旧文：数据与威胁情报

数据驱动安全，是一个时髦的话题，据说我们是在一个大数据的时代，如果你在信息行业做技术创新，最经常被问到的问题就会是：你有多少数据？作为一家威胁情报公司，是有必要谈谈威胁情报和数据的关系。
威胁情报是一种知识（Gartner：evidence-based knowledge, including context, mechanisms, indicators, implications and actionable advice, about an existing or emerging menace or hazard to assets that can be used to inform decisions regarding the subject’s response to that menace or hazard.）我们可以通过知识管理中的DIKW模型来清楚的解释它。

DIKW.png

• 首先是数据，在网络中它应该是各种系统产生的“原始材料”，如IP地址、域名、流数据等等，数量很大，但是未经组织整理；
• 信息是有一定含义、经过加工处理，对决策有一定价值的数据，比如威胁情报中的攻击指标（Indicators），它会告诉我们某个域名是黑客使用的C2C地址，而另一个文件MD5代表的文件是恶意软件。信息一个重要的特性是时效性，如果信息失去时效性就是不完整的，甚至变为毫无意义的数据流；
• 而知识在数据与信息之上，它更接近行动，与决策紧密相关。具体到威胁情报，需要在攻击指标的基础上提供更多相关性信息，比如这个C2C地址是某类攻击者用来升级RAT工具使用的，而另一个地址则可能是存放窃取数据的，等等；
• 智慧代表了决策的能力，假设我们通过威胁情报的方式掌握到某台设备上被APT类型的攻击者安装了一个后门软件，但是还不清楚它是如何被安装的，是否作为跳板而攻击了其它机器，这时如果做出格式化机器的决定，那就有理由怀疑这种决策是否是智慧的决定。

DIKW知识管理模型让我们了解从另一个角度对威胁情报有了一种理解，威胁情报就是要获得有价值的数据（信息，攻击指标），并通过进一步的加工，提供相关性、上下文、以及活动建议等，形成可用以决策的知识推送给客户。而客户有相应的人员、设备、流程，能利用威胁情报做出正确的行动。

数据是组成一切的基础，但人们追寻的是价值；我们关注数据，但更关注其价值，相较“数据驱动安全”，“威胁情报驱动安全”是否更有意义？