情报、数据运营方案.pdfVIP

情报、数据运营方案--第1页

美团安全工程师，负责集团整体威胁情报与态势感知能力的建设，曾在DEFCON

China、ISC等会议上分享了多个威胁情报应用的案例与方法。

0x00大规模系统下的威胁

随着用户数量、业务量的增长，互联网企业的业务系统也变得越来越复杂，大量的访

问日志、庞大的代码仓库、数十万或百万计的IDC资产以及几万种开源组件构成了庞大的

业务系统，但是随之而来的是大量的威胁，体现在了可产生告警的设备数量非常大，使得

产生的告警非常之多，并且部分告警是完全无效或者不可运营的。正是由于告警数量的庞

大，安全运营团队背负着巨大的心理压力和负担去处理，最后发现是个误报或者说是个无

意义的告警，久而久之安全运营就会疲于应付告警，这个时候一旦有攻击出现，往往就会

在很短的时间内失去整条防线，也就是经常说的一个段子：每年在安全上砸了一堆钱，但

是实际上还是很容易被人家打进来了。庞大的资产、日志、流量，加上海量的不可运营的

告警，也就间接对业务系统产生了大量的威胁。

通过对各种角度上的威胁进行梳理后，我们可以把整个互联网企业可能面临的安全威

胁分为三大类，一类是以通用组件漏洞、僵木蠕为首的面向基础设施的威胁，第二类是以

业务系统缺陷、越权漏洞为代表的面向业务系统的威胁，第三类是以POI/UGC爬取、欺诈

流量（也就是刷差评/好评的）等面向业务数据层面的威胁。有了威胁，才能去谈威胁的情

报。

在梳理完上述威胁后，笔者第一时间也去问询了一些同行业的朋友，但是老朋友的反

馈多为“买买买”，当然这个可以理解，因为最省事儿的方法就是买买买，但是仔细思考之

后，笔者发现了“买买买”之后会衍生出来一大堆的问题，比如说如何评价威胁情报做的好

不好，这也是笔者在接手威胁情报能力建设之后被老大挑战的最多的问题之一；第二个问

题似乎更现实一点，那就是威胁情报团队的绩效怎么去给，或者说如何评价威胁情报团队

的工作对整个安全建设工作是有实际意义的，这两个问题其实在企业里面是常见但是不太

好作答的问题。除了评价和KPI的问题，威胁情报本身由于先天的滞后性和本身的缺陷，

也有很多不是很好解决的问题，由于问题多了所以便有了以下的段子。首当其冲的是情报

的准确性，很多情况下我们抓到一条情报之后，无从判断真伪，更有的时候直接抓到了就

直接定性是虚假情报了，这样无形增加了很多的运营成本。第二个问题就是消息不对称，

很有可能情报从原始处获取到了之后，由于生产的问题导致情报出现了失真，最后拿到手

里是残缺甚至是错误的情报，安全运营拿到了之后不知道如何处理这类的情报，在这里举

一个例子，在漏洞预警中，可能不小心没有注意到告警描述里面的prior，导致了影响版本

的误判。

第三个问题其实更比较常见，我们买了很多IOCs、买了很多情报服务，数据量可能非

常之巨大，但是实际上能拿来运营的往往就那么几条。举一个很常见的例子，我们在购买

的IOC中只会提及IP是个扫描器、是个僵尸网络，从来没有人主动了解也没有人去询问他

扫描了哪个端口，被哪个家族的僵尸网络bot控制了，更有甚者会将一些公司的正常资产

标记成恶意的，这个时候没有人为威胁情报的结果负责，标签就变成了无意义的话题。安

全运营的同学见的多了自然就会对威胁情报产生了严重的质疑，再加上前面提到的安全运

营会因为海量的告警出现了告警懈怠，导致真正有用的情报没有能够及时处理，让真的威

胁情报变成了”无效情报“，变成了为企业添堵。

最后就是情报的滞后，举个很简单的例子，就是通用漏洞的威胁情报。通用漏洞的情

报很多时候都是看到朋友圈大量转发或者群里大面积讨论才知道有漏洞了，实际上这个漏

洞很有可能是很早之前就发了修复补丁大家完全没注意的。

再举个很现