作者:Toky
本文为作者投稿,Seebug Paper 期待你的分享,凡经采用即有礼品相送! 投稿邮箱:[email protected]
此篇整理一些关于情报研究的方法论。主要为自情报收集工作的一些思考,后续更新更多关于情报研究的方法论。因为情报学科是一个“古老”的学科,而威胁情报则是前者在当下网络空间里的一个新生产物。研究威胁情报的过程也是需要对情报研究的方法论有一定积淀。
情报收集源
以下是一个从分析师的视角出发,对情报收集的分类思路。主要分为文字情报和非文字情报。
情报收集的结构和过程
循环的视角
情报的收集通常被描述为一个循环,以下是情报采集的过程视图,主要把情报的采集分成两个部分:“前端”和“后端”:
- 前端:包含需求和任务
- 中间动作:收集
- 后端:开发、加工和传播
如上图所示,情报收集被抽象化为一个标准的循环,但在实际的情报收集过程中,这种循环是很可能不完美的,会有一些“跳跃”的情况。总的来说,上图展示的情报收集过程是个简化的理想版过程。哇··
模块化的视角
以下是一个模块化视角的情报收集过程。在这个视图中,不同的威胁集合被当作不同的管道(stovepipes),每个管道都具有图1中的变体,也就是其中的每个威胁集合/模块都有一个单独存在的循环过程。并且每个管道都会产生出不同的情报产品(intelligence product)。这种视图细颗粒度更高,对分析师更具指导意义。
指向性收集
还有一种思路是对情报源中所需要的部分进行“精品”收集。但通常来说这种指向性收集的成本(人力成本和资源成本)都比较高。并且还需要更多的加工和处理。PS:此处可能有疑惑,如果进行“精品”收集,那么收集到了的不应该是质量较高的吗?这个的话,我的理解是,指向性收集就像奢侈品制造时进行原料选择一样,由于这个产品的需求定位,就导致了这种“精品”不仅要求更高的原料质量,还需要更加细致的加工,而不是只有好的原料。
如图2所示,金橙色的部分通常为大规模采集,而蓝色的部分部分则是这种指向性收集,要求分析师更加直接地参与。
边界问题
单源分析
在美国,国家情报收集组织执行所谓的单一来源分析。[1] 简单讲就是什么部门负责什么类型的情报收集和分析,国家安全局(NSA)手机分析通信情报(COMINT)、国家地理空间情报局(NGA)收集处理图像情报(IMINT),开源中心(OSC)收集处理开源情报(OSINT)。对于这些主体来说,除了他们主要负责的情报外,其他的情报都为附属情报。
多源分析
一些国家机构和军事服务单位负责制作所有来源分析。例如,中央情报局(CIA),国防情报局(DIA),国土安全部(DHS)和国务院都有责任在国家层面提供所有来源分析。[1]
通常来说,多源分析的主体,对于国家层面上来说,更可能是国家中心机构和军事单位,而不是具体的职能部门。
产生的边界问题
那么,这种单源和多源的区别,会有什么样的影响呢?
- 单源分析师的成果对全源分析师有一定帮助,并且通常来说,后者的工作量更大些
- 竞争分析:该理念主要是围绕着对原材料进行全新的不同观点的理念而构建的。[1] 对于同一组数据,不同的视角会看到不同重要程度的东西
- 多情报融合:有充分理由鼓励而不是劝阻单一来源分析师倾向于进行全源分析[1]
- 单源分析师很难在单一数据源的情况下完成目标需求
个人的思考
在该论文中提到的多情报融合和竞争分析概念,可以作为新型情报分析体系建设的一个参考。回到我们的威胁情报来说,这种单源和多源的边界问题还是经常会出现的。比如对黑灰产情报研究的同学,在进行分析时,可能会去看一些漏洞情报,因为这种漏洞情报中的一部分业务逻辑情况,对黑灰产情报发现是有帮助的。那么怎么才能推进这种多情报融合体系建设呢?
个人任务,得从两种角度上来看,首先是目的,其实是结果。
目的上来说,我们得理清楚情报的融合是为了什么,这种目的不能是我觉得这可能有用就去推动,得给出一个具体的技术方向。比如黑灰产情报研究线,我们可以串联:黑产发现情报、业务风控情报、黑产打击情报(响应情报)、漏洞情报(部分)以及第三方的威胁情报支持。在串联之后,就要进行威胁交换,推动多源的情报进行融合和关联。具体怎么做呢?可以参考论文中所说的“竞争分析”概念。在拿到一个黑灰产情报分析的需求后,黑灰产情报研究线上的各个主体,要围绕着原材料进行基于各自领域的,以及尝试全新的、不同的观念的分析。
这种过程之下,可以推动单源向多源获取更多的材料,多源向单源获取更多的想法。从而减少边界问题带来的各种弊端。
总结
总的来说,该篇论文介绍了美国情报界的情报收集、处理系统。也提出了一些问题,主要是对边界问题、命名问题。可以看到,美国的这个情报体系的建设,参与的主体还是非常多的,并且体系相对庞大、完善。
学习这种情报体系的建设,在企业的角度上来说,可以从国家层面上情报体系建设的问题获取一些灵感,因为国家也可以说是一个超大型企业。在这篇论文中,我获得一些灵感主要是其提到的多情报融合和竞争分析的概念,这对于威胁情报体系建设,尤其是威胁情报本地化生产和交换的过程具有参考价值。
References
[1] Perspectives on Intelligence Collection, Robert M. Clark, PhD
本文由 Seebug Paper 发布,如需转载请注明来源。本文地址:https://paper.seebug.org/1647/