網絡威脅情報應用逐漸普及，網絡威脅情報應用的誤區也隨之而來。錯誤的威脅情報應用模式不僅僅是資源的誤用，還可能帶來額外的暴露面，其支持者可能被對抗性情報模式所利用。作為定向攻擊的武器篩選條件，而這些誤區被推廣則可能會造成更大面積的潛在受害者群體，甚至作為攻擊關鍵信息基礎設施的跳板，因此，筆者選擇一些典型的誤區，剝開“洋蔥的心”。

　　誤區一：告警查詢論

　　最嚴重的誤區莫過于“告警查詢論”，該方法主張將網絡安全設備或系統平臺（如：IDS、WAF、NGFW、SIEM、態勢感知等）產生的告警日志，取出IOC值（IP、域名、URL等）提交威脅情報平臺查詢，根據查詢結果決定封禁與否，甚至支持永久封禁。

　　誤區分析：

　　1、首先，如果這是一個確認的攻擊日志，網絡安全人員必須對此做出響應，因為“100個人說它是無害的，它就是無害的嗎？它攻擊我，它就是有害的，即使除了我以外其他任何人或機構都沒有標記這是一個惡意的對象！”，所以“告警查詢論”存在嚴重漏洞！

　　2、在該言論中，放棄了對未告警的信息的檢查。如果安全人員到網上以“繞過”+【安全設備】，【*】中可以為任何安全設備的代換，可以看到大量的繞過安全設備的帖子。未將威脅情報應用于主動防御或更全面的檢測，是一種嚴重的資源浪費和疏忽。

　　3、第三，忽略了威脅情報的重要屬性之一：時間屬性。IP、域名等均為網絡資源，都可以更換屬主，可回收、可轉讓，注銷后可能會被其他屬主所使用，因此“永久”這種用法忽略了威脅情報的時間屬性。

　　4、另外，該觀點的支持者忽略了私有威脅情報的概念，告警經過分析研判，可以根據結果決定是否納入私有威脅情報管理。并且，可以利用威脅情報交換機制和協議（例如：TLP）進行發布，作為對合作伙伴、行業、國家安全的回饋。

　　正確理解：

　　沒有任何一種方法可以獨立完成網絡安全防護、檢測全部需求，網絡威脅情報的應用如同我們所列舉過的所有設備、系統、平臺一樣，是一種具有獨特能力的網絡安全補充，它和其他所有的網絡安全設備與系統，共同承擔著企業網絡安全防護，對針對性繞過技術是一種強補充。

　　針對網絡威脅情報的自定義篩選應用，可以構成主動防御陣線，例如：在有效情報的前提下，設置網絡規則。大家一定不會忘記WannaCry通過Sinkhole免疫的方法（如果可以成功訪問iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com，則電腦在中了勒索病毒后不會進行文件加密而直接退出），因此只需要打開防火墻規則，則可以避免該災難，但需要注意的是Sinkhole可能會搜集受害群體的信息。

　　同時，威脅情報可以針對告警信息進行線索擴展。在線索擴展場景下對告警信息的優先級重定義起到重要作用。

　　誤區二：公開失效論

　　另一個廣泛被傳播的誤區是“公開失效論”，即網絡威脅情報一經公開就失效了，將希望寄于攻擊者不會再次使用該方法，或者漏洞將被完全關閉，攻擊方法會失效。讓我們先學習如下案例：

　　WannaCry持續被利用。提起勒索軟件，可能無人不知WannaCry以及它的“業績”，曾經在瞬間造成約150個國家200萬臺計算機被攻擊。然而，這個臭名昭著的勒索軟件，并不是利用0Day進行攻擊，根據報道，微軟在WannaCry肆虐前兩個月即發布了補丁，按照“公開無效論”者的觀點，這本是一個可以避免的災難，但不幸的是，災難還是發生了。筆者建議“公開失效論”者應該思考一下這句話“study in preventable catastrophes” （https://datatechvibe.com/data/wannacry-should-you-still-worry/）。

　　到目前為止，WannaCry似乎并沒有完全被控制住，我們還是經?？梢钥吹奖籛annaCry入侵的案例被報道出來。

　　誤區分析：

　　網絡情報僅當對抗雙方信息一致，并且采取了必要、完整的對抗手段，公開的網絡威脅情報（也稱為：開源網絡威脅情報）才是出現“失效”，這種“失效”是網絡威脅情報應用的結果，而“對抗雙方完全利用”的場景則出現的比例極少。

　　正確理解：

　　1、網絡威脅情報公開不代表目標受眾均有效接收，按照信息理論，信息接受方需要正確解讀發送方的全部含義。然而，現實中很多網絡安全人員沒能夠接收或者完整接收到威脅情報的相關信息，并根據威脅情報的建議進行了部署。威脅情報的完整接收和理解是網絡安全人員需要進行提升的關鍵環節。

　　2、網絡威脅情報的公開，需要對抗手段的對齊，方能發揮威脅情報的效用。

　　彩蛋：有心者是否注意到關于WannaCry的威脅情報中提到僅打補丁是不足夠的？

　　誤區三：開源無用論

　　“開源無用”論者認為開源情報因為受到信息發布的管制，缺少情報研究所需的高價值信息，并且隨著自媒體、多種媒體方式的衍生，開源情報存在著大量冗余、錯誤、虛假的情報，因此沒有用途。

　　針對這一言論，請先看一起非網絡安全的開源情報分析案例：

　　上個世紀50年代，格林斯潘靠著有限的公開信息，從飛機構件材料中鋁、銅、鋼鐵的比例和數量入手，推出美國軍工業對經濟體構成的影響。他發表的統計結果，跟美國軍方所掌握的秘密數據驚人地接近，以至于五角大樓的人立刻斷定“這個人肯定是拿到了我們的秘密數據，否則不可能這么精確”。

　　誤區分析：

　　產生“開源無用”論的基礎，是情報分析人員的思維慣性、惰性、能力所造成，他們認為公開的情報由于受到各種嚴格的審核，無法推導出有效的結論。

　　正確理解：

　　“凡有接觸，必留痕跡”（Every contact leaves a trace，Edmond Locard），筆者在《溯源（歸因分析）與機器學習》中曾引用這一觀點。

　　關于開源威脅情報，首先面對的是冗、錯、偽的挑戰，這需要分析人員或組織投入大量人力、財力研究威脅情報的源頭、記錄威脅情報傳播的路徑、并進行冗余管理，同時還需要解決開源網絡威脅的錯誤信息，甚至處理上升到威脅情報對抗角度的虛假情報。

　　開源情報分析，需要情報分析人員的思維具有嚴謹、開拓等多面性，避免思維慣性，甚至是惰性的工作習慣，其培養過程漫長，并且還需要一些“天才”人物的出現。

　　開源情報在溯源分析中起到了重要作用，下圖則是筆者利用開源情報所獲得的信息（先進威脅情報商已經于更早時間開始重點布局開源情報）：

　　筆者一直有一個疑問，“開源無用論”者是否真正研究過開源情報并愿意通過理論基礎公布是他們是如何得出“開源情報無用”這一結論的？

　　其他誤區

　　一勞永逸論：

　　“人不能兩次踏進同一條河”---赫拉克利特

　　一勞永逸論者，通常會提出威脅情報永久使用的期望，忽略了威脅情報具有動態的特性。這一輪點的支持者，通常略加思考，即能正確認識到事實。

　　上帝視角論：

　　“你們的威脅情報是最新、最全的嗎？”這是上帝視角論者最常提出的問題。從追求威脅情報質量的角度上看威脅情報永遠都有可提升的空間，但由于傳遞時效、范圍（想一想“鐵路警察各管一段”的故事，更何況有著利益沖突的多方角逐）等因素的影響，新、全、準，就如同奧林匹克的精神一樣，可以不斷被刷新；最需要注意的重點是，威脅情報帶有預測，而預測總有伴隨著準確、遺漏的平衡。

　　試想，如果針的有上帝視角，我們把安全交給上帝，不香嗎？

　　結語

　　關于網絡威脅情報的誤區，或許還有很多，筆者所揭開的只是這顆洋蔥“一層”，希望廣大威脅情報研究者站出來共同糾偏，促進網絡威脅情報的應用。