回顾情报领域的经典读物杀链模型，当时来自 Lockheed Martin 的作者阐述了一种情报驱动的弹性防御模型，通过相互关联的工具（杀链、指标生命周期、CoA、战役分析）构建防御、检测和响应APT 攻击的闭环和迭代，应该说开启了情报驱动安全的方向。作者之一的 Michael Cloppert 在2011年SANS DFIR峰会上的主题演讲¹中介绍到，这个模型也用于指导工具开发，比如自动化分析师重复工作、实现新的分析方法等等，可以认为是今天情报与DFIR结合的一些用例。

几年以前，我个人对威胁情报的理解还局限于：它是业界安全理念变革背景下演变出的重要安全能力。随着近几年的了解，威胁情报也处在自身产品的发展阶段，尤其是和安全运营领域的深度结合。

今年2月19日，Gartner 发布了最新一版《安全威胁情报产品&服务市场指南报告》²。这份报告包含的内容比较丰富，相信对大家更多理解威胁情报市场会有所帮助。我试着从三个方面进行分享：

• 看市场
• 看客户
• 看厂商

看市场：威胁情报全球市场逐渐成熟

首先 Gartner 提出了战略规划假设：“到2022年， 将有20% 的大型企业会使用商业威胁情报为其安全战略提供信息，而目前不到 10%。”

“By 2022, 20% of large enterprises will use commercial threat intelligence (TI) services to inform their security strategies, which is an increase from fewer than 10% today. ”

对比 2017 年 7 月发布的上一版报告³中，当时分析师的假设则是：当前低于1%的比例到2020年会增加至15%。我们可以看到，一年半的时间，这一比例从低于1%迅速提升到低于10%。

“By 2020, 15% of large enterprises will use commercial threat intelligence (TI) services to inform their security strategies, which is an increase from today's less than 1%. ”

其次，最新的这份报告中，市场定义聚焦在“更纯粹的威胁情报服务类型，其中威胁情报作为主要元素，而不是作为其他市场规模更大的某类产品特性”。对应到代表厂商章节，我们可以看到相较上一版本，此次报告中的代表性厂商并不包含集成威胁情报能力的SIEM/FW/IDP/MDR等厂商，情报聚合类产品仅保留了TIP、而去掉了上一版中包含的SOA（Security Orchestration and Automation ）以及TVM（Threat and Vulnerability Management）以及对应厂商。

Gartner 的调查显示，政府和金融行业目前仍然是威胁情报采购的主要客户群体，但分析师也看到其他垂直行业的增长，这一增长更多基于安全项目的成熟度，而非行业或地理属性的特定趋势。在制造、通信和媒体、IT服务和软件、零售、银行和金融、保险、医疗以及公共事业这些垂直行业，可以看到威胁情报被用于支撑战略决策。

定价模型开始标准化。情报服务通常采用订阅模式，按使用时间或者数据量（API接口查询量）进行收费。不同服务等级对应不同价格点，从基于机读情报的基础服务到需要投入人力提供研究支撑和安全分析的高级服务，都可能涉及。

综上，这里给我们传递一个信号：威胁情报的市场定义日渐清晰，并逐渐形成自身独立市场规模。

看客户：威胁情报的价值呈现

威胁情报火了近几年，但市场一直在探寻的一个问题是，威胁情报的价值如何体现和落地？Gartner 强调以终为始，基于使用场景和安全目标来选择威胁情报服务和产品。基于对最终客户的调研，报告中列出了目前最为普遍的用例。

• 充实现有安全技术：通常机读情报以附加订阅方式集成到现有SIEM/IDP等产品中。这一类应用场景的例子还包括 TIP 和 TIG 两类产品。前者实现多源情报管理和分发、更为有效地完成情报与SIEM/EDR以及事件响应的下游集成。后者则是事先预打包海量多源机读情报（支持数百万甚至数十亿的威胁指标），并集成到一个特定设备中进行检测和防御，用于扩充现有网络安全解决方案。
• 钓鱼检测：分为用户发起和社区分享两种情况。前者可以采用TIP和自动化编排技术，在发现可疑邮件后，丰富告警上下文、触发自动化调查流程并根据调查结果联动SIEM以及SWG（这其实也是 SOAR 产品的一个典型应用场景）。后者主要是新的钓鱼威胁被发现后，通过情报共享机制触发。
• 漏洞优先级管理：Gartner 在最新的报告《实施基于风险的漏洞管理方法》中明确，过去十年大约八分之一的漏洞事实上是被在野利用，而这些漏洞在远控木马、勒索软件等广泛威胁中被大量重复利用。CVE 编号和 CVSS 作为初始的漏洞分类至关重要，但缺乏考虑“攻击团伙实际在做什么”这一要素。基于上述研究， Gartner 认为漏洞管理的第一优先级应该是考虑“您的哪些漏洞正被在野利用”。威胁情报集成到漏洞管理中，能为企业提供一种能力，也即确定“哪些漏洞是我数字业务的最大风险”。这是目前应用威胁情报最实用和有价值的使用场景之一。
• 深网以及暗网监控：这类服务的一个价值主张是，分析师代表客户去做。分析师积极渗透深网和暗网这类地下信息交流，需要多年的情报经验。分析师具备的这类技能极为珍稀，往往需要多年的工作积累才能达到从业者的技能水平。对客户的价值则是，客户可以使用这些服务事先获得威胁预警、理解威胁（它们是如何工作的、在哪里被发现），是否有人谈论客户的组织，并且通常是从 TTP 角度来了解攻击团伙。
• 事件调查和响应：事件响应是威胁情报最重要的应用场景之一。据我了解，现在国内有的情报厂商，安服人员使用自己公司的情报平台完成分析报告已经是常规动作。正如杀链模型所描述的，应用情报和安全分析可能在入侵前期就进行响应而不是等到失陷之后才做响应，可以缩短现在业内常说的MTTD时间。另，之前《事件响应&计算机取证》读书笔记中介绍过，事件响应其实也是生产 IOC 的重要来源之一。
• 威胁情报分析师扩充：威胁情报分析师在就业市场上，也严重短缺，更毋庸说企业自己的人力资源储备。一些情报提供商通过裁剪的服务，面向客户“出租一部分”他们的分析师，由分析师承担客户特定的与威胁情报相关的任务。
• 攻击团伙跟踪：Gartner 认为这是最先进的威胁情报用例之一，它往往需要大量的人员配置和技术，并长期投入。一旦建立起这种能力并积累相关的TTP，对于跟踪方，攻击团伙的行为就会浮现而且经常会重复。这是威胁情报能发挥积极主动之处。
• 情报分析师调查工具：这是今年报告中新增的一个用例。是指分析师日常依赖的专用工具，为情报分析师、安全运营人员、威胁猎手、事件响应和取证专家所广泛使用。它们支持如下任务：允许安全和匿名访问互联网用于研究；提供有预建工具和其他角色属性（如语言）的托管虚拟桌面；用于事件调查的临时资产，在失陷的情况下不会留下调查人员任何有意义的痕迹；支持基于团队的调查等。

其他用例还有威胁情报共享、社交媒体监控、品牌监控、欺诈检测、流氓或虚假移动应用检测，在此就不一一赘述了。

通过上述用例介绍，从客户价值层面，我们可以看到威胁情报驱动安全的合理性和重要性：一方面它作为能力输出提升现有安全产品和服务的防御、检测与响应能力，同时它也是现有这些市场的差异化特性。另一方面它会在企业和行业客户的安全架构（漏洞管理）、安全运营（事件监控、事件检测&响应、威胁狩猎）甚至更高层面的风险管理和安全投资上发挥作用。

看厂商

之前介绍过，市场指南研究方法通常适用于市场兴起阶段，该阶段用户需求和产品方案都处在动态变化中，厂商进入或退出的可能较高。这个方法主要关注市场定义本身以及市场的趋势，力图帮助企业理解目前这个动态市场可获取的解决方案及其适用场景，从而指导企业结合自身业务需求对新兴技术做出合理的投资决策。因此，理解市场及供应商方案的适用场景意义甚于竞争分析。具体也可以参考Gartner网站信息⁴。

报告里面结合每种用例也给出代表性厂商名单并有专门的代表性厂商目录，大家可以去报告中按图索骥。Gartner分析师在文中也提出了一些评估厂商实际能力的方法，有兴趣可以去看原文。这部分我主要想分享两组切实的问题样例，它们是Gartner分析师经常看到最终用户提出、并由厂商解答的问题。不妨可以借鉴。

第一组是偏技术和战术层面的问题：

• “Is a connection to this Internet Protocol (IP) address bad? Who owns the IP? To which internet service provider (ISP) is this IP address connected? What other IP addresses are registered by this company? ”
• “Is this URL dangerous? Who registered the domain? Have they registered others? If yes, which ones? What types of threats were served from this website? Is other malicious activity linked to this URL?”
• “Which vulnerabilities in my environment are actively being exploited “in the wild”? Who are the threat actors selling or using these vulnerabilities? Which malware and other threats are leveraging these vulnerabilities? What types of organizations are being attacked via these threats?”
• “What malware is directly targeting my brand of point of sale (POS) terminal? Is this “Day Zero” attack rumor true?”
• “What do the bad guys know about my organization and its staff? Are they selling access to my systems or my intellectual property?”
• “Has our sensitive information been leaked?”
• “Should I anticipate an attack? When? How?”
• “Who are my top adversaries? Are they credible? Can I be advised of their activity within a short period of time of it occurring? Which underground sites do they frequent? Who is known to be associated with these adversaries?”
• “What threat actors could be targeting my organization’s capabilities in the coming months?”

第二组是偏业务和战略的问题：

• “If I understand more about active threat actors and threats, where should I target security spending?”
• “What improvements can be made to my architecture to better predict, prevent, detect and respond to this type of threat?”
• “Which security monitoring capabilities should we be implementing to account for these threats and threat actors?”
• “What are the strategic and tactical security risks inherent in our business strategy?”
• “Should we be partnering with companies that have questionable security postures that are potential 'weak links in the chain'? What risks could we better understand, if we had more information on my digital supply chain?”
• “How can we perform processes, such as incident response and technical control configurations, more efficiently?”
• “Can we make more informed decisions based on credible evidence of risks versus 'chasing ghosts' and wasting time on lower-priority issues?”
• “How can I better align my security program to what is essentially ‘my landscape’? ”

小结

综上，今天我主要从三个方面进行了分享。威胁情报的市场潜力还是值得期待，这个领域的创新实践也还能走得更远。

• 看市场：威胁情报全球市场逐渐成熟；
• 看客户：从客户价值来看，威胁情报驱动安全的合理性和重要性；
• 看厂商：Gartner分析师整理出的问题样例，不妨可以借鉴思考自身的业务需求，并用于和情报厂商的初步沟通。

参考材料

1. https://ctianalysis.files.wordpress.com/2016/05/incident-response-from-computer-network-defense.pdf
2. Craig Lawson, Ryan Benson, “Market Guide for Security Threat Intelligence Products and Services”, Gartner, 2019年2月19日
3. Craig Lawson, Khushbu Pratap, “Market Guide for Security Threat Intelligence Products and Services”, Gartner, 2017年7月20日发布，2017月7月25日修订
4. https://www.gartner.com/en/research/methodologies/market-guide，访问时间：2019年3月12日