(low carbon living)，就是指在生活中要尽力减少所消耗的能量，特别是二氧化碳的排放量，从而低碳，减少对大气的污染，减缓生态恶化。主要是从节电、节气和回收三个环节来改变生活细节.。低碳意指较低（更低）的温室气体（二氧化碳为主）的排放，低碳生活可以理解为：减少二氧化碳的排放，低能量、低消耗、低开支的生活方式。