严阵以待如何获得情报

加载游戏后，我们控制的角色会出现在准备房间中。这间屋子是所有任务的出发地点，从这里踏入战场!

如果要选择RAID任务，那么靠近房间中的指挥官办公桌，打开任务选择界面即可。随后就可以看到8个可供选择的地点，目前其中6个是可玩的，能够在当前游戏中体验到。

地点

目前共有6个行动地点：

213公园之家-3:30AM

侦探们一直在追踪一条新的线索，通过追踪213公园一个隐藏“经济适用房”开发项目，他们在洛斯苏埃诺斯找到了甲基 *** 的来源。

4U加油站-11:00PM

应对抢劫案。当地警察已经赶到现场，建筑中有很多平民，这次的嫌疑人很神经质。

温德利山酒店-12:30PM

D小队将前往现场并肃清酒店的关键楼层。里面有很多平民，情况非常危险，犯罪者很狡猾。

塞萨尔汽车售卖店-4:40AM

该小组的任务是渗透市中心的汽车售卖店，因为调查霍根港的办案人员发现了一条寄往这里的信件。要格外小心。

霍根港-2:15AM

特警队、FBI之间的联合行动，现场正在下雨。小队的任务是肃清一号仓库和轮船服务设施。

樱桃农场-3:00AM

一名办案人员在执行任务时被杀害，他倒在了樱桃农场的车道上，带领小队肃清这个奇怪的地方。

任务类型

目前游戏一共有5种类型的作战任务：

逮捕嫌犯(Barricaded Suspects)——普通

小队的主要目标是营救平民和逮捕嫌疑犯。交战规则很严格。除非有我方人员或平民受到威胁，否则不要杀人。

突袭(Raid)——困难

嫌疑犯非常危险，不会轻易屈服。准备好进入长时间战斗和交火，可以先练习一下再来。

主动狙击(Active Shooter)：困难

一名持q歹徒正在大厅里游荡，追捕并疯狂杀害平民。在无辜的生命逝去之前，击毙这名嫌犯。

炸d威胁(Bomb Threat)——非常困难

已经探明到炸d威胁。最优先级是要在倒计时结束前拆除炸d。第二优先级是营救所有平民并干掉嫌犯。祝你好运。

人质营救(Hostage Rescue)——极难

嫌犯劫持了一个屋子的平民作为人质。悄悄接近，指定战略，并迅速执行。无辜平民的生命就在你的手上。

注：上述任务和地点不是固定搭配的，但所有任务都可以在4U加油站进行

Abusech >

当前国内市场上，威胁情报最普遍的使用场景，就是利用IOC情报（ Indicators of Compromise）进行日志检测，发现内部被攻陷的主机等重要风险。这种情况下可以发现传统安全产品无法发现的很多威胁，并且大多是成功的攻击，对于安全运营有较大的帮助。这种场景看似简单，就是日志数据和情报之间的匹配，其实并不是如此，个人在这几年的工作中，对这个场景的认识有了多次转变，现今看来可以小结为3个层次。

最初的时候，认为IOC情报匹配本身并不复杂，核心的问题是情报本身的质量（相关性、及时性、准确性、可指导响应的上下文），特别是上下文问题，非常重要，除了一般会考虑到的风险等级、可信度等信息外，还需要提供相关攻击团伙和家族的攻击目的、危害、技战术等相关的内容，提供相关的远控端是否活跃，是否已经被安全厂商接管等信息，以此响应团队可以判定是否需要响应，哪个事件的优先级更高等。后续发现对于很多团队缺乏事件响应经验，理想情况下情报上下文最好能提供不同威胁的响应参考策略，这部分似乎也可以归入到上下文中。这个层次暂且称其为简单匹配。

后来逐步发现IOC的匹配问题并不单纯，针对不同的日志类型需要有专门的优化。典型的例子就是DNS日志或者防火墙的五元组日志，下面以DNS日志为例进行说明。DNS日志是进行IOC匹配比较理想的类型，因为有些远控服务器当时可能不能解析，因此不会产生其它类型的应用层日志，但通过DNS活动就可以推断对应的主机上已经运行了一个木马或者蠕虫病毒，甚或是APT攻击。这个远控的IOC形式可能是一个域名，这种情况就比较简单；但如果是一个URL，这种情况下如何匹配就是一个相对复杂的事情，因为单纯的DNS数据是不能精确判别是否出现失陷的，往往要引入一些参考的数据类别，并考虑企业对哪些威胁类型更加关注，这种情况下需要有更加复杂的匹配机制。这个层次可以称其为高级匹配。

经过前两个阶段，对于大多数组织应该可以较好的使用威胁情报做检测了。但从更高要求看，可能还会出现一些需要解决的问题，如日志中显示的域名没有直接的威胁情报命中，但是域名所在的主机其实已经明确是属于某个网络犯罪组织的，这种情况下如何产生报警；再如对一个邮件做详细的分析判定，是需要从多个维度进行分析，其中会使用多个类型的威胁情报。解决这些问题不但需要有威胁情报及网络基础数据，还需要有相应的分析判定模型，这部分可以说在编排和自动化范围内（SOAR），如果还需要有一个名字，不知智能化匹配是否合适。

简单匹配、高级匹配、智能化匹配，这是基于过去对IOC使用情况思考的一个简单总结。不能确定是否还会有更多的层次，但有一点可以肯定，随着对威胁情报IOC使用的不断探索，威胁情报在检测过程的作用一定会越来越大。而事件响应分析、安全预警上情报的使用大致也有同样的过程，可以在后续找机会探讨，而下篇文章更多要聊聊威胁情报IOC的评估。

国际蜜罐技术研究组织Honeynet Project的创始人Lance

Spitzner给出了蜜罐的权威定义:蜜罐是一种安全资源，其价值在于被扫描、攻击和攻陷。蜜罐并不向外界用户提供任何服务，所有进出蜜罐的网络流量都是非法的，都可能预示着一次扫描和攻击，蜜罐的核心价值在于对这些非法活动进行监视、检测和分析。

蜜罐是用来吸引那些入侵者，目的在于了解这些攻击。蜜罐看起来就是一台有一个或者多个可以被攻击者利用漏洞的服务器或计算机主机。他们简单的就如同一个默认安装的 *** 作系统充满了漏洞以及被攻破的可能性。

蜜罐的目标及作用

蜜罐技术强大而灵活，不仅可以识别对网络上主机的攻击也可以监视和记录攻击是如何进行的。蜜罐可以和入侵检测IDS一起工作，与

IDS相比，蜜罐的误报率较低。这是因为蜜罐既不提供任何网络服务，也没有任何合法用户，但并不是网络上的空闲设备。因此，任何流入或者流出蜜罐的网络通信都可以是做可疑的，是网络正在被攻击的一种标志。

蜜罐的主要目标是容忍入侵者攻击自身，在被攻击的过程中记录收集入侵者的攻击工具、手段、动机、目的等行为信息。尤其是入侵者使用了新的未知攻击行为时，收集这些信息，从而根据其调整网络安全策略，提高系统安全性能。同时蜜罐还具有转移攻击者注意力，消耗其攻击资源、意志，间接保护真实目标系统的作用。

蜜罐的分类

蜜罐可以运行任何 *** 作系统和任意数量的服务。蜜罐根据交互程度(Level

ofInvolvement)的不同可以分为高交互蜜罐和低交互蜜罐。蜜罐的交互程度是指攻击者与蜜罐相互作用的程度，高交互蜜罐提供给入侵者一个真实的可进行交互的系统。

相反，低交互蜜罐只可以模拟部分系统的功能。高交互蜜罐和真实系统一样可以被完全攻陷，允许入侵者获得系统完全的访问权限，并可以以此为跳板实施进一步的网络攻击。相反的，低交互蜜罐只能模拟部分服务、端口、响应，入侵者不能通过攻击这些服务获得完全的访问权限。

从实现方法上来分，蜜罐可分为物理蜜罐和虚拟蜜罐。物理蜜罐是网络上一台真实的完整计算机，虚拟蜜罐是由一台计算机模拟的系统，但是可以响应发送给虚拟蜜罐的网络流量。

情报(intelligence)一词英文的原意是“瞭解的能力”(the Faculty of Understanding)，从传统情报机构的立场上，情报的本质则是“减少冲突的不确定性”。对情报的重视古已有之，《孙子兵法》中所说“知己知彼，百战不殆”讲的就是情报的重要性，情报就能帮助你做到知彼。在网络空间的战斗中，情报同样有着至关重要的地位：

知己：更丰富的组织环境数据，也就是这几年经常提到的环境感知能力。通过“知己”，我们可以快速的排查误报，进行异常检测，支撑事件响应活动，在这里不再多言。知彼：关于攻击对手自身、使用工具及相关技术的信息，即威胁情报，可以应用这些数据来发现恶意活动，以至定位到具体的组织或个人。

作为一种攻防间的对抗活动，威胁情报工作其实从开始的时候就存在了：回想一下IPS或者AV的签名，其中很大一部分不就是针对攻击者使用的攻击工具的吗，IP及域名的信誉库也是同样。

威胁情报，是面向新的威胁形式，防御思路从过去的基于漏洞为中心的方法，进化成基于威胁为中心的方法的必然结果，它和大数据安全分析、基于攻击链的纵深防御等思想正在形成新一代的防御体系的基石。

近年来，国内外已经出现了多家做威胁情报业务的公司，列举一些比较有名的：

国外：

SecureWorks

VirusTotal

ThreatGrid

Caspida

AlienValut

CrowdStrike

LookingGlass

iSight Partners

ThreatStream

ThreatConnect

Ikanow

Sqrrl

Endgame

Lastline

FireEye

iDefense

国内：

ThreatBook

Virusbook

2013年5月，Gartner提出威胁情报的概念。威胁情报是一种基于证据的知识，包括上下文、机制、指标、含义以及能够执行的建议。威胁情报描述了对资产已有或将出现的威胁或危害，并可用于告知决策者对该威胁或危害做出响应提供信息。威胁情报是对对手的分析，分析其能力、动机和目标。而网络威胁情报是对对手如何使用网络来实现目标的分析，应用结构化的分析过程，来了解攻击及其背后的对手。

机读情报（Machine-Readable Threat Intelligence,MRTI ）

机读情报即机器可读情报，通过自动化方式从网络收集数据提供给企业。机读情报的优势在于，能够收集足够的数据，确保所有主要的威胁能够得到识别，自动筛选无用或重复数据，无需耗费人力，提供当前及历史变量数据威胁，同时将数据进行格式化，便于机器 *** 作，人工也能轻松进行上下文分析、关联及有限排序。机读情报能够允许SIEM或者其他安全控制设备，根据当前相关威胁形势信息作出安全运营决策。

人读情报（People-Readable Threat Intelligence,PRTI）

人读情报是高度浓缩的，主要由安全项、网络实体以及新兴的黑客组织、攻击等组成，主要解决解决的是信息爆炸的问题，提供针对企业或者用户个性化的情报。同时，人读情报也包含很多机读情报。人读情报格式广泛，安全公告、漏洞预警、病毒/APT分析等都属于该类别。

“2 情报共享交换标准

CybOX（Cyber Observable eXpression）

CybOX即网络可观测事件表达，是一种用于管理网络观测到的交流和报告的标准化语言，主要用于威胁情报词汇标准。它是由美国非营利性组织MITRE 基于现实观察到的对手技战术知识库开发的框架。CybOX提供了一套标准且支持扩展的语法，用来描述所有可被计算机系统和 *** 作上观察到的内容。可观察的对象可以是动态的事件，也可以是静态的资产，如>

宏观性、全面性和系统性。公开途径反恐情报的搜集，是在信息传播多元化新形势下的必然选择，具有宏观性、全面性和系统性的特点。公开途径搜集反恐情报的现实空间为使从公开途径获取反恐情报成为了可能性。

哪项威胁情报能力可以通过api调用：查询IP地址API描述DescribeIpReport获取IP地址相关的地理位置信息、域名解析、威胁类型、攻击或安全事件信息。DescribeDomainReport 调用DescribeDomainReport获取域名Whois信息、数字证书、威胁类型、相关攻击团伙或安全事件信息。

以上就是关于严阵以待如何获得情报全部的内容，包括:严阵以待如何获得情报、威胁情报源、威胁情报杂谈——IOC情报的使用等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！