許多組織選擇通過多種方式共享網絡威脅情報(Cyber Threat Intelligence, CTI)訂閱各種信息源，其中包括妥協指標方案(Indicators of Compromise, IOC)。在當前市場上，威脅情報最普遍的使用場景是利用IOC情報(Indicators of Compromise, IOC)進行日志檢測來發現內部重要風險。這種方式可以發現傳統安全產品無法發現的很多威脅，并且因為這其中大多是已經被成功攻擊的操作，所以“亡羊補牢”對于安全運營仍會有較大的幫助。

該方法的核心是從浩如煙海的日志數據中提取出威脅情報，此時，威脅情報的數目仍然較為龐大，需要從威脅情報中進一步提取出具有實用價值的IOC情報以進一步在安全社區內共享，這就要求根據情報本身質量過濾IOC情報，例如相關性、及時性、準確性、可指導響應的上下文等，上下文問題除了一般會考慮到的風險等級、可信度等信息外，還需要提供相關攻擊團伙和家族的攻擊目的、危害、技戰術等相關的內容，提供相關的遠控端是否活躍，是否已經被安全廠商接管等信息，以此響應團隊可以判定是否需要響應，哪個事件的優先級更高等。

IOC信息通常通過信息共享和分析中心或組織(Information Sharing and Analysis Center or Organization, ISAC/ISAO)來傳播。在這些信息流中尋找可操作、實用的IOC是一個重大挑戰，只有實用的IOC才能為網絡防御提供實質性的好處，然而即使是實用的IOC中大部分也通常在未使用或丟失直到不再有價值時才使用，此時網絡攻擊者往往會迅速停止使用特定IOC。

圖1 CTI“無悔”策略的應用流程

通過多項研究和試點工作，約翰·霍普金斯大學申請的應用物理實驗室(Applied Physics Laboratory, APL)已成功部署威脅源，可在幾分鐘內收集、提取、識別可操作的IOC，并將其共享給共享組織，如ISAC或ISAO，該方法被稱為基于“無悔”策略的方法。圖1提供了該過程的可視化示意圖。本文簡要概述該方法和流程，以幫助其他組織利用這些功能滿足社區的網絡防御需求。

“無悔”策略方法

對網絡防御采用“無悔”策略意味著什么?簡而言之，這意味著使用“利益”與“遺憾”評估算法來決定是否需要自動化操作。這導致相應的組織將問題的重點轉移到何時采取行動以自動執行操作，而不是是否應自動執行操作。關于基于網絡威脅情報的自動響應，“無悔”與“有悔”的定義如下：

• “無悔”：對網絡威脅情報采取自動操作極低概率擾亂正常運營，無論情報評估是否正確。
• “有悔”：對情報采取自動操作大概率會對正常運營造成影響。

有關“無悔”策略的方法的更多詳細信息可通過APL GitHub頁面免費獲取：

https://github.com/JHUAPL/Low-Regret-Methodology.

應用“無悔”策略對威脅情報進行分類

如本文所述，將“無悔”策略應用于CTI分類，圍繞ISAC/ISAO概念展開。惡意網絡活動，如勒索軟件，通常針對工業部門內的特定行業或社區。這一部分本文詳細介紹了ISAC/ISAO等共享組織如何使用開發自動化以快速識別和共享“無悔”策略IOC的方法給他們的社區。

提取可疑指標

信息共享組織從多個信息來源收到大量IOC(其他威脅源、系統警報、成員提交等)。這個過程的第一步關鍵是從每天收到的大量情報中提取可疑的IOC。這不僅僅是利用正則表達式(regular expression, REGEX)等指標對IOC進行相似匹配，任何信息共享組織都還應根據潛在的惡意指標所在的上下文識別流程對IOC進行匹配。這可以通過惡意簽名、標簽或其他工具實現共享組織內部用于識別具有與惡意網絡活動有關的指紋標識。如果沒有指紋標識這一步，那么要分析的數據太龐大，無法為一個不斷受到網絡攻擊的網絡主體提供需要的可操作IOC情報。

對這種提取應用“無悔”策略的核心原則是“潛在惡意指標”，許多信息共享機制未能在可采取行動的時間范圍內提供數據，因為它們希望在共享數據之前無可辯駁地證明IOC是惡意的。但是做出這一決定的時間通常比網絡攻擊者積極使用IOC的時間還要長。因此，識別潛在惡意指標的過程必須自動化，并利用可重復的編碼步驟來確定潛在惡意指標。這并不意味著忽略所有其他數據，因為這是ISAC/ISAO內部額外情報處理能力的關鍵功能。

刪除已知的誤報

簽名并不完美，而且源信息中總是存在潛在的不一致。某些威脅針對流行或業務關鍵型網站，這意味著與惡意行為相關的某些IOC實際上可能非?！斑z憾”。由于初始提取是完全自動化的，因此需要實現自動化，以過濾出潛在的惡意IOC，如果這些IOC被自動阻止，它們很可能會影響操作。這些被認為是“高度遺憾”，必須通過其他方式進行評估。在這方面，以社區為中心的共享組織(如ISAC/ISAO)的力量可以顯著改善這一過程。然而，一些與互聯網服務提供商有關的內容，如互聯網服務提供商的IP地址等，也可以很容易地維護其重要的網絡服務，即使它們對該社區的影響在全球并不廣為人知。

確定“無悔”策略的指標

一旦已知的誤報被消除，自動化系統將準備對IOC進行評分，以便根據組織的政策和風險承受能力的定義標準來識別哪些是極不可能影響運營的錯誤。這一步的關鍵是了解此類惡意IOC通常具有的共同屬性，但授權IOC不共享這些屬性。確定這些屬性后，下一步是找出在何處以及如何訪問有關該屬性的信息，以便為IOC做出此項決定。然后可以通過自動化方法訪問這些信息，再通過基于指標類型的幾個快速查詢來評估“無悔”分數指標。這些查詢可能包括但不限于：

• 域名期限：新注冊的域名不太可能成為關鍵資產;
• 映射域的數量：歷史上解析為一個或兩個域的IP IOC，即使駐留在共享基礎設施上，也不太可能跨Internet遷移到關鍵資產;
• 已知的惡意行為：惡意文件通常具有分析軟件標記的特定特征，而合法文件不具備這些特征;
• 分析人員審查的IOC：如果共享組織的分析人員或威脅公告的可信來源高度信任IOC是惡意的，并且IOC出現在過程中，則應將其標記為“無悔”，因為它很可能是惡意的;

不符合這些檢查要求的IOC不容忽視。相反，它們是威脅情報分析人員將要研究的情報庫(現在要小得多)。如果分析人員確定IOC確實威脅到惡意活動，IOC可以再次通過分類流程，并貼上“分析人員審查”標簽。

為網絡防御源準備指示器

一旦自動化識別出滿足“無悔”策略的IOC，它就可以快速轉錄將每個IOC轉換為可共享的格式，例如結構化威脅信息表達(Structured Threat Information expression, STIX)標準。用于確定IOC為“低遺憾”的信息還應包括在IOC的機器可讀數據對象中，以便接收者無需重復信息共享執行的步驟組織。

與社區分享

一旦IOC被正確格式化，自動化系統就可以共享數據通過機器速度傳遞機制，如可信賴的自動變速器智能信息交換(the Trusted Automated exchange of Intelligence Information , TAXI)協議或其他可接受的機器速度社區采用的轉移機制。不管分享在所采用的機制中，確保接收者接收所有相關上下文是至關重要的。

結論

“無悔”策略的使用能夠提取運營成本中目前被網絡防御行動忽視的許多CTI的價值。它不是一個靈丹妙藥，它不會捕獲從CTI的積極分析中得出的見解，但它可以提供社區成員可在其安全操作中使用的可操作數據，以破壞針對其網絡的惡意活動。

簡而言之，“無悔”策略即對系統面臨的所有網絡威脅進行針對性的特征提取，這種“無悔”之處體現在當威脅被自動處理時，無論自動處理的方法是否得當，都不會較大程度影響系統的正常業務，因此被稱為“無悔”，在處理方式上，“無悔”策略的價值之處在于低影響下的自動處理，因此對實時性支持較好，有利于威脅的快速發現與響應。