威胁情报驱动：快速精准的应急响应是一种怎样的体验？

综合CNCERT、卡巴斯基、360企业安全集团以及各权威机构的观点，网络安全应急响应服务应是在第一时间采取紧急措施，恢复业务到正常服务状态，调查、分析、研判安全事件发生的原因，提供数字证据。

它可以分为五个阶段：

第一，事前准备阶段。制定应急响应计划，分析并明确应急需求，保证在突发紧急状况时，应急工作可以有条不紊的展开。

第二，检测分析阶段。安全分析人员介入现场之后，明确检测范围及对象，对异常行为、告警等进行检测与分析，检测完成后输出检测结果。

第三，抑制与清除阶段。分析人员会根据检测结果，阻止威胁在内部的扩散，控制感染范围，并将威胁清除，把损失降到最低。

第四，灾难恢复阶段。在将所有威胁清除后，安全人员将会协助用户做好系统的安全加固，保证系统的重新正常运行。

第五，复用阶段。所有参与人员应该对整个入侵和应急响应过程进行全面的复盘，并用于完善应急响应和安全防御策略。

从这五个阶段来看，网络安全应急响应和警察抓坏人、消防员救火的过程类似。警察在断案的时候，最难但最迫切想搞清楚的事情，无非是这事儿谁干的，他为什么干这件事儿，他现在在哪儿，他还有可能干什么违法犯罪的事情。不搞清楚这些，案子一时半会儿还真破不了。

同理，网络安全应急响应存在着同样的问题。安全分析人员如何找到失陷主机、如何确定攻击意图、如何确定攻击者的下一步攻击计划、如何做好安全加固？

传统做法是安全分析人员对着SIEM或者其他设备的日志进行关联分析，可这些设备每天都会产生大量的日志，即便在设备的帮助下，分析日志也是一个十分痛苦而漫长的过程，很多时候应急响应是不能等待如此长的时间的，等找到失陷的主机，黄花菜都凉了。

为了提升应急响应的效率，360安全服务团队将威胁情报能力引入到了应急响应的过程中去。360威胁情报中心总结了应急响应的几个阶段，希望威胁情报（包括战术情报、作战情报和战略情报）起到重要的作用，具体如下：

举个例子。假设某用户爆发勒索病毒，希望360安全服务团队协助做好应急响应工作。安全分析人员迅速介入后发现一个异常行为，某主机频繁向一个未知IP发送访问请求。在没有威胁情报的帮助下，安全分析人员还要手动检测该主机上的异常文件是否是勒索蠕虫，那个IP是否是恶意IP。

但借助360威胁情报中心实时下发的威胁情报（例如失陷类情报、文件信誉类情报和IP情报等）的上下文，安全人员就可能很快确定该IP是非法IP，找到该失陷主机内的勒索病毒，同时在全网搜索同类文件和行为，找到全部失陷主机，并且做出针对性的应急处置。