我们要不要考虑绘制一幅网络犯罪图谱？

网络犯罪图谱的建立目的是全面了解网络犯罪形势，包括犯罪行动、共享基础设施和网络。对此，包括世界经济论坛在内的多个组织认为，将各方收集的威胁行为者的信息相互联系，能够更有效地破坏网络犯罪生态系统。

网络犯罪图谱的第一个版本来自全球各地组织的分析师，他们极具创造力的提出了一个标准化的分类法，能够对威胁情报进行样本筛选。起初，网络犯罪图谱的最初目标是13个已知的威胁行为者，通过开源情报，分析师获得了这些威胁行为者的姓名、已知的居住地、银行账户信息，加密钱包、社交媒体足迹、主机以及正在使用的恶意软件。

“网络犯罪图谱的最初想法是收集所有已知的、可从公开源代码中找到的威胁行为者的信息，在通过标准化的验证之后，将其放入存储库。”FortiGuard Labs ANZ威胁情报操作主管Glenn Maiden表示，对收集到的所有信息进行调查，以找到威胁行为者的真实信息，剔除噪音，并获得人工检验的情报。

在最初的版本中，网络犯罪图谱已经从主要攻击领域的13个犯罪集团收集到了包括勒索软件、商业电子邮件泄露、恶意软件和信用卡欺诈等多个重要情报。对此，世界经济论坛常务董事Jeremy Jurgens表示，其成果将有助于促进私营部门和执法部门之间的合作，并获得对抗网络犯罪的的能力。

除了与国际刑警组织及全球执法机构分享以外，网络犯罪图谱还可以将相关的分析提供给合作者，以发现攻击者和攻击行为的共性。Maiden表示，实际上，通过网络犯罪图谱已经发现了这些犯罪团伙之间甚至和国家之间的具体联系。

2023年2月，网络犯罪图谱正式发布，并从原型阶段转向最低可行阶段。Maiden表示，网络犯罪图谱从临时的系统和数据库转向以专门的项目经理运作，以建立最合适、最强大的系统来构建数据库，并制定业务逻辑。在这个过程中，有情报的贡献者，有情报的使用者，也有二者兼之。因此，需要根据不同需求建立不同规则，最大程度地帮助那些在特定犯罪或案件中寻求情报的人。

当然，想要让存储库的信息得到广泛的认可和使用，就需要遵守不同国家的数据安全法律，以确保其不再受到任何限制，及时快速地同当地执法机构共享情报。

然而，这无法让全世界每一个商业组织直接收益。理论上来说，网络犯罪图谱是为执法部门创建的工具，虽然商业组织可以派遣其分析师来帮助网络犯罪图谱构建数据库，以获得访问数据库的权限，但网络犯罪图谱还需要进一步的开发。

当下，网络犯罪图谱仅作为各地执法部门的一个情报参考项，他们往往会将其与自身拥有的非公开情报进行较差比对，以增加情报的准确度和可信度。因此，网络犯罪图谱还不够成熟，至少在威胁行为者那里，网络犯罪图谱不是他们关注的重点。

值得庆幸的是，网络犯罪图谱已经投入了大量资金，这确保了该产品的持续迭代能力和发展空间。未来，世界各地的执法机构可能会重视网络犯罪图谱，从而使其能够产生更大的价值。

在当下，随着网络犯罪集团越来越组织化、规模化，网络黑产攻击的频率和危害越来越高。对此，全球不少组织也纷纷设立情报共享平台，以期望通过集体的力量对抗网络黑产。

此前，事件响应和安全团队论坛（FIRST）提出了交通信号灯协议（TLP），其中包括美国、英国等多个西方国家共同参与。交通信号灯协议是聚焦选举安全、公用事业安全、汽车安全等多领域安全的威胁情报共享平台。由于其内部用红黄绿白等多种颜色来标注威胁情报的等级，因此被称之为交通信号灯协议。

网络安全威胁情报共享平台CNTD（China Threaten Database）致力于全面提升网络系统的防御能力和安全水平，是中国独有的威胁情报共享平台。该平台由中国网络空间安全协会、中国科学院计算机网络信息中心、国家信息中心发起，由中国移动、中国联通等几十家关键信息基础设施领域的相关单位建立了共建或用户关系。

CNTD拥有的独特、实时、丰富的数据资源，能够提供包括但不限于漏洞信息、补丁信息、病毒木马、恶意邮件、钓鱼网站等多源数据。还拥有威胁情报数据和源IP访问行为多维关联分析、发现并描述事件特征、推测攻击动机、追踪攻击源头、定位攻击目标、实现精准定位、快速发现、实时响应等技术功能。

实际上，限制一个国际性的威胁情报共享平台发展的主要内因并非资金不足、情报源不够或是情报质量差等原因，而是情报分享和数据跨境。威胁情报往往不是单一的情报信息，而是需要同场景的上下文一起关联分析，这就导致传递威胁情报可能会造成组织或国家的敏感数据泄露。目前，我国的数据安全法对数据跨境的审查机制相当严格，这意味着威胁情报共享可能会面对阻力，同理，其他国家也是如此。

与此同时，并非所有国家都能够从情报共享的过程中收益。此前，“五眼”成员国澳大利亚同俄罗斯私人医疗保险提供商Medibank在情报方面有所合作，但法新社专员Reece Kershaw透露，澳大利亚已经分享了常详细、具体的情报，他们希望得到结果，但俄方至今仍未给予澳大利亚反馈。

这项例子说明，地缘政治因素也是导致情报共享平台发展受限的原因之一。虽然人们常说技术是没有国界的，但对于因技术发展造成的网络安全能力差异的各个国家来说，分享威胁情报意味着暴露脆弱面，意味着自身安全可能难以获得保障。

对此，Maiden表示，国际网络安全专业人员之间的合作始终存在，也期待能够一直存在，因为这不仅能够获得更多类似世界经济论坛等独立组织的支持，还能够将网络空间领域内的世界社会团结在一起，获得额外的信任。

中国信通院云大所开源和软件安全部副主任孔松表示，目前国内威胁情报产业发展仍处于初级阶段，服务质量参差不齐。企业威胁情报实践率不高，需从多个维度建立威胁情报效能评价标准，规范威胁情报服务能力。因此，可以将威胁情报与各类安全工具集成协同，一方面提升威胁情报在企业内的利用率，另一方面也能大幅增强安全工具专业能力。威胁情报厂商与安全设备厂商的互补联合，是实现双赢的必由之路。

某安全专家表示，情报共享在任何时候都有很大的风险，珍珠港事件和911事件都是IC情报共享的最佳反面教材。TLP使用交通信号灯颜色指示是否可以跨信任边界（组织、信息共享和分析中心）共享信息。红色限制只向直接参与者分发，而绿色限制向社区公开。白色表示共享不受限制。但是灰色区域（Amber）则模棱两可：只能在您的组织内共享，而特定约束可以由源机构指定。此外，TLP仅适用于人与人之间的共享，不适用于基于计算机的威胁数据共享，后者依赖机器与机器共享的正式标准，例如结构化威胁信息表达。但是，大多数威胁情报数据仍以非结构化方式共享。ISAC（信息分享与分析中心）促进了各个行业和企业之间的信息共享。ISAC可以成为免费交换优质CTI的良好来源。但是，ISAC的成功往往只能维持最初的阶段，因为分享的意愿取决于ISAC的规模。一旦有其他参与者进入ISAC，共享效率就趋于下降，因为参与者不希望有免费服务。如前所述，这不是技术问题，而是信任问题。

拥有7年安全经验的专家表示，无论目前情报数据信息共享发展得更加成熟与否，有一点可以肯定的是，它是目前业界讨论的比较热点的话题，正迅速地发展着，并且变得越来越相关、越来越重要。如果有1%的企业一直保守着其情报信息而不共享给其他人，那么可能这1%的企业也不可能做成任何事。而99%愿意共享情报信息、愿意与其他人合作的企业，会想方设法地寻找一种方法去共享他们收集来的信息，而不是独立地去实施安全措施。更为讽刺的是，攻击者社区要比防御攻击的企业更明白情报信息共享的重要性。