从静态情报到动态流：运用统一关联模型实现威胁情报运营化

问题：动态世界中的静态情报

每位首席信息安全官都深知现代威胁情报带来的疲劳感。每天有数十个供应商的“订阅源”涌入——STIX数据包、IP封锁列表、域名指示器、恶意软件哈希值——它们都声称能帮助您的组织保持领先一步。然而，大多数威胁“订阅源”的表现仍像一份份“恶意清单”。它们告诉您需要关注什么，但没有说明原因，也没有说明它如何在您的环境中传播。

结果是一个丰富的悖论：CISO们拥有比以往更多的数据，但操作清晰度却更低。分析师们被脱离上下文或与任务无关的指示器所淹没。

每个订阅源代表了一个潜在威胁的快照，但它没有捕捉到该威胁在企业内部利用各种关系的动态路径。

传统的情报产品描述的是离散的工件；而现实世界的攻击利用的是用户与云服务之间、供应链供应商与数据存储库之间、身份提供商与DevOps管道之间的关联。从威胁“订阅源”向威胁“流”的转变，需要一个能够描述这些关联、量化其可信度并根据威胁实际传播方式来优先处理风险的模型。

这就是统一关联模型发挥作用的地方。

根茎网络与现代攻击面

经典的网络防御模型假设系统是层次化的——服务器在核心，客户端在边缘，中间有清晰的边界。但数字化企业不再像树；它们的行为更像根茎——一种横向、递归连接的活系统。

根茎网络（一个来自德勒兹和加塔里的《千高原》并在其他语境中被探讨的术语）是指任何节点似乎都可以直接或间接地通过API、共享身份层或多云基础设施连接到几乎任何其他节点的网络。在这些环境中，“根”变得不再永久，拓扑结构变得难以预测。在此背景下，依赖关系动态出现，关系演变的速度超过了文档记录的速度。这种从层次结构到根茎结构的转变改变了我们对威胁传播方式的认知。一个SaaS租户中的危害可以通过相邻的云账户、CI/CD管道或共享身份提供商以惊人的速度横向蔓延。

攻击者不再利用静态边界——他们将关系武器化。

ULM提供了一种结构化的方式来可视化这种混乱。通过映射三种核心关联类型——相邻性、继承性和可信度——ULM揭示了风险如何通过复杂的生态系统根茎式地移动。它将现代网络纠缠转化为可量化的东西，使CISO能够推理传播过程，而非静态暴露。

统一关联模型

ULM最初是为了描述网络风险如何通过相互依存的系统传播而构思的——不仅仅是通过资产或漏洞，而是通过关系。ULM不是将网络视为线性层次结构，而是将其视为活生态系统，其中风险沿着三种主要关联类型流动：

相邻性关联：系统之间的邻近性或共享接口，例如网络段、API或共享基础设施。
继承性关联：依赖关系和配置流，例如构建管道中被破坏的库或继承的IAM策略。
可信度关联：人类或合同关系，例如供应商访问权限、联合身份或服务到服务令牌。

每种关联都代表一条潜在的利用路径。ULM不是孤立地处理每个威胁工件，而是映射这些工件如何连接——展示攻击者如何通过相邻性、继承性和信任从最初的危害点遍历到最终目标。

这个概念将威胁情报从“收集”重新定义为“连接”。在ULM的视角中，组织的环境不仅仅是资产列表，而是交互图。威胁不是孤立的事件，而是在关联之间流动。

从订阅源到流：构建活的威胁图

想象一下收到一份报告与钓鱼活动相关的恶意IP地址的订阅源。在大多数安全运营中心中，该指示器会进入SIEM规则或防火墙阻止列表——这是一种防御性的事务处理。情报到此为止。

现在应用ULM思维：

该恶意IP与被破坏的第三方营销工具相关联。
该工具在您的营销自动化系统中嵌入了API密钥。
自动化平台使用连接到您企业CRM的OAuth令牌。
CRM与您的云身份提供商集成。

每种关联构成了威胁流的一部分——一条潜在的、通过业务流程横向移动的（而不仅仅是端口和协议）连接式利用链。通过映射关联，CISO可以看到“恶意IP”不是一个孤立的数据点；它是一条触及客户数据、凭据和身份基础设施的多阶段流中的第一个可观察项。

当威胁情报被构建为关联而非列表时，分析师可以：

更快地关联：识别跨订阅源的共享基础设施或行为模式。
更好地优先排序：关注与高价值或高可信度关联相交的威胁。
通过建模相邻或继承依赖关系来预测传播，从而更早地预测。

换句话说，威胁订阅源变成了威胁流——具有方向、动量和后果的情报。

在威胁情报管道中运营ULM

摄取与规范化 ULM始于摄取多样化的威胁订阅源——商业的、开源的、政府的和内部的遥测数据。每个工件（IP、域名、哈希、战术或技术）成为关联模型中的一个节点，并附加以元数据，如MITRE ATT&CK技术、时间戳或置信度分数。
建立关联 系统使用多种标准识别节点之间的关系：
- 相邻性：共享的IP范围、ASN或云托管；共享的库或API密钥。
- 继承性：供应链依赖关系、构建系统组件或配置漂移。
- 可信度：凭据共享、联合SSO连接、供应商合同或已知的信任关系。关联被赋予强度和方向性评分——类似于图中的权重——产生一个威胁关联图，展示危害如何跨系统级联。
与MITRE ATT&CK、TIPs和FAIR集成 ULM自然与MITRE ATT&CK的技术层面数据对齐。每个关联可以用其实现的ATT&CK战术进行注释——从初始访问到影响。与威胁情报平台（如MISP或ThreatConnect）的集成允许ULM图随着新指示器的出现而动态更新。当连接到新出现的恶意节点时，先前良性的关联可以立即变为高风险，将静态情报转化为活生生的、可操作的作战地图。同样，ULM通过将关联动态嵌入损失事件建模，桥接了FAIR和FAIR-CAM等定量风险框架，从而不仅能够评估损失的规模，还能评估损失可能传播的路径。
可视化威胁流 可视化是关键。在AI/ML模型和基于云资源的新兴环境中，这种可视化可以实现。使用ULM，CISO可以将攻击路径视为流程图而非电子表格。例如：
- 连接到受损害供应商的GitHub仓库（继承性关联）
- → 将代码注入共享容器镜像（相邻性关联）
- → 通过自动化管道部署到生产环境（可信度关联）。这种可视化揭示了单点控制——代码签名强制执行或身份分段——可以一次性阻断多条流路径的瓶颈点。

ULM作为情报与授权之间的桥梁

企业安全中一个持久的挫败感是情报与治理之间的鸿沟。威胁订阅源为SOC提供信息；像NIST SP 800-37 Rev. 2、ISO/IEC 27001:2022或CMMC 2.0 Model这样的框架管理合规性。两者很少交汇。

ULM提供了连接组织。因为ULM形式化了系统之间的关系，它可以直接输入到风险管理框架中：

NIST RMF 步骤1-2（分类/选择控制）：使用ULM识别关联密集的区域，在这些区域，危害将具有最高的传播潜力。
步骤3-4（实施/评估）：验证关键关联路径上是否存在控制措施——认证边界、代码继承链、供应商访问权限。
步骤6（监控）：持续用新的威胁情报更新关联，将持续监控转化为持续的关联验证。

在合规环境中，ULM指标——如关联密度、可信度评分和相邻性暴露——成为CMMC成熟度、ISO 27001风险登记册或零信任架构（SP 800-207）策略执行的可衡量输入。因此，威胁流不仅是技术可视化，也是尽职调查的可审计工件。

零信任与流视角

零信任架构通常被总结为“永不信任，始终验证”，正如NIST SP 800-207所形式化的那样。ULM通过展示需要验证什么以及信任实际存在于何处来增加细微差别。零信任设计中的每个信任边界对应于ULM中的一个或多个关联：

用户通过身份提供者进行身份验证——一个可信度关联。
微服务通过API调用另一个——一个相邻性关联。
软件更新管道从第三方仓库拉取——一个继承性关联。

当威胁情报映射到这些关联上时，CISO可以实时了解哪些信任路径正在受到主动威胁。 ULM不是将零信任视为静态的分段图，而是实现了动态信任模型——由威胁流数据持续更新。这种方法将零信任从一个架构目标转变为一个可操作的反馈系统。每个关联不仅根据访问策略进行验证，还根据主动的威胁流进行验证。

CISO用例：按关联影响优先排序

考虑两个同时发生的警报：

针对财务部门的钓鱼域名。
DevOps集成中被破坏的API密钥。

两者似乎都很重要，但哪一个值得立即关注？传统的基于订阅源的方法可能将它们同等对待。ULM视图迅速显示，API密钥位于一个高可信度、高继承性的关联上——它将构建系统连接到生产容器，而这些容器与客户数据存储库共享相邻性。相比之下，钓鱼域名指向具有强控措施的孤立用户收件箱。通过量化关联权重，CISO可以优先处理DevOps的破坏，知道其“流潜力”——从一个系统移动到另一个系统的能力——要高得多。这是攻击路径的优先排序，而不仅仅是漏洞管理。这是追逐每个指示器与聚焦重要流程之间的区别。

迈向基于流的防御

安全团队通常用边界、端点或控制来描述其态势。但对手不是按框框思考的——他们相信流。他们利用连接组织：被遗忘的信任令牌、未被监控的CI/CD交接、共享的SaaS凭据。 ULM提供了一种像攻击者一样思考并行动的方式，同时保持防御者的分析严谨性。通过对关联建模，CISO可以：

可视化攻击面：不仅了解存在哪些资产，还了解它们之间如何关联。
量化传播风险：衡量危害可以移动多快、多远。
运营化威胁情报：将动态关联更新输入监控和响应手册。
协调情报与合规：向审计师和董事会证明风险是在上下文中被理解的。

在实践中，采用ULM不需要替换现有工具。大多数组织已经拥有数据——网络地图、身份图、漏洞扫描器和威胁订阅源。ULM将它们统一到一个关联框架中，将孤立的输出转化为连贯的风险叙述。

CISO的行动呼吁

几十年来，我们一直被训练去收集——日志、指示器、订阅源。网络安全的下一时代要求我们理解连接：元素如何相互作用、继承和传播。通过采用关联思维，CISO可以将威胁情报从被动提升到预测。ULM提供了静态数据和动态防御之间的分析桥梁——一种将威胁视为意图流在数字生态系统中移动，而非孤立警报的手段。信息简单但有力：停止仅仅阅读威胁订阅源。开始映射威胁流。这就是您在根茎式、相互连接的系统时代运营威胁情报的方式——也是CISO最终获得采取行动（而不仅仅是反应）的可见性的方式。