比賽第73分鐘，中國隊4:0不丹。趁著這個時間，一邊看球，一邊總結下最近做的工作。

Cyber Threat Intelligence 網絡威脅情報系統，作為RSA2013+起就一直吵的非常熱的話題，在國內竟然找不到很多消息源，怪不得說國內的安全界從整體上落后國外兩三年(是整體上而言)。

但是也不是說沒有途徑。各大安全廠商必然炒的很熱，畢竟這是和市場價值相關的部分。但相對獨立而言，有幾個微信公眾平臺做的很棒。比如老大推薦給我的 sec-un.org ,里面有很多大咖已經關注了這個行業很久了。

此時比賽76分鐘，楊旭再下一城，比分5:0。

老大在第一天就告訴我，CIT這個東西，想法非常棒，也很有價值，就是這東西我們必須讓它落地，而不是讓他掛在天上。晚上我在FreeBuf上發過一帖，試問關于威脅情報系統大家的看法，很慘，基本上沒人理，最后有個網友回答說這是舊瓶裝新酒，不對，舊瓶裝舊酒。

比賽83分鐘，于大寶頭球擺渡，比分6:0.

stix/taxii 作為一項標準，它做的什么。其實就是如何組織情報(stix)，以及情報怎么傳輸(taxii)。下面這幅圖很好的說明了這個工作過程。

顏色有些淺，我是直接從INTELWORKS 上直接截圖下來的。

試想一下，如果節點bank 遭遇了一次攻擊，若平臺上記錄了一次威脅情報，那么通過taxii傳播到服務器上去，然后各大同盟poll 下來，那么等于給每個同盟都打上了預防針。

這種情況就有一個大家一直提到的信任 問題。因為我也對企業之間的信任不了解，大致推測解讀為以下幾點：

廠商A遭遇了攻擊，不共享到taxii服務器上去。等待別的同盟也遭受攻擊。

廠商A遭遇了攻擊，也共享到了taxii服務器上去，但是篡改了黑名單等信息，傳上去的是偽造后的信息。

覺得這樣的想法很不地道，但是現實上這樣的事情也發生過。這也就是為什么一個標準的通過有多家廠商都要參與進來，做不到有利可圖，但至少不會被人背后來一刀。

話說回來，這種威脅情報共享機制到底之前存不存在。

存在，最簡單的VirusTotal，和瀚海源的B超，就是這么一個信譽庫，準確的說，上面兩個網站提到的都是惡意代碼黑名單和C2(command and control) 惡意域名服務器。只不過以前是它們幾個廠商面向公共的服務，而現在變成了我們自己都是VirusTotal，利用集體的力量來分享。VirusTotal使用的是惡意服務上傳檢測，但是企業之間的情報都是真槍實彈的，消息更為準確，防范的價值更高。

每個企業都有風險，但從整體而言，這些風險都是最小代價的。既然人人都想拿到別人的教訓，也要做好把自己家丑揚名于外的準備，當然，stix/taxii協議中已經對這些涉及到企業隱私的信息做了規定，基本上不會暴露這些信息。之所以這么做，我個人感覺還是為了更好，沒有顧忌的去分享情報。我為人人，人人為我。

關注cit，不如去關注各大安全廠商賣的服務涉及了那些地方，收費的地方是什么，從這個角度上就可以知道情報的價值了。

然而還有一個普遍待解決的問題造就了情報共享的提出，那就是時效性。比如看到之前的例子上說有60個域名一個小時候就失效了，這樣的信譽庫對于存儲而言根本就沒有太大的意義。但是，威脅情報也沒有解決這個問題。對于當時的情報有效，過段時間之后就無效的那些，該怎么辦，舍棄還是備案?

我個人的想法是建索引，刪除實體。即使將來有用的時候，再重新poll下來即可，參考虛擬內存文件交換的過程與提出的緣由。

本來是想整理一下這些相關架構的技術文檔的，結果又隨便扯多了。

比賽也結束了。國足6:0不丹。經歷了低谷之后，人總會向前走的，只要你能抬起頭，還有敢抬起頭。