4.1 大数据风险情报发现

各类潜在危机或风险酝酿或爆发的苗头信息已不单单是简单的信息本身，它蕴含着巨大的社会价值，已属安全情报的范畴。准确掌握这些情报并科学处置风险，能够挽回巨大的生命或财产损失。因此，应从风险战略的高度重新认识风险信息所蕴涵的情报价值。对一个国家、一个机构，甚或一个企业来说，及时有效地发现风险，并合理地规避、处置、应对经常关乎生死存亡。不重视风险发现及科学防控所导致的国家灭亡、政体垮台、企业破产、个人信誉重创的古今中外案例比比皆是。

有资料显示，信息安全风险有70%来自系统内部，是内鬼所为。这也充分印证了一句话：堡垒最容易从内部攻破。

风险苗头信息的发现具有极大的社会价值，发现风险是风险治理的关键，也是风险治理的首要工作。这些信息已经具备了情报的意义。所谓风险情报，是指被发现或正在传递的风险线索、风险知识或风险事实，是运用一定的方式方法发现、接收、传递的特定信息或知识。风险情报、威胁情报、安全情报都是某一特定领域的危机线索、安全线索、风险线索信息。

根据Gartner对威胁情报的定义，威胁情报是某种基于证据的知识，包括上下文、机制、标识、含义和能够执行的建议，这些知识与资产所面临的已有的或酝酿中的威胁或危害相关，可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持。业内大多数所说的威胁情报可以认为是狭义的威胁情报，其主要内容为用于识别和检测威胁的失陷标识，如文件HASH、IP、域名、程序运行路径、注册表项等，以及相关的归属标签。威胁情报旨在为面临威胁的资产主体（通常为资产所属企业或机构）提供全面的、准确的、与其相关的并且能够执行和决策的知识和信息。

威胁情报通常分为以下四种：

战略威胁情报（Strategic Threat Intelligence）。战略威胁情报提供一个全局视角看待威胁环境和业务问题，它的目的是告知执行董事会和高层人员的决策。战略威胁情报通常不涉及技术性情报，主要涵盖诸如网络攻击活动的财务影响、攻击趋势以及可能影响高层商业决策的领域。

运营威胁情报（Operational Threat Intelligence）。运营威胁情报与具体的、即将发生的或预计发生的攻击有关。它帮助高级安全人员预测何时何地会发生攻击，并进行针对性的防御。

战术威胁情报（Tactical Threat Intelligence）。战术威胁情报关注于攻击者的TTP，其与针对特定行业或地理区域范围的攻击者使用的特定攻击向量有关。并且由类似应急响应人员确保面对此类威胁攻击准备好相应的响应和行动策略。

技术威胁情报（Technical Threat Intelligence）。技术威胁情报主要是失陷标识，可以自动识别和阻断恶意攻击行为。当前，业内更广泛应用的威胁情报主要还是在技术威胁情报层面。

威胁情报来源主要包括企业内部网络、终端和部署的安全设备产生的日志数据；安全厂商、行业组织产生的威胁数据；新闻网站、博客、论坛、社交网络；一些较为封闭的来源，如暗网、地下论坛等。

常用的威胁情报分析方法和模型包括Lockheed Martin的Cyber Kill Chain、钻石分析法、MITRE ATT&CK。

安全情报是指所有影响系统安全行为的安全信息。从广义上讲，安全问题是当前国家、政府、企业、社会、大众及学界广泛关注的一个重要现实问题，而安全情报对保障社会安全至关重要。因此，安全情报研究具有十分重要的理论与现实意义，它涵盖了社会的方方面面。

安全情报是开展系统安全管理工作的前提与基础，安全情报是系统安全管理的“耳目、尖兵与参谋”。

系统安全管理失败的根本原因是安全情报缺失，就系统安全管理而言，安全情报的价值是解决系统安全管理中的安全信息缺失问题。由此，根据系统安全管理活动的分类（即安全预测活动、安全决策活动与安全执行活动），安全情报的价值主要有以下几个方面：

（1）“发现得了，发现得准，发现得早”：安全情报可充当系统的安全预测（预警）支持系统。它是掌握系统安全管理主动权的先决条件。所谓“发现得了，发现得准，发现得早”，是指成功的安全预测（预警），即在充分收集、了解与掌握各种安全信息的基础上，并通过分析这些安全信息获得有效的安全情报，进而基于安全情报做出超前、正确、科学而精准的安全预测。换言之，安全情报有助于发现系统的安全威胁与安全促进机会，并通过增加超前安全预警时间而增加系统安全管理者的反应时间，进而获得系统安全风险管控优势，做到防患于未然。

（2）“决定得好，决定得快，决定得省”：安全情报可充当系统的安全决策支持系统。它是制定系统安全管理方案的基本要求。所谓“决定得好，决定得快，决定得省”，是指成功的安全决策，即在综合研判各类安全预测情报的基础上，基于最佳安全情报快速作出科学、可靠、有效且经济的安全决策。

（3）“防控得早，防控得实，防控得住”：安全情报可充当系统的安全执行支持系统。这是系统安全管理响应的终极目标。所谓“防控得早，防控得实，防控得住”，是指成功的安全执行，即根据安全决策情报，通过及时、有效而到位地实施安全决策方案（主要指各类安全措施，包括应急管理措施），尽力防控各类不安全事件发生，或通过有效的应急管理措施使不安全事件的不良后果减少及影响降至最低。

“安全情报还可作为重要的安全学习系统，不仅能帮助系统安全管理者不断接触崭新的安全思想及先进的安全管理方法，并能让系统安全管理者学习事故经验教训等。总之，安全情报工作既可为安全管理工作提供具体线索与思路，又可为安全管理工作提供依据与参考。而安全情报工作是获取安全情报的重要途径，只有安全情报工作做得扎实有效，才能在安全管理中实现‘超前预防’‘耳聪目明’及‘精准施策’。此外，安全情报价值的实现须依赖于积极倡导和践行‘情报主导的安全管理’理念。”

知识性、传递性、价值性、秘密性和时效性是情报信息的主要特点。风险情报的发现和分析方法与安全情报的发现和分析方法有许多相似和共通之处。