失落的碎片

这是威胁情报基础三部曲的最后一篇（一、二），本文将继续讨论威胁情报如何在安全操作中实施的。

安全操作中的情报分析

在本系列的前两个部分中，我们介绍了情报的框架：情报的分级（战略情报、行动情报、战术情报）和情报的类型（技术情报、趋势情报、长期情报等）。不论情报的等级、类型如何，对情报分析的需求是不变的。

分析是情报最为重要的部分，它调用数据然后将其转化成为我们决策提供依据的情报。

分析：失落的碎片

我在RSA的演讲中将传统的情报周期同网络威胁情报进行了对比：

传统情报周期

网络威胁情报

我们十分擅长情报收集、处理及传播工作，却容易遗漏情报周期中大量的重要部分，导致警报未触发、错误预警过多，误导用户。

说起来容易，但是真正开展情报分析工作却是一件困难的事情，尤其在诸如网络威胁情报等新兴领域尤为如此。模型和方式可以帮助我们理解情报分析的过程，但即便是确定模型的种类也绝非易事。存在很多相似模型，它们在不同场合发挥了不同的作用。

那么问题来了：什么是分析？

情报分析的目的是为了减少不确定性、提供威胁预警以及为决策提供支撑的信息评估和解读。美国前国务卿鲍威尔对“情报”给出了最精简的概括，即“让我知道你掌握的，让我了解你不知道的，告诉我你在想什么。对这三者保持清楚的区分”。

借助自己或他人收集的信息，分析师通过这些已知材料进一步区分出哪部分需要继续采集，而哪些可以作为参考，然后决定他们运用信息的方式。

在你展开分析之前，你应当明确情报分析的目标是什么。理论上需求取决于领导、客户或者其他类型的用户，但是在在很多情况中客户对自己的需求并不非常清楚。因此，理解公司对于威胁情报的需求非常关键，第一步就是要搞清楚问题所在或值得探讨的地方。

分析模型

一旦了解情报分析需要解决的问题，就着手从不同分析模型中选择出最佳模型进行分析。这里列出了一些比较有用的资源，可以帮你了解那些常见的威胁情报模型。

不同的模型可以为不同的目的服务。SWOT方法更适合于实施更高级别的分析，通过与对手的比较发现自身存在的优势和不足。F3EAD、Diamond Model（钻石模型）、Kill Chains模型都可以用于分析的具体指令或不同事件与指令之间的关联。Target Centric Intelligence是一种比较少为人知的模型，但它不仅能帮助我们了解某一事件，还能加强情报决策者、收集者、分析者等相关部门的协作，从而避免在情报处理的过程中重复、信息不共享或常见的误传等情况。

·  SWOT (Strengths, Weaknesses,Opportunities, Threats)

·  Find, Fix, Finish, Exploit, Analyze,Disseminate by @sroberts

·  Target CentricIntelligence

·  Diamond Modelfor Intrusion Analysis

·  Analysis ofAdversary Campaigns and Intrusion Kill Chains

关于情报收集，还要注意这些

通常情报分析结果取决于初始信息的质量。通过训练，情报分析员有能力对信息来源进行评估，以便掌握该信息是否因为主观因素而影响了可靠性。在开展网络威胁情报分析工作时，我们还是主要依赖于其他渠道收集的数据而非第一手信息。这也是为什么要在自有网络中进行信息分析的重要原因之一。

此外，作为团队成员要确保信息的透明，以便其他人进行情报分析。这样或许暴露了消源或获得手段，但我们仍然需要在保护信源和情报得到充分利用之间取得平衡。

*原文：rapid7，SamSmith编译，转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）