孫子曰“知己知彼，百戰(zhàn)不殆”，話又說“知易行難”。知己 已是不易，各種開源軟件涌入信息系統(tǒng)，各種 API 調(diào)來調(diào)去供應(yīng)鏈 越來越長，各種微服務(wù)“一言不合”就上線。這種動態(tài)環(huán)境下，知己―― 清楚地了解洞悉自身網(wǎng)絡(luò)中的資產(chǎn)、價值和安全屬性、邏輯分布和 依賴關(guān)系等無疑很挑戰(zhàn)。 但知彼是更難的挑戰(zhàn)。“彼”的識別就是 個大問題。什么目標(biāo)和動機(jī)?定向的，還是非定向的;什么技術(shù)水 平?高級的，還是一般的;當(dāng)前什么趨向，什么漏洞和利用在流行? 數(shù)百萬的安全告警背后分別是什么威脅?

　　從名義和定義上看，威脅情報是一個很好的“知彼”渠道。一 般來說，市場上可以獲得的數(shù)十?dāng)?shù)百種威脅情報，包括免費(fèi)開源的、 商業(yè)的，在實際安全運(yùn)營活動中，有時候顯得太多，數(shù)以千萬的各 種威脅信息，需要占用大量資源才能加以分析利用;有時候又顯得 太少，當(dāng)重大或特定安全事件發(fā)生時，又發(fā)現(xiàn)諸多威脅情報“面面 相覷”，都不能提供有價值強(qiáng)關(guān)聯(lián)的可行動信息。 幾年的實踐下來， 業(yè)界意識到威脅情報只有在消費(fèi)分析閉環(huán)里的不斷”提煉  中才能展 現(xiàn)價值，自身也才能越變越精準(zhǔn)。 在這個閉環(huán)中，消費(fèi)到分析的階 段最為關(guān)鍵。威脅情報的消費(fèi)過程本身也構(gòu)成了新的“情報”，新 的情報再次加入新的“消費(fèi)”環(huán)節(jié)，于是威脅情報的用戶和提供商 一起構(gòu)成了一種事實上的網(wǎng)絡(luò)防護(hù)生態(tài)， 這種“生態(tài)”能帶給成員最為鮮活的威脅動態(tài)和動力，實現(xiàn)一種可持續(xù)的、可運(yùn)營的知“彼” 手段。

　　如果說 2016 年發(fā)生在 Dyn 攻擊事件是物聯(lián)網(wǎng)威脅的“叫醒”鈴 聲的線 年，物聯(lián)網(wǎng)設(shè)備已經(jīng)是網(wǎng)絡(luò)攻擊的?？?。綠盟威脅情報中心數(shù)據(jù)顯示，物聯(lián)網(wǎng)設(shè)備 IP 已占有總惡意 IP 的 12%， 物聯(lián)網(wǎng)設(shè)備中惡意 IP 所占物聯(lián)網(wǎng)總 IP 數(shù)量的比例達(dá)到 4.8%， 是普通 IP空間相應(yīng)惡意 IP 占比的 3 倍。不難預(yù)計，物聯(lián)網(wǎng)設(shè)備帶來的安 全威脅將繼續(xù)不斷升高，對物聯(lián)網(wǎng)威脅的相應(yīng)防護(hù)能力將會成為安 全防護(hù)體系的標(biāo)配。

　　2017 年，在我們持續(xù)監(jiān)控的超過 390 萬個攻擊源中，大約 20%的惡意 IP 曾對多個目標(biāo)進(jìn)行過攻擊，0.39% 的攻擊源對 90% 的攻擊事件負(fù)責(zé)。對這些“慣犯”的針對性跟蹤、分析、畫像、對抗等可 以有效地提高安全防護(hù)的效率和效果，相應(yīng)地，“慣犯”覆蓋也將 成為最為核心的威脅情報能力之一。

　　如年中安全觀察所報告的，我們發(fā)現(xiàn)惡意 IP 在一個國家總 IP 數(shù) 量中的占比與該國家的整體經(jīng)濟(jì)發(fā)展水平有非常明顯的線性關(guān)聯(lián)關(guān) 系，也就是說，經(jīng)濟(jì)程度發(fā)展較低的地區(qū)，互聯(lián)網(wǎng)安全治理水平也 相對落后，安全防護(hù)提升跟不上電腦的普及速度，從而計算機(jī)被感 染成為被控主機(jī)、攻擊其它系統(tǒng)的概率更高，例如，越南惡意 IP 占 比高達(dá) 17%， 印度高達(dá) 11%這些基礎(chǔ)威脅統(tǒng)計信息可以作為UEBA/ 安全行為分析的重要輸入，建立更智能的安全檢測體系。同時， 我們應(yīng)該看到，追逐利潤的安全威脅越來越體現(xiàn)出全球化運(yùn)作的特 點(diǎn)，這也要求威脅情報也具備全球化運(yùn)作的監(jiān)視、分析和響應(yīng)能力。

　　反射放大型攻擊依然占據(jù)了拒絕服務(wù)攻擊類型的主流位置，值得注意的是，反射攻擊武器庫里又有新的致命武器。幾天前，著名代碼托管站點(diǎn) GitHub 遭受高達(dá) 1.3Tbps 的拒絕服務(wù)攻擊。這次攻擊了利用 Memcached 的反射拒絕服務(wù)攻擊漏洞。綠盟威脅情報中心NTI 數(shù)據(jù)顯示，全球有 10 萬多的 Memcached 服務(wù)器在互聯(lián)網(wǎng)上開放， 考慮到這些服務(wù)器的大帶寬、高在線時長，Memcached 有可能成為新的反射 DDoS 攻擊大殺器。