以下为现场速记。

 

主持人：各位CIO们大家下午好!我们的精彩演讲将继续。

 

今天，各位CIO们坐在这里讨论如何适应快速变化的市场、如何应对日益缩减的IT费用，而一股黑暗势力正悄悄向我们靠近，他们从不见光，但行动比光还快;他们从不开会，但分工明确、技术高超，吞噬着企业的营销费用，占用着宝贵的带宽资源。对于电商来说，如果安全和风控做不好，那挣的肯定没有赔的多，那么安全和风控如何做呢?我们请到了这方面的高手--饿了么信息安全专家荣文佳，他将为我们分享威胁情报闭环。请大家掌声有请!

饿了么信息安全专家 荣文佳

 

荣文佳：大家下午好!我是来自饿了么的荣文佳。本次也是非常荣幸能够参加全国消费品CIO大会。今天我想跟大家分享的议题是《浅谈威胁情报闭环》，当然了，我不知道大家有没有关注安全方面，其实最近几年威胁情报是比较火的，但是大部分在外面进行分享或者说一些议题和资料都没有讲到如何闭环，讲的更多的是一个大的生态或者一些架构。今天我分享的主要内容也主要是我们的情报工作，到最后是如何进行落地、如何进行闭环的。

 

首先介绍一下饿了么，饿了么从创业到加入阿里新零售、新生态，饿了么以科技赋能餐饮行业，推动餐饮行业和本地生活服务的快速发展。饿了么有2.6亿用户，340万在线餐厅，300万骑车。面临这么庞大的服务人群，我们也面临很多问题，比如说在线服务包含着订单接单，我们可能会面临DOOS的攻击等，可能会造成我们的服务中端。在服务活动方面，比如说我们的优惠新人满减和红包活动，可能会面临相互刷单和套利等，因为不是完完全全商户补贴，更多的是饿了么补贴。

 

刚才讲到2.6亿用户，我们至少存在2.6亿用户的姓名、地址和手机号码，这个也更是黑产所关心的内容，所以可能面临黑客入侵、数据泄漏的风险。最后是UGC，主要包含菜品，菜品会有一个名字，用户还可以对他点的外卖进行一些评论，这里面还会包含图片，也包含政府监管的涉黄、涉包、涉恐的风险。

 

今天我们讲的是威胁情报，我想先从情报入手，大家先看一下什么是情报。这是我从维基百科上看到的情报的一个定义，情报是指被传递的知识或事实，是知识的再激活。可能大家看到这个概念就觉得一脸懵B。我总结了一下，情报具有知识性、传递性、效用性，一条信息过来之后，如果这三点都不能满足或者任何一点不满足，它就不能形成情报。

 

什么是威胁情报呢?我列举了两张图片，这两张图片里包含的内容是我9月份的时候刚刚监控到的。左边这张图片里面包含着专车订单、火车票订单、酒店订单、用户身份证正反面、机票订单等，里面包含着很多用户的信息，具体涉及的量大概是1亿左右，并且是9月份实时更新的。当然我只抽到这一条，我们可以看到这个用户在国外的敏感操作是什么呢，他每个月都会更新一批，并且被上传到国外的网站上。这就说明这些信息不管是从各个渠道拿来的，最终会进行一些贩卖，或者在新的渠道比如说右边这个，大家可能知道华住前段时间遇到信息泄漏的问题，几个亿的用户信息，住客订单信息、同住人等等。

 

我举个小的例子，我的一个大学同学现在在开一个公关公司，公关公司大家都知道经常会涉及到一些投标的操作，他就发现他连续3个case的标的金额都比另外一家竞争对手的金额高个几百块钱，并且内容里面其实大概是一致的。他就很纳闷，他先进行内部查看，他内查了一下，也排除了内部员工作案的可能，跟我说了，我说这样吧，我通过技术手段帮你排查一下。最后结果发现什么呢?他们公司不大，就10个人，10个人里面有5台电脑被种上了远程控制的木马。他们的标书还没有到打印店打印或者在网上进行传输，在写的时候信息已经被泄漏出去了。我只是估算了一下，大家的企业里面可能也或多或少面临这些问题，只是这些事情还没有浮在水面上。

 

刚才说了威胁情报的案例，什么是威胁情报呢?上面是国际通用的对威胁情报的定义，我们也同意不看它，我们也不翻译了。我们来总结一下，威胁情报就是基于证据而产生的知识。主要是两点，现存的或正在出现的对资产的威胁或危害，可为相应决策提供信息，符合这两点就是威胁情报。威胁情报的最主要功能是第二点，可以为相应决策提供信息。威胁情报是如何对相应决策提供信息的呢，我们后面慢慢来看。

 

说完了威胁情报的概念，威胁情报包含哪些，哪些又是在我们获取的或者说想要了解的威胁情报的范围之内呢?分为三类，技术情报、业务情报、舆情情报。技术情报比较简单，比如说传统的DOOS防御，我们的传统加固或者木马杀毒软件，还有平台上所存在的外部漏洞，这些属于技术情报。业务情报是饿了么这边直接可能会遇到的一些问题，包含刷单套现、业务规则的跳过，这是跟业务息息相关的。舆情情报是公关部门所关注的信息，比如说品牌负面信息，像饿了么遇到的是虚假店铺、套证、假证，可能还会存在一些外部的信息泄漏，比如说华住前段时间遇到的问题一样。

 

这是黑客攻击杀伤链Kill Chain，我分析了很多黑客攻击的行为和国际的标准，总结出杀伤链总共分为7步。首先对一个目标开展供给的时候，他首先会对这个目标进行一些弱点调研，他会看这个公司可能大概会有哪些弱点。知道弱点之后就会进行一些无敌操作，就是黑客攻击的供给软件，再通过各个途径进行武器投递，这个时候可能会获得系统的部分权限，通过一些命令和控制，达到一个横向攻击的操作，比如说一套非常边缘的系统权限，这套系统可能会在内网或者办公网里面，再通过其它的一些漏洞进行扩展。比如说一开始拿到小的权限，后面他关心文件服务器、邮件服务器，尤其对于上市公司来说，这是非常核心的数据。他拿到这些之后最终要干什么呢?他要做到数据窃取。中间第四步是持久化的操作，他要保持这个权限，每天企业的文件和邮件都是在新增的，他拿完数据之后你还不知道，什么时候你这边出了一些很重要的东西的时候，他再次进行窃取，所以这是黑客攻击的杀伤链。

 

刚才说了那么多，黑客攻击杀伤链也分析了这么多，威胁情报可以做什么?或者公司和其他人希望做什么?我这里总结了4类诉求。首先是黑客活动，需要了解外部攻击的态势。第二是安全漏洞，第三是数据泄密，第四是先进方案。

 

比如说某家公司最近要上市，外面的黑客就会想他的预期发行股价是多少，真实财务数据是什么，对外的又是什么，这在公司上市之前是完全不知道的。这个时候有可能会被黑客盯上，攻击者是谁，是否之前攻击过我们，我们可不可以从之前攻击的行为进行提取，最后达到我们辨识他的目的。

 

安全漏洞不过多说了。

 

数据泄密方面，其实99%公司都曾发生过数据泄密事件，具体的数据泄密包含着用户数据等，并且其实大家的公司都会跟外部产生一些合作，那就会产生我的合作靠不靠谱，我的合作伙伴看了数据之后是如何保护这些数据的，这也是希望威胁情报可以做到的一个事情。

 

先进方案方面，比如今天上午贝因美黎总说提到的防伪追溯系统，我们需要关心比如说像安全方面，其他公司针对某类防御是怎么做的。我们知道他是怎么做之后，对自己内部的一些安全防范措施进行改进。比如说防伪，我们的防伪是怎么做的，我们参照贝因美黎总的方法再进行改进自身的产品，通过威胁情报是有可能做到的。

 

威胁情报可以做一些什么呢?它可以达到什么效果呢?这里我把威胁情报进行横向分析和纵向分析，横向分析分为向上向下、向前向后，向上支持业务安全，向下推动安全研究，向前调查事件原因、向后推动业务改造加固

 

当然这一块说得可能比较模糊，我举一个案例，假设饿了么要推一个红包业务被刷，把情报报告拿出来之后可以起到什么作用，向上是支持业务安全，告诉业务部门这个业务被刷了，你这边是不是要做一些策略上的调整或者进行止血，停止发放，先研究问题在哪里。向下推动安全研究，我们看这种事情没有见过，我们是不是可以对他进行研究，之后再出一个统一的安全解决方案来防御这一类的事情。向前调查问题原因，这是比较大的，比如说这个问题我们存在了多久，是因为什么产生的，之后我们是否需要调整，包括组织架构或者技术方案进行解决，向后推动业务改造加固，其实和向前调查原因是一个概念。

 

纵向分析主要分为三层：数据层、关系层、事件层，这三层都是谁在关注呢?数据层当然是数据分析的同事在关注，他们关注什么呢?他们关注的是我们所提供的内容，比如说刚才说到的案例红包被刷，刷了多少数据。关系层是老板来看的，看这个问题到底存在哪儿，到底是技术问题、还是业务问题等等其他方面的问题，他会根据这个对整个大局进行调整。

 

刚才说了横向分析和纵向分析之后，威胁情报有什么收集体系呢?这是我目前的工作，主要分为6点，当然根据每家公司的情况不同可能会有一些适当的调整。

 

第一是外部交换，这个是比如说我在饿了么做的情报，另外一个人也是我的朋友，他在别的公司做了一些情报，我们就可以进行一些信息上的互补和沟通。

 

第二是检测异常获取，大家知道这个系统可能不一定是我们的安全系统，可能是运维的同事看到中午的访问量怎么这么高，提供给我看，结合别的线索，我就可以发现是被刷了，这是获取异常信息之后进行重点跟进。

 

第三是人力资源获取，这个重点讲一下，其实很多事情发生在一线的时候，我们是没有办法直接去感知的，情报获取讲究的是快和完整，如果说我们有一些人力资源，因为人力资源往往我们都会布在第一线，比如说像我这边个人有一些人力资源是专门做黑产和刷单的，另外我这边还有一些自己的骑手、商家这种人力资源，这些人力资源他们是真实的商家，他们更了解业务、更了解一线，通过他们所反馈的信息是最直接的，就是正在发生或者快要发生的事情，因为他们了解他们的诉求，比如说商户刷单套补贴，从人力资源是能最快最完整获取到信息的，也是我们对于自己工作来讲是可以最有效产生工作成果的地方。

 

第四是公开数据获取，像舆情监控系统，这个每个企业可能都会有，舆情监控系统会关注某些关键字。当然我们会对QQ群、百度贴吧等进行关键词的监控，对一些关键词高频分析。当然这个时候基本上在公开渠道可以获取到的时候，这个事件已经发展到中部的位置。

 

第五是买点监控、第六是定点监控，这个不多去说，大家可以简单看一下。

 

什么才是完整的威胁情报呢?我这里分为核心关注和辅助关注。核心关注是3W1H，主要包含这份威胁情报所涉及到的人员，比如说黑产某个组织或者某个学生高校的讨论群，是他们在群，情报涉及的利用点在发放的时候逻辑存在一些缺陷，可以造成我们本来想要发给白领区域的红包，高校也可以领。情报涉及的主要问题是他们现在在领这个红包，后面背后我们某个策略设置不当被领取。情报涉及的问题如何被利用，前面3点已经讲得差不多了，这一块是展开的。其实有了核心关注的3W1H就可以形成一份威胁情报，就可以推动我们进行后面的调研、后面的调查。

 

如果说有辅助关注2W1H就是完整的威胁情报，辅助关注包含情报涉及的重要时间点，上周三在高校区域谁在刷单，我们可以拉一批数据，上周三的时候我们的数据是否有一个明显的波动，把里面涉及到的订单全部提出来，情报背后涉及的深层次的原因，就是我们前面纵向分析里面的事件层，当然跟这个是有关联，并不是完整的对应。情报涉及的问题已造成的危害程度，这个是定损，它已经传播的区域有多大，已经传播给多少人，有谁知道了，进行了多少止损。这是我们威胁情报设置的策略，如果全都能做齐是完整的情报，是能输出情报报告的。

 

情报的处理流程，刚才说到闭环，怎么闭环?首先各种线索积累在一起，我们会进行处理。从多方面过来的情报线索肯定会有重叠，也肯定会有无效的，所以我们进行细致的处理、去重和分析，处理好之后分析并输出结果，输出成一份威胁情报报告。按照我们之前的横向分析和纵向分析里面所涉及到的人或部门进行情报传播，传播好之后他们一定会反馈结果，根据他们反馈的问题的方向或者结果的一些方向，我们来进行情报方向的调整和规划。调整和规划好了之后，继续进行情报收集，这个时候整个处理流程就闭环了。

 

这是一份完整的威胁情报实践的闭环架构，上面这一块主要是分为三部，比如说信息员的发现，像我们之前说的有哪些信息员，现在是6个部分，可以对各个信息员进行管理，管理之后通过他们那边爬取到的信息或者提供的信息再来进行采集和分析。最后再由情报运营的同事分发形成报告或者说跟之前的事件进行关联。但不只是我刚才说的这三点，后面包含很多，比如说信息员发现这里主动扫描、被动发现，另外还有合作方提供的信息，比如说乙方，我们提供某些情报服务，他们给我们提供信息。信息员采集信息更复杂一点，比如说数据爬取怎么爬，每个都是不一样的。数据清洗，每个数据都是不一样的，再进行关联。情报运营除了输出一份报告，假如说业务方或者说其他传播的人觉得从他们的角度来看可能会有一些其它方面的发现，这个时候我们要给他们提供一个查询服务，他们提供一些关键字，我们可以反馈给他们一些内容。统计服务，数据输出。这些信息这三步大的最终会在情报平台上进行展示，情报平台主要包含信息员管理、信息员获取、最终进行一个情报输出。

 

因为工作上某些系统涉密的原因，信息系统在这里就不给大家看了。这是我们的威胁情报态势感知系统架构图，虽然不是那么细，但是按照这个是可以做得出来的。做这套系统的时候，我们秉承三个概念ABC，大家知道是哪个ABC吗?A是AI人工智能，B是大数据Big data，C是Cloud云，通过ABC把这个概念融合进去之后，首先我们通过网上获取到的一些代理服务，从互联网上爬取数据，爬取数据之后输入到情报系统里面，再进行大数据进行清洗，通过人工智能的语义分析和事件归类进行处理，处理好之后进行展示。这套系统最核心的点是在人工智能上，我们现在都讲究产品轻量化，尽可能的避免人工去做一些事情。虽然说现在人力成本处理分析这些服务可能会到某些三四线城市的人来进行分析，而我们的目的是避免人工干预，让系统输出结果，这个地方人工智能起到了很大的作用。

 

我今天的分享就到这里，谢谢大家！