为什么仇恨威胁情报源？

John Strand //
最近在Security Weekly的一期节目中，我对威胁情报源发表了激烈看法。我对此感到些许抱歉。

但…我认为需要解释我是如何得出这个结论的。通过SANS和IANS，我接触了大量公司——远超过正常人应该接触的数量。大约一年前，我还是威胁情报源(TIF)的狂热支持者。相互分享信息的概念既棒又强大。

然而，TIF出了大问题。

基本上，归根结底就是：它们不起作用。我知道会有人想为此在街上跟我打架，但这是事实。

它们就是不起作用。记住，我曾经是个粉丝。但随着时间的推移，我越来越多地问我的课程学员，谁在使用它们，是否从中获得了价值。获得价值的人不到5%。

此外，如果你退一步思考，它们从一开始就是个愚蠢的想法。黑名单是个愚蠢的想法。在许多（但不是所有）方面，TIF是另一个黑名单，或者至少是黑名单主题的变体。如果你想了解更多关于黑名单和枚举坏处为何愚蠢，请阅读： http://www.ranum.com/security/computer_security/editorials/dumb/

坏人需要做的，就是不在坏处列表上。

此外，在BHIS，我们一直在攻击组织。战术和恶意软件既变化又保持恒定。什么在变化？首先，恶意软件。从一次攻防到另一次，恶意软件不断变化。这是因为我们在竞相超越防病毒软件(AV)。这不是一场困难的竞赛，但它确实导致我们的恶意软件变形…很多。第二变化的是投递方式。绕过邮件过滤器与绕过AV非常相似。你必须修改和适应。最后，我们的C2、钓鱼和攻击的IP地址变化很大。是的，我们在坏家伙身上也看到了同样的情况。

但有一大堆东西移动和适应得慢得多。首先，横向移动。当我们进行横向移动时，我们倾向于一次又一次地使用相同的战术。SMB共享、令牌模拟、传递哈希、密码喷洒，都是我们几乎每天工作的主要内容。此外，我们使用的这些战术与坏家伙使用的几乎相同。那么，为什么你需要一个威胁源来告诉你如何检测这些？你现在就可以在你的组织中做到。 去这里：http://tinyurl.com/504extra2 获取C2_Work电子表格，并开始处理那里列出的东西。这个电子表格是我们C2横向移动测试的一小部分。这个电子表格是我们为客户测试前的测试。

如果你能检测到，太棒了！如果不能，你需要开始考虑其他安全方法。 比如这些：https://www.youtube.com/watch?v=wlkILCd_S04

我们可以量化TIF是垃圾。例如，在Verizon数据泄露报告中，他们发现源之间有3%的重叠…3%！此外，在恶意软件方面，他们发现70%-90%的恶意软件样本是针对特定组织的独特样本。我认为Eric Conrad（SANS 511的合著者）说得对，“两件事：恶意软件想要持久化，它想要回连老家。”我们可以专注于这些领域，并使用像Microsoft Advanced Threat Analytics这样的工具发现横向移动。

现在，有些东西确实有价值，并且属于有效的威胁情报范畴。与同一行业的合作伙伴分享信息（不是供应商！）似乎非常有效。发展你自己的内部威胁情报团队具有巨大价值。这些东西无法购买。你必须为之努力。情报无法购买，只能学习。

有许多人发邮件和打电话问我是否还好。我很好。威胁情报源在我小时候没有打我。我只是不想再看到任何组织浪费他们的钱。