作者:Toky
本文為作者投稿,Seebug Paper 期待你的分享,凡經采用即有禮品相送! 投稿郵箱:paper@seebug.org

此篇整理一些關于情報研究的方法論。主要為自情報收集工作的一些思考,后續更新更多關于情報研究的方法論。因為情報學科是一個“古老”的學科,而威脅情報則是前者在當下網絡空間里的一個新生產物。研究威脅情報的過程也是需要對情報研究的方法論有一定積淀。

情報收集源

以下是一個從分析師的視角出發,對情報收集的分類思路。主要分為文字情報和非文字情報。

圖:Analyst’s Functional View of Intelligence Collection[1]

情報收集的結構和過程

循環的視角

情報的收集通常被描述為一個循環,以下是情報采集的過程視圖,主要把情報的采集分成兩個部分:“前端”和“后端”:

  • 前端:包含需求和任務
  • 中間動作:收集
  • 后端:開發、加工和傳播

圖1:Collector’s Process View[1]

如上圖所示,情報收集被抽象化為一個標準的循環,但在實際的情報收集過程中,這種循環是很可能不完美的,會有一些“跳躍”的情況。總的來說,上圖展示的情報收集過程是個簡化的理想版過程。哇··

模塊化的視角

以下是一個模塊化視角的情報收集過程。在這個視圖中,不同的威脅集合被當作不同的管道(stovepipes),每個管道都具有圖1中的變體,也就是其中的每個威脅集合/模塊都有一個單獨存在的循環過程。并且每個管道都會產生出不同的情報產品(intelligence product)。這種視圖細顆粒度更高,對分析師更具指導意義。

圖2:Analyst’s Process View[1]

指向性收集

還有一種思路是對情報源中所需要的部分進行“精品”收集。但通常來說這種指向性收集的成本(人力成本和資源成本)都比較高。并且還需要更多的加工和處理。PS:此處可能有疑惑,如果進行“精品”收集,那么收集到了的不應該是質量較高的嗎?這個的話,我的理解是,指向性收集就像奢侈品制造時進行原料選擇一樣,由于這個產品的需求定位,就導致了這種“精品”不僅要求更高的原料質量,還需要更加細致的加工,而不是只有好的原料。

如圖2所示,金橙色的部分通常為大規模采集,而藍色的部分部分則是這種指向性收集,要求分析師更加直接地參與。

邊界問題

單源分析

在美國,國家情報收集組織執行所謂的單一來源分析。[1] 簡單講就是什么部門負責什么類型的情報收集和分析,國家安全局(NSA)手機分析通信情報(COMINT)、國家地理空間情報局(NGA)收集處理圖像情報(IMINT),開源中心(OSC)收集處理開源情報(OSINT)。對于這些主體來說,除了他們主要負責的情報外,其他的情報都為附屬情報。

多源分析

一些國家機構和軍事服務單位負責制作所有來源分析。例如,中央情報局(CIA),國防情報局(DIA),國土安全部(DHS)和國務院都有責任在國家層面提供所有來源分析。[1]

通常來說,多源分析的主體,對于國家層面上來說,更可能是國家中心機構和軍事單位,而不是具體的職能部門。

產生的邊界問題

那么,這種單源和多源的區別,會有什么樣的影響呢?

  • 單源分析師的成果對全源分析師有一定幫助,并且通常來說,后者的工作量更大些
  • 競爭分析:該理念主要是圍繞著對原材料進行全新的不同觀點的理念而構建的。[1] 對于同一組數據,不同的視角會看到不同重要程度的東西
  • 多情報融合:有充分理由鼓勵而不是勸阻單一來源分析師傾向于進行全源分析[1]
  • 單源分析師很難在單一數據源的情況下完成目標需求

個人的思考

在該論文中提到的多情報融合和競爭分析概念,可以作為新型情報分析體系建設的一個參考。回到我們的威脅情報來說,這種單源和多源的邊界問題還是經常會出現的。比如對黑灰產情報研究的同學,在進行分析時,可能會去看一些漏洞情報,因為這種漏洞情報中的一部分業務邏輯情況,對黑灰產情報發現是有幫助的。那么怎么才能推進這種多情報融合體系建設呢?

個人任務,得從兩種角度上來看,首先是目的,其實是結果。

目的上來說,我們得理清楚情報的融合是為了什么,這種目的不能是我覺得這可能有用就去推動,得給出一個具體的技術方向。比如黑灰產情報研究線,我們可以串聯:黑產發現情報、業務風控情報、黑產打擊情報(響應情報)、漏洞情報(部分)以及第三方的威脅情報支持。在串聯之后,就要進行威脅交換,推動多源的情報進行融合和關聯。具體怎么做呢?可以參考論文中所說的“競爭分析”概念。在拿到一個黑灰產情報分析的需求后,黑灰產情報研究線上的各個主體,要圍繞著原材料進行基于各自領域的,以及嘗試全新的、不同的觀念的分析。

這種過程之下,可以推動單源向多源獲取更多的材料,多源向單源獲取更多的想法。從而減少邊界問題帶來的各種弊端。

總結

總的來說,該篇論文介紹了美國情報界的情報收集、處理系統。也提出了一些問題,主要是對邊界問題、命名問題。可以看到,美國的這個情報體系的建設,參與的主體還是非常多的,并且體系相對龐大、完善。

學習這種情報體系的建設,在企業的角度上來說,可以從國家層面上情報體系建設的問題獲取一些靈感,因為國家也可以說是一個超大型企業。在這篇論文中,我獲得一些靈感主要是其提到的多情報融合和競爭分析的概念,這對于威脅情報體系建設,尤其是威脅情報本地化生產和交換的過程具有參考價值。

References

[1] Perspectives on Intelligence Collection, Robert M. Clark, PhD

Paper 本文由 Seebug Paper 發布,如需轉載請注明來源。本文地址:http://www.bjnorthway.com/1647/