為什么做威脅情報？李秋石表示，是得益于之前包括從業務，到產品，再到項目，整個過程中發現情報對于風險控制流程的重要性。它在每一個決策、每一個識別過程中和分析的過程中，起到非常重要的作用。本次分享圍繞威脅情報驅動的安全變革、中國網民與在線業務面對的安全威脅、無線安全案例分享三大部分展開。

威脅情報驅動的安全變革

李秋石對于安全的理解有自己獨特的看法，在這部分他舉了油罐車和外國航班手冊兩個例子，引出了中外對于安全的態度和重視程度。

油罐車。90年代的油罐車是解放牌綠色車，上面有安全兩個字。但這樣的做法只是寄托了大家對安全的看法，并沒有告知應該采取哪些措施來保證它的安全。發展到現在，油罐車會標注是易爆品，出現問題應該用干粉還是泡沫來應對。這是非?？蓤绦?、可操作的方法，比之前的更直觀、更實用。

[[166081]]

外國航班安全手冊。手冊細化到非常細的細節，如在水上迫降的時，應急滑梯怎么和飛機脫鉤，這在逃生環節是非常重要的。如事先就知道如何去脫鉤，就能很快脫離即將沉沒的飛機，這樣就能保證擁有更多的生存時間。

如從信息安全角度出發，要如何操作才能保證我們數據不被泄漏呢？目前沒有一個實在的方法方式能保證你的數據絕對不會泄漏，但還是有一套體系可以參考，這套體系有三步：

一：基礎的防御措施，如要有墻，要有足夠的工具，要有足夠的偵測方法和手段。

二：威脅感知，在第一時間知道和發現威脅，發現有誰在搞你，怎么搞你，為什么搞你，從哪里搞你，誰做了什么，搞了哪些數據。

三：事后，數據即便被搞了，他也沒法使用，你要用足夠強壯的加密算法來保證你的數據安全。

李秋石表示，能做到綜上三步很難，這套非常完整的體系，是要求每一個開發人員和每一個企業的人，在建造這個架構的過程中能夠把安全在每一個節點進行控制。這個對我們中國企業挑戰很大，因為我們在一開始肯定要先上線，然后再去完善它，這是中國互聯網的發展現狀。所以這個平衡永遠是需要對資源要進行分配。

中國特色情報。所謂“中國特色”主要體現在：第一，其實古時候在《孫子兵法》里面就已經提出了“知己知彼”，我們今天把它叫做“知彼知己”，這是情報最有用而且流傳最廣的一個概念，其實在我們中國的歷史文化當中就已經突出了它的重要性。第二，我們需要有自己的威脅情報處理能力，因為畢竟我們需要有自己自主可控的情報平臺，來幫助我們中國的企業去及時的獲取和及時的響應。李秋石表示，其實各家企業都在做大數據，數據量很大，但如何把它變成可執行的，這個就需要情報來支持。

中國網民與在線業務面對的安全威脅

如上圖，原數據包括了IP、事實、訪問時間點等，這些加起來都是原數據。經過情報的處理和分析，通過分析師、自動化和人工處理之后，它會變成情報。這些情報的獲取難度和破解難度也是呈金字塔型的。第一層就是Hash Values，這些非常能夠容易獲取的，而且它變換起來也是非常容易的。逐層遞增，到最高層就是TTPS。TTPS就是工具、技術和流程。也就是說攻擊者用的是什么戰術，用的什么技術和方法。這些東西你獲取了之后，它的變換成本非常高。把這些黑客黑了之后，知道他的手段和方法，再去進行一個變換，成本也是非常高的。

 檢測和響應，是情報所帶來的最核心的價值，這是對企業能力的體現。關于這部分，李秋石舉了這樣一個例子。一名女性車主遭遇跟蹤，跟蹤車輛駕駛員是蒙著口罩，戴著棒球帽，很奇怪。這名女性環繞朝陽大樂城一圈，這個車還在跟蹤。之后她并沒有報案，因為被跟蹤有很多可能性，可能是馬仔隊，也可能是你朋友開玩笑，沒有辦法讓警方介入處理。第二天，早高峰時段，在最擁堵的一個路段，女士集結好幾輛車集體行動，把跟蹤車輛撞停，直接送派出所。之后發現跟蹤車上有裹尸袋、鏟子、刀具、逃跑路線圖，樣樣俱全。這個案例是一個成功的對可疑行為的溯源和弄清目的。清目后，警方定要上升到重案層面調查。這給同樣在這個小區，或者是在年底開豪車的群體，是一個非常可靠的情報，那就是跟蹤車輛的攻擊手段和技術。

[[166082]]

針對這個案例，如上如畫的黑色的設備是被一個塑料袋纏著的，這個就是一個GPS定位設備，是綁在車底下面。換在互聯網網絡安全領域就是一個Wapshell，這個Wapshell已經在你的服務器駐留很久，但是可能沒有辦法第一時間發現，沒有對汽車的檢測手段。這個手段暴露出來之后，大家會有各種各樣的方法避免這種事態的發生。

無線安全案例分享：XcodeGhost事件和戴爾eDellRoot證書事件

[[166083]]

XcodeGhost事件

XcodeGhost事件。 微步在線剛成立不久針對非常流行的XcodeGhost事件做了一個溯源分析。是由我們的分析師，包括西雅圖和北京的一起來合作，完成了這次分析溯源。

[[166084]]

Virusbook

Virusbook。之后，衍生了我們第一個產品叫Virusbook，是為大家分析愛好者免費提供的一個工具，可以對無線的態勢感知。也就是感知整個無線應用的使用情況和訪問狀態。

戴爾eDellRoot證書。李秋石表示，戴爾eDellRoot的私鑰是可以被讀取、被破解的。其有一個很簡單的密碼，用很簡單的方法把KPI解掉。病毒開發者利用這些私鑰已經簽署了好幾個，我們第一時間接獲了兩個木馬，并把它做成了LC，去向各個訂閱者發布。這就是情報的作用，發現事件時第一時間發現它所產生的攻擊行為。所以做深入的分析和溯源的跟蹤后，才能處理解決每一個威脅，這就是威脅情報溯源的作用。

[[166085]]

Virubook的安全分析云

Virubook的安全分析云。在這個案例中，我們之所以能做到是因為有Virubook的安全分析云，它主要集成了國內外主要的反攻擊分析引擎，包括了靜態和動態的差強分析。李秋石表示，這個技術可能不算是最新和最流行的，但是它仍然是非常非常有效的。它的這些信息和線索對于情報，對有很有經驗的情報分析師來講是非常非常重要的。

[[166086]]

沙箱跑出來的信息

Virubook的安全分析云還提供自動化的分析報告，對于多引擎，對于每一個文件和一個樣本的分析報告，動態的分析結果，上圖就是沙箱能夠跑出來的信息和截圖，以及它的有關的網絡信息，和威脅有關的網絡信息，這個對每一個分析師和分析愛好者來說是非常有用的。

最后，李秋石表示，情報落地一定要和業務關聯，希望情報和真正的信息安全能夠合業務安全進行關聯和結合，形成一套體系。還有分析師是關鍵，在整個體系當中真正懂業務，懂情報，懂怎么來調用手頭工具的分析師是難求的。在泛濫的大數據的海洋當中，如何準確精準的發現情報，也是后續應該持續看到和合作的點。

本文整理自【WOT2015”互聯網＋”時代大數據技術峰會】期間，微步在線 (Threatbook)合伙人李秋石主題為《中國特色的安全威脅情報》的演講。

講師簡介:

[[166087]]

微步在線 (Threatbook)合伙人，市場與業務發展負責任人。微步在線是中國首家安全威脅情報公司，創立于2015年6月。在此之前，李秋石曾任亞馬遜中國信息部安全資深項目經理，負責亞馬遜支付安全與跨境業務安全。加入亞馬遜之前，李秋石曾任阿里巴巴集團安全部資深安全經理，負責安全生態體系建設和生物識別項目。李秋石在2007年加入支付寶風險管理部，并作為支付寶安全第一批成員在支付安全領域工作7年。負責支付寶安全產品策略，安全生態數據體系建設。建立了支付寶應急響應體系，并推動成立國內首個安全支付聯盟。