谈一谈情报威胁与态势感知

道哥在先知提了一个问题，就是情报威胁中，事件情报该如何做？个人一些感触贴出来讨论。

 

    以下内容仅仅是个人的一些认识，仅仅是我所说的事件情报与此相关，但是希望能构建一个大的MRTI平台吧。
情报威胁，概念炒了这么多年，有人说2015,2016是情报威胁新的纪元。安全情报包括威胁情报、漏洞情报、事件情报以及基础数据情报等，国外已经成为安全热点。国内环境而言个人认为态势感知已经开始接近情报威胁这个概念。像锦行发布的幻云、绿盟的态势感知，360的态势感知等。态势感知从各个传感器获取的信息结合大数据加以处理，有些产品利用STIX等将所谓的情报丢到上层可视化平台，最终展示给设备购买的用户观看。在这个过程中态势感知的数据获取基本原理就是我们传统的ips，防火墙，木马分析以及大家引以为傲的预知未来的动态检测，都是态势感知数据获取的来源，数据获取后，如何处理数据，数据应该是什么样子的才能便于利用，国外很多的研究已经走在我们的前面（或许是小弟还没有接触过国内的相关资料），态势感知产品利用STIX对数据进行了处理，丢给了可视化。最终只是给设备购买者进行了数据的汇报。
历史的轮子总是在不断的重复，我们的态势感知将传统的设备进行整合，形成了一个小型的网络，结合大数据等新型的一些方案产生了态势感知平台。态势感知等类似产品将会造就新的一个网安拳头产品（个人认为）。态势感知中已经开始使用可机读威胁情报（MRTI），在不断的态势感知平台发展过程中，情报标准应该会更加的统一化，现在用的较多的STIX,CIF等，相信未来在情报威胁的标准上肯定走向统一标准化。（历史的轮子总是不断的重复，计算机行业的各种标准不就是这样走下来的么）
当所有的产品和产商的情报能够共享，构成一个大的平台后，想一想情报威胁是不是很爽。未来每一个态势感知系统就成了情报威胁的一个传感器，而共享的情报将形成一个大的数据平台。很多的前瞻性企业已经开始做这个大的平台了吧。（流口水）
未来的情报威胁对于发现网络攻击和对攻击的了解将不是我们像ips认知的这样，（毕竟APT也炒了这么久，不知道我是否认知正确，可能是我只对ips了解多一点）从我个人的认知上已经刷新了攻击不仅仅是一条流量匹配特征值。相信技术能够创造未来。

以上所述讨论的是威胁情报。而漏洞情报，我们现在各大众测平台已经发展成型。从整个大的情报威胁平台来看，众测的数据是不是就构成了一个信息源。（难度较大，利益纠纷太多，只是想想）
事件情报个人认为分两部分。一为自身，二为外部。自身情报就是指自己被攻击了以后你知道你被攻击了，上述讨论的态势感知其实已经做了这方面的产品化，态势感知数据传感器包含了相关产品的日志，结合大数据应该能够分析出一些事件的。二为外部那就是你根本就不知道自己被攻击了。那我们是不是可以像众测平台一样构建一个平台，让相关人员将情报是否能够共享。又构成了大的利益链了。。。能在暗网交易还是能和你去交易，这个好像蛮难搞的，不过对于企业而言，保障提交人员的安全和利益相信还是能够获取到一些信心的。但是网络安全法的保障，公司就可以起诉人员了，所以想要吃肉还不让猪长肉这个问题就是利益问题了吧。

我个人从这几个方面进行了认知，不知道全不全。希望能够参与到构建情报威胁平台的构建中。现在在做态势感知方面的东西，只能认识到这么多了，具体的方面应该深思。
从情报威胁平台的构建上，我举双手双脚赞同并迫切期待，并希望高人能够实现。
一切尽是惘然，对待网络攻击，网络暴力。是以暴制暴还是以利制暴，哲学问题吗？！