为什么对威胁情报源存在反感？

John Strand //
最近在Security Weekly节目中，我对威胁情报源发表了激烈评论。现在感觉有点过意不去。

但…我认为需要解释为何会持这种观点。通过SANS和IANS，我接触了大量企业——远超常人所能及。大约一年前，我还是威胁情报源(TIF)的忠实拥护者。信息共享的理念确实强大而令人振奋。

然而，TIF在某些方面出现了严重问题。

根本原因在于：它们不起作用。我知道会有人对此强烈反对，但这是事实。

它们确实无效。请记住，我曾是它们的粉丝。但随着时间推移，我不断询问学员谁在使用这些情报源以及是否从中获得价值。获得价值的人数比例不足5%。

更进一步说，退一步思考，它们从概念上就存在缺陷。黑名单本身就是个愚蠢的想法。在许多方面（并非全部），TIF只是另一种黑名单或是其变体。若想深入了解黑名单和枚举恶意行为的缺陷，请阅读： http://www.ranum.com/security/computer_security/editorials/dumb/

攻击者只需确保自己不在恶意名单上即可。

在BHIS，我们持续对组织进行攻击测试。攻击策略和恶意软件既会变化也会保持稳定。变化的是什么？首先是恶意软件。不同任务中的恶意软件始终处于流动状态，这是因为我们需要规避杀毒软件检测。虽然不难，但这导致我们的恶意软件频繁变形…其次变化的是交付方式。绕过邮件过滤器与绕过AV非常相似，需要不断修改和适应。最后，我们的C2、钓鱼和攻击IP地址也频繁变更。是的，我们发现攻击者同样如此。

但有许多东西变化和适应速度要慢得多。首先是横向移动。当我们进行横向移动时，往往会反复使用相同策略：SMB共享、令牌模拟、哈希传递、密码喷洒等都是我们几乎每天使用的常规手段。而且，这些策略与攻击者使用的几乎相同。那么，为何需要威胁情报源来告诉你如何检测这些？你现在就可以在自己的组织中实施检测。

访问：http://tinyurl.com/504extra2
获取C2_Work电子表格，开始检查其中列出的项目。这个电子表格是我们C2横向移动测试的一小部分，是我们为客户准备的测试前检查表。

如果你能检测到这些，太棒了！如果不能，就需要开始考虑其他安全方法。

比如这些：https://www.youtube.com/watch?v=wlkILCd_S04

我们可以量化TIF的无效性。例如，在Verizon数据泄露报告中，他们发现不同情报源之间只有3%的重合度…3%！此外，在恶意软件方面，70%-90%的恶意软件样本是针对特定组织的独特变种。我认为Eric Conrad（SANS 511合著者）说得对：“恶意软件想要持久化，并想要回连家园。“我们可以专注于这些领域，并使用像Microsoft Advanced Threat Analytics这样的工具发现横向移动。

确实存在某些有价值且属于有效威胁情报范畴的内容。与同行业合作伙伴（非供应商！）共享信息似乎效果很好。建立自己的内部威胁情报团队具有巨大价值。这些东西无法购买，必须通过努力获得。情报无法购买，只能学习。

许多人发邮件和打电话询问我是否安好。我很好。威胁情报源没有在我童年时伤害我。我只是不想再看到更多组织浪费资金。

“现在，John，威胁情报源在玩偶的哪个部位伤害了你？”