背景

声明，我不是从事威胁情报工作行业的，下面是笔者一个行外人对网络威胁情报的小见解，抛砖引玉重在交流！

同时，开头也丢出个好消息，那就是支付宝这次硬气地为自己的“事故”买单了，而不是跟用户追责，这确实是大企业的担当。

上图来自：https://weibo.com/u/1891502860 （支付宝官方微博）

但这值得表扬么？错误从来不值得表扬，而是需要通过事故透过问题看本质，避免下次灾难无法承担的事故再次上演！

无法承担之痛，我相信没有任何一个国家和企业愿意去扛的。

定义与来源

广义定义

什么是威胁情报？

定义：威胁情报是通过对威胁相关数据的收集、分析和解读而得出的可操作信息，旨在帮助组织识别、预防和应对潜在的网络威胁。

来源：威胁情报通常来源于多种渠道，包括但不限于闭源情报平台（如商业订阅服务）、情报共享联盟（如 ISACs）、内部安全工具（如 SIEM 和 EDR 数据）、地下论坛监控以及开源情报（OSINT）。

特点：需要经过严格的分析和验证，具有高度的相关性和针对性。

局部定义

开源威胁情报（OSINT）

定义：开源威胁通常指公开可获取的攻击工具、技术、策略和漏洞信息，这些资源可被恶意行为者用于实施攻击。

来源：开源威胁的来源包括 GitHub、Pastebin、攻击者发布的 POC（概念验证代码）、安全漏洞数据库（如 CVE 和 Exploit-DB）、社交媒体、博客以及安全研究报告。

特点：公开透明，信息准确性和实用性可能未经验证，需进一步分析。

内容与深度

威胁情报：

• 内容：威胁情报更关注深度和背景信息，包括攻击者的目标、动机、TTPs（技术、战术和程序）、基础设施以及攻击活动时间线等。

• 深度：威胁情报提供的是经过分析后得出的决策支持信息，比如某类攻击是否会影响特定行业、是否有针对性攻击活动等。

开源威胁：

• 内容：开源威胁的内容通常更加技术化，重点是可直接利用的工具和漏洞。例如，某个漏洞的详细利用代码或工具的使用方法。

• 深度：开源威胁提供的内容相对浅显，更多是攻击实现层面的技术细节，缺乏对背景、影响和情报上下文的解读。

什么是威胁情报的核心竞争力？

知识库理解威胁情报的核心竞争力是：

威胁情报的核心竞争力是一个综合概念 ，及时性是威胁情报的重要属性之一，但并非其唯一或核心竞争力。

但我这里想说，"及时性"是企业觉得是否愿意为你付费的重要前提，因为在这块有非常多可以做的工作，能直接体现竞争力和技术水平含量。

回顾支付宝昨天的“送钱” P0事故

网络上很多文章追溯Ctrl+C和Ctrl+V的开始源头来自于V2ex论坛的帖子

但是仔细看评论，在一些社交媒体，就有个人用户在14:56的时候更早发布。

然后事故发生的具体时间段是最早的14:40-14:45，黄金五分钟。

好了，那么问题浮出水面了，作为一个顶尖的威胁情报高手，你有什么思路能在黄金五分钟里面完成快速响应呢？

行外人的理解的“价值所在”

你的价值是突出的，那么你的资源必然是"稀缺的"：

1.你有“稀缺的“社群资源，能够完成自动化完成热点分析，及时推送，AI分析机制到人工审核，整个步骤是以S作为计量单位的。

2.你有”稀缺的“核心技术，能够完成支付宝支付流程功能的机器人验证能力，能够自动校对异常支付金额的事件，以黑盒视角，做到分钟级别快速响应

3.你有丰富的情报网能力，你对情报有独特理解，你是网里面爬的最快的蜘蛛，有最优的遍历路线等等

....

上面提到的几点，你做到任何一点，我相信企业都愿意为你付费，逻辑非常简单，就是你这个能力是直接挂钩“赚钱”能力的，这个是用屁股也能想明白的事情。

当然作为行外人，我这也是管中窥豹，肯定有很多更加深层、有价值的思考层次我还需要继续去学习理解。

丢出去的"砖"砸碎了谁的“梦”？

目前号称国内情报一哥的某某公众号，是国外情报新闻二次加工的布道者，他能不能给国内威胁情报带来新的理解？

难而正确的事情，总需要有人去做，我知道不是“我”，因为需要的是有能力的人去做，不是一些阿猫阿狗可以做的（很多人被带偏了）。

让我们一起期待他的后续"高质量"文章吧！

我是“一个不正经的黑客”，一个娱乐至死的公众号，如果可以，麻烦给我一个小关小注，吃更多的瓜，让知识掉入大脑的陷阱！