威胁情报驱动：F3EAD 之分析

ID：Computer-network

收集到的信息得到利用后，整齐规范地存在数据库或威胁情报平台里。如果没有经过分析，这些信息放在那里没有什么用处。F3EAD循环的“分析”阶段最不容易说明白，但也是最重要的阶段。在“分析”阶段，我们需要获取数据和信息，将其加工为情报。下面介绍分析的基本原理、以目标为中心的结构化分析模型，以及分派信任等级和解决认知偏见的过程。

一、分析的基本原理

为了正确地分析所掌握信息，必须经历另一个版本的情报周期。需要决定要求是什么，或者换句话说，要回答什么问题。需要挑拣能够回答这些问题的信息。大部分的内容将来自在整个调查过程中广泛收集并在“利用”阶段精心挑选和处理的信息，但还有些内容需要借助其他信息来丰富或扩充，然后才能够对其分析。因此，在进入分析阶段前，可能还需要继续挑拣数据。F3EAD的分析阶段所描述的整个情报周期，如图1所示。

在响应“玻璃巫师”入侵的过程中，我们已经识别出用于通信控制的域名和IP地址。这些信息在定位和消除阶段为我们提供了帮助，并将继续帮助我们分析入侵，但这一次会以不同的方式。我们不仅要为了响应和修复而识别攻击的技术细节，还可以通过分析这些域名和IP得出模式，从而更好地了解攻击者的策略。这需要收集有关域名和IP的更多信息（包括这些域名和IP由谁注册，以及攻击者如何使用它们），确定是否可以使用模式来识别或预测未来的行为。这些新的信息随后将进行分析、填补情报缺口（成为分析所需的关键信息），并根据需要收集更多的信息。

图1  F3EAD周期的分析阶段

案例研究：OPM泄露事件

美国联邦人事管理局（OPM）泄露事件是近年来最严重的泄露事件，造成超过2000万的涉密人员在背景调查中产生的高敏感信息被窃。OPM泄露事件引人注目不仅因为被窃信息规模之大和敏感度之高，也因为多次受到入侵而未能识别和阻止攻击行为。该入侵是一次历时多年的复杂行动，包括窃取IT手册和网络拓扑图、攻陷两个承包商获取OPM网络权限，以及最后直接入侵OPM网络。虽然其中的一次入侵被识破，却没有人将事件关联起来，察觉到更大的威胁。

甚至在攻击者发起攻击之前，我们仍有机会根据已掌握的攻击者信息及其作业方式，发现有权访问全体美国人高度敏感、极具可操作性的个人信息的政府机构，曾是具有国家背景的攻击者的高价值目标。

该泄露事件的完整时间链就是一堂生动的分析方法课，如果以适当方式、按部就班地学完，就可以防止或减少一场成功的攻击行动所造成的破坏。该事件还告诉我们，如果事件响应人员、管理人员和决策者无法从点到面地审视全局，情况会有多糟糕。尽管当时所有的信息都是可用的，但是OPM泄露事件是一个令人沮丧的分析失败的典型案例。

与多数传统的情报作业不同，在情报驱动事件响应中，多名分析人员独立完成收集、处理、分析和传播工作。在该模型中，收集、分析和传播过程是整个情报周期的一部分，直到在需求阶段所提出的问题得到适当处理，并且完成分析工作之后，整个过程才算结束。在分析中使用以目标为中心的模型的优势在于，分析成果在不同人员之间流转时会被记录下来。这有助于分析结果的最终接收人（无论是首席信息安全官，还是SOC分析人员），确保分析和处理可以满足需要。在漫长的分析结束后，却发现结果并不是目标受众所需要的，没有什么比这更糟了。

二、可以分析什么

如果你的分析方法就是盯着那些莫名其妙地收集到的数据，想弄明白它们的含义，还不如提出一些具体的问题（比如“我们为什么会成为攻击者的目标？”或者“这类的攻击该怎么阻止？”），这要比你所谓的“分析”更容易，也更节省时间。当然可以对有关信息提出多个问题，这些问题可以相辅相成，让你加深对攻击及其影响的理解——但是，如果没有一个入手点，大多数事件响应人员很难度过这一阶段。

如果你没有收到领导层或其他内部团队的特定分析需求，就可以提出一组有助于分析各个事件的标准问题。但是，对你的企业或事件而言，总会出现一些独特的问题，所以，不要拘泥于下面的示例。你可以从以下问题入手：

我们为什么会成为攻击目标？

这个问题将提供大量的信息，指出如何识别额外的入侵，以及如何保护你的企业免受将来的攻击。攻击的性质（无论攻击者针对数据的完整性、保密性还是可用性，无论他们是否通过攻击获取第三方网络连接权限，也无论他们在找到目标后采取哪种行动）为你需要进一步寻找的目标提供了洞察力。战术和手法可能会发生变化，但攻击者的目标不会轻易改变。

谁攻击了我们？

这通常是高管们提出的第一个问题，但出于特殊原因，这并不是我们要考虑的第一个问题。无论是哪种信息使你成为某犯罪组织的目标，都不会成为该组织所关注的唯一目标；另一个具有类似目标的组织，也会觊觎同样的信息。因此，最好不要因为碰巧赶上这起个案而专注于某一攻击组织，反而忽略了总体威胁。只要你摸清了他们的目标，就能对特定攻击者深入了解。需要分析的攻击者相关信息包括：他们所使用的策略、目标、严谨程度、工作时间、基础设施，他们表现出个体行为还是组织行为，以及其他可以通过分析数据来识别的模式。

如何预防这种攻击？

分析的重要目标是了解发生了什么，并查清原因，以便将来能够预防。为了回答这个问题，你应该关注内网中出现的问题。是否存在被攻击者利用的未修补漏洞？是否IDS的警报被触发却无人问津？是否某个用户重新启用了曾在某个不相关的入侵事件中被泄露的密码？这个分析过程不会令人愉快，因为谁也不愿意听到或看到自己犯了错。可是，如果你的企业只是简单地从系统中删除了某个恶意软件，而并不理解或消除感染恶意软件的原因，那么你很快就会把整个的事件响应流程再来一遍，因为问题的根源并未找到，也没有得到处理。

应该如何检测这种攻击？

此时，你收集到的信标会派上用场。经历过有些痛苦的关于防御方法的分析过程，总算在防止或检测将来的攻击方面有了用武之地。你所能做的事情在很大程度上取决于你所使用的安全系统。在回答这个问题时，重要的是要关注该攻击的独特之处，例如恶意软件哈希、命令和控制服务器IP地址，以及入侵过程中那些不太短暂的方面（比如成为目标的系统，或者攻击者通过网络移动时所使用的战术）。

有没有可以识别的模式或趋势？

在将内部事件与信息共享组织或开源渠道报告的事件相比较时，此类分析尤其重要。为了回答这个问题，你可以尝试在不同级别识别模式——从以目标企业指明攻击行动的模式，到标识重用或共享的攻击基础设施的模式，或者攻击者所使用的社会工程手段的模式。

本阶段的分析成果应该是可触发行动的，无论该行动是更新威胁配置文件、修补系统还是创建检测规则。将注意力集中在前面的问题，以及企业的其他特定问题或需要，将有助于确保你在这一阶段的工作能够回到F3EAD循环的操作阶段。

三、进行分析

在收集信息的过程中，你很可能已经在潜意识里对试图回答的问题提出假设，这就是分析的起点。分析包括提取全部已掌握的信息，对其进行综合和解释，确定它的意义，以及理想的应对方法。为了使分析判断完整、准确和可重现，最好是按照结构化的过程开展分析。

1、拓线数据

在整个事件响应和后续分析过程中，我们重点关注用于识别或检测攻击的信标，包括主机信标和网络信标。我们曾提到进行分析所需的另一类信息：拓线数据（Enrichment Data）。

拓线数据是指某一信标的额外细节，虽然通常不用于检测，却有助于加深对特定信标及其出现所代表含义的理解。拓线数据包括WHOIS、自治系统号（autonomous system number，ASN）、网站内容、域名最近和历史解析结果、相关的恶意软件以及许多其他详细信息。拓线数据重在围绕已识别信标收集更多的上下文信息，从而更好地理解信标的意义。在拓线过程中，你应关注从数据提炼出的模式，而不是过于依赖数据本身。出现大量误报和在阻断列表中加入成千上万信标的主要原因，正是有人误将拓线数据当作信标。

拓线数据源

拓线数据有哪些类型取决于你所调查的信标和你的分析目标。大部分的拓线数据来源能提供适用多种用例的信息，但也有一些只能提供专用的信息，所以，在花费大量时间挖掘特定的拓线数据源之前，你应确保知道自己想找什么。无论是哪种拓线数据源，记录数据被识别的日期都是关键，因为它将来可能会改变。如果对分析至关重要的某条信息发生了改变，但你却无法确认当初是在什么时候或者是以什么方式发现它的，这会令人极为沮丧。

以下是拓线数据的一些类型和来源：

WHOIS信息。获取攻击中使用的域名或IP地址附加上下文信息的最基本方法，是查询注册人或拥有者的信息。RFC 3912定义WHOIS协议是初衷是为了传递互联网雏形（ARPANET）的用户附加信息。你可以通过命令行查询WHOIS信息（这种方式目前仍然有效），也可以使用其他资源获取相关信息，包括用于捕获当前和历史数据的网站和工具。

随着用户基数的增长和互联网的大举扩张，WHOIS协议经历数次升级。目前，WHOIS信息包含注册人姓名、电子邮件地址和其他联系信息。WHOIS信息可以通过以下几种方式充实分析：

跟踪攻击者基础设施

有些（不是全部）攻击者在注册域名时会复用信息。通过识别恶意操纵者使用的姓名或假名，可以识别出同一攻击组织的其他恶意域名。

识别被攻陷域名

多数情况下，攻击者会攻陷并利用合法域名实施攻击。了解WHOIS信息有助于确定某个域名是属于攻击者，还是属于被攻陷的合法域名。

识别研究者使用的基础设施或sinkhole

有些研究人员在互联网上进行的活动，看起来与攻击者相似，只是这类活动是用于抢在真正的攻击者之前研究或识别漏洞。多数情况下，这类用于研究的IP地址可以通过WHOIS记录识别，从而避免分析人员在非恶意的IP地址上面花费太多时间。

被动DNS信息。最初，互联网主机相互识别和通信，是通过一个包含所有主机的名称和IP地址的文本文件，该文件被命名为HOSTS.TXT，通过FTP上传到互联网上的全部主机。在网络主机数量有限时，这种方法尚可持续，如图2所示。不过，随着这个文件不断变大，占用的传输带宽越来越多，这种方式变得难于维护。

图2  ARPANET

于是，域名系统（Domain Name System，DNS）应运而生，它是一种更易于维护的方案。本质上它仍然是域名和主机列表，但这个列表不再需要共享给每个人，而是保存在域名服务器上，当需要访问某台主机时，可以通过域名服务器查询。DNS协议由RFC 1034和RFC 1035定义，2015年发布的RFC 7719定义了目前的DNS术语。Florian Weimer在2004年发明的被动DNS（最初称为“被动DNS复制”）技术，是一种从全球DNS中收集和重构信息的方法。他在2004年FIRST峰会上发表的论文“被动DNS复制”（Passive DNS Replication）中提出通过僵尸网络通信控制IP识别关联域名，是已知最早的应用案例。Weimer指出，僵尸网络C2经常使用多个域名，而不是使用硬编码的IP地址，这些域名可以解析为多个IP地址，从而使过滤变得困难。应该随时记录域名解析的IP地址（或相反的信息），提前收集信息并存储在数据库中，以便需要时可以查询。

对于调查过程中识别出的IP地址和域名，被动DNS不仅可以为分析人员提供相关信息，还可以提供攻击活动性质的相关信息。将被动DNS信息与WHOIS信息结合起来，特别有助于更完整地描述攻陷信标。记住，被动DNS信息与WHOIS信息一样并非一成不变，所以应该注意对应的时间窗口。

恶意软件信息。恶意软件相关信息对于分析极为有用，与被动DNS信息相似，恶意软件的细节也会随着时间而变化，逐渐暴露出更多的信息。例如VirusTotal就是这样的实时资源：新产生的条目、新产生的检测记录或用户请求某个样本识别出的更多细节，都会导致信息发生变化。以下为恶意软件相关的富信息示例：

检出率

这个数字将随着时间的推移而改变，可以作为样本识别情况的唯一指标。当某个样本初次被发现、分析时，检出数量（或者说标记该样本为恶意的反病毒厂商数量）是比较低的。随着时间的推移，这个数字将会增加。

文件细节

包括文件已被识别的相关信息，将随着分析该样本的个人或企业数量的增多而改变。即使你已经独立分析了特定恶意软件样本，也不妨看看其他人的分析结果，一方面可以查缺补漏，另一方面也可以了解样本的传播范围。这还有助于了解那些东西是仅针对你的网络使用，还是在多个行业的不同网络中均被发现。

恶意软件行为

除了识别恶意软件的静态信息（如恶意软件样本的哈希）之外，还可以从恶意软件的行为方面识别，包括它的安装位置、对其他文件的调用或依赖，以及它在执行过程中的自动或脚本化操作。这些细节可以帮助你了解你可能会在网络上发现的其他恶意活动，领略攻击者的复杂性，判断该恶意软件是专门开发的还是常见恶意软件系列的变种。

内部信息。并非所有的补充信息都来自外部。内部信息可以提供有关受害主机、用户或账号之类的其他细节。以下为需要注意的内部信息：

商务运营

了解网络和企业在事件发生时的状况，有助于回答“我们为什么会成为攻击目标”以及“为什么攻击会得手”这类问题。你最近是否宣布了新的伙伴关系？你是否参与了新的合并或收购？这些重要的细节可以帮助你了解攻击的性质，通常只能从企业内部的人员交流中得知。

用户信息

如果还不清楚被窃数据是什么，不妨确定哪类用户成为目标或遭到入侵，这有助于了解攻击者在觊觎哪类信息。这还可以表明攻击者的策略，例如，他们最初以人力资源员工为目标，然后尝试转移到掌握更多权限的某个用户（如系统管理员）。

信息共享。了解某个信标是否曾被识别，以及曾在何时被识别，有助于洞察某一具体事件。你在“查找”阶段应该已经识别出其中的一些信息，对于这些分析中使用的信标，看看它们发生了什么变化，或者是否识别出关于它们的新信息，都是很有用的。

与其他企业建立共享关系，本质上也是一种良好的非公开信息的及时来源。公开的信息对分析来说固然是有用的，但信息共享组织通常还可以提供一些未公开细节，包括信标的发现时间、识别方法，以及出现在哪些行业。许多企业不会公开这类细节，但却乐于与具有合作关系的企业共享，尤其是在其他企业也同样共享此类敏感信息的时候。信息共享组织既有正式的——例如信息共享和分析中心（Information Sharing and Analysis Centers，ISACs）、信息共享和分析组织（Information Sharing and Analysis Organizations，ISAOs）——也有公开或私有的伙伴关系，以及非正式组织。多数正式组织是围绕行业或其他共同利益集团组建的。从共享组织获得的信息可用于检测恶意活动，也可以作为拓线数据源，加深你对正在分析的入侵事件的理解。

在所有的信息都被判定和关联之后，就可以继续下一个步骤——提出假设（hypothesis）。

2、提出假设

在这个阶段，我们开始进入实际分析，首先要清楚地陈述你的假设。如前所述，通常你会在收集过程中就开始对问题提出一些不成熟的想法。在提出假设阶段，应该将这些想法记录下来，哪怕是牵强附会甚至不可理喻的，剩下的分析过程就是排除明显不合理的想法。在记录这些想法的时候，应该尽可能没有遗漏，如果在此过程中想起什么特别的东西，也务必记录下来。这会为后面求证假设提供帮助。如果你无法准确表达某个想法，或者你发现它太含糊，或都无法回答你的问题，那么它就不是一个好想法，你可以忽略它，继续下一个可能的假设。

以“玻璃巫师”入侵事件为例，我们最需要了解的是这次入侵是否专门针对我们。我们从对手那里看到的一切都表明，他们是一个老练的威胁组织，在选择目标时是慎重的，所以我们需要分析数据，证明我们就是他们的目标。根据我们在调查中收集的信息，以及关于公司内部谁是受害者的内部关联数据，提出假设：这实际上是一次旨在获取能源技术信息的针对性攻击。这个假设虽然明确具体，且有研究工作支撑，但仍然需要通过后续的结构化分析过程来求证。

基于你的从业经历，提出假设并不困难，原因在于以下几个方面。首先，不同事件之间存在相似之处，识别特定行为的迹象比较容易。虽然相信假设可以节省在分析上投入的时间，但务必不要认为这就是正确答案，假设毕竟只是假设！哪怕答案显而易见，也要确保执行完后续的过程，而且要确保在这一过程中不会存在臆断和偏见。

其次，因为经历过不计其数的调查，反复执行这一过程，你的思路往往会变得更有创意，却不太关心答案是否合理。只要知道错误想法会在分析结束后被挑出来并剔除掉这一令人愉悦的事实，分析人员就可以无拘无束地提出前所未有的新想法。

无论提出假设有多么容易，或者有多么困难，只要先提出一个有效的假设，后面的过程就是在此基础上评估假设（assumption），这样你就可以进入判断和结论阶段，而在这一阶段，需要留神你的偏见。

3、评估关键假设

关键假设就是假设中依赖于已有的判断或信念的某个部分。在继续分析之前，团队或个人都应该花几分钟或几个小时来确定这些关键假设，判定它们是否合理，是否有助于分析。例如，假设有个分析人员提出了某一特定攻击是如何被阻止的假设，而其假设是建立在攻击的方式上，这个假设在查找、定位和消除阶段都可以得到确认。评估这个假设正确与否是相对容易的，但仍应记录在案并进行讨论，确保所有分析人员对这一假设达成共识。

《中情局间谍技术秘史》一书概述了求证关键假设的方法及意义。这些意义包括：有助于对假设的几个关键问题深入理解，有助于找出错误逻辑，并激发分析人员之间的讨论。评估关键假设的过程如下：

（1）确定关于某一情况或假设的所有关键假设。

（2）确定某一假设的提出理由。

（3）评估该假设的置信度。

（4）确定该置信度的判断依据。

（5）对每个假设提出质疑，判断其是否成立，并在当前情况下依然成立。

（6）剔除不成立或置信度不高的假设，这些不应在分析中使用。

提出“玻璃巫师”的入侵是专门针对我们的这个假设，这是基于以下几个假设。首先，假设瞄准我们的攻击者是“玻璃巫师”。这是一个关键假设，它根据这样事实：我们在网络中发现的攻击者信息（包括战术、手法、技术信标和目标）与我们获得的攻击者匹配。根据攻击的技术细节和时机，我们坚信这一假设。我们注意到额外的信息（特别是对这部分攻击者的欺骗活动信息）可能会改变这一假设，如果发现了关于攻击性质的新信息，我们将准备对分析做出调整。

评估假设并不总是容易的，诸如认知偏见之类的逻辑谬误或思维缺陷，可以很容易地使分析人员的判断受到蒙蔽。分析中的偏差是无法完全消除的。

关于偏见

《情报分析心理学》的作者Richard Heuer被称为“情报之父”，他将认知偏见（cognitive biases）描述为：为减轻信息处理造成的精神压力而使用各种简化策略和经验法则做出判断和决定。认知偏见本质上是我们心智发展的捷径，使我们不必进行完整分析就能在日常生活中做出快速决策。最简单的例子就是当孩子说冷的时候，他的父母会立即让他穿上毛衣。许多年之后，这个孩子已经长大了，但每次感到冷的时候，也会想到要穿毛衣。而且，他可能会这样告诉他自己的孩子。他不必从提出假设开始（戴帽子会不会更好一些？或者多穿一双袜子？），继而求证假设，作出判断（显然两双袜子也不够），最终形成结论。他能超近道直接得到答案，他的心智会告诉他应该如何应付这种情况。

认知偏见并不总是坏事，它们确实节省了大量的时间，但却可能对情报分析造成负面影响，导致分析人员急于根据假设做出错误的判断。曾经识别出的恶意软件，是工作中存在认知偏见的又一个例子。以“玻璃巫师”入侵事件中的Poison Ivy为例，假设某个分析人员曾听说过或亲身经历过几次攻击事件，在那些攻击事件中，攻击者使用了复杂的、全新的恶意软件，那么他就可能想当然地认为：这个攻击者并不老练。在这个例子中，一种被称为“锚定”的认知偏见使某条证据凌驾于其余证据之上，从而失去了合理的分析判断。

偏见的类型有许多种，以下为情报分析和事件响应中常见的偏见类型。

证实性偏见（Confirmation bias）。受证实性偏见的影响，我们会倾向于寻找或注意那些能够支持我们已经形成的判断或结论的证据。假如我们神差鬼使地认为会找到某一活动的证据，那么支持这一论断的证据就会得到重视，而那些反驳或质疑这个论断的证据则会被忽视。在“玻璃巫师”场景下，我们也许碰巧接受了那个因为攻击者使用了旧的恶意软件而认为攻击者“并不老练”的分析人员的想法。该分析人员也许还发现了使用密码猜测技术的情况，这也不是老练的攻击者所使用的方法，从而进一步证实一这假设。因为分析人员忽略或轻视了老练的攻击者也会使用密码猜测方法的历史案例，从而形成这种判断。在形成最终判断之前进行关键假设评估的一个主要原因就是证实性偏见。

锚定效应（Anchoring bias）。受锚定效应的影响，分析人员往往过度信赖或过度重视他们听到的第一条信息。在后续信息或证据与最早的证据相比较时，分析人员经常会无意识地怀疑新的证据是支持最早的证据，还是反对这一证据，从而使最早的信息成为调查的中心。如果分析人员被告知要开始分析“我们认为来自于俄罗斯”的入侵，那么每一个证据都将左右他们的“是否来自俄罗斯”这一判断，而这个问题确实不是分析人员理应回答的。一些专家，如Robert M.Lee认为，真正的溯源（溯源到特定政府或国家）对于分析人员来说是更加困难的，因为溯源会成为影响他们判断的锚点，而锚定效应就是其中的原因之一。再次强调，首先要关注需求和实际问题，其次提出假设，最后评估关键假设，执行完这一过程可以帮助分析人员消除锚定效应。

易得性偏差（Availability bias）。受易得性偏差的影响，人们往往过分强调手边的信息，而不管这些信息是否被分析过。Richard Heuer称这种偏见为“把生动性当标准”（Vividness Criterion），即人们认为亲身经历过或极为熟悉的事情要比那些不太熟悉的事情更重要。这也被称为“我知道有个家伙”偏见，如“我知道有个家伙每天抽一包香烟，活到了100岁，所以，吸烟对你来说不会有什么坏处”。“我知道有个家伙”偏见的新版本是“我在网上看到的”。

尤其是事件响应人员和情报分析人员，更要警惕这种偏见，因为这会使他们的经验变得弊大于利。对于他们以前见过的证据，他们会因为熟悉而过度重视，而那些不熟悉的部分，则会受到轻视。

从众效应（Bandwagon effect）。当多数人同意某一假设时，就会出现随大流的情况。虽然群体是在证据经过分析之后形成的一致意见，但分析之前的成见，或者其他人对于这一假设的支持，都可能会产生偏见，让人相信这一假设成立。从众效应存在一些有趣的心理学成因，是很难克服的，但一定要注意到“每个人都这样说”并不是给某一假设贴上“正确无误”标签的有效理由。如果群体的一致意见得到证据支持，重要的不是考虑“大家都同意”这个事实，而是应该看看那个证据。

Heuer还提到“过分注重一致性”，并写道“信息的一致性可能只是因为信息之间是高度相关或冗余的，在这种情况下，多份相关的报告可能还不如一份独立的报告信息量更大。”为了克服这一问题，Heuer建议分析人员确保他们熟悉以往分析所依据的证据主体，包括样本范围和可用的信息，并探究相同的结论是否能扩展到更大的样本范围，或者持续适用于更多信息。这个方法尤其适合甄别媒体就某一攻击者的报导。多家媒体的报导可能都是来自同一事件，因此，多篇报导并不意味着出现了多起事件。

镜像效应（Mirroring）。如果某个分析人员认为对手的想法和决定与自己相似，就会发生镜像效应，或者说镜像偏差。这会导致分析人员假设对手按照分析人员本身的个人经历去决定做什么或不做什么，而这通常与实际情况完全不同。这一偏见使分析人员主观臆断什么样的步骤合乎逻辑，根据“我会做些什么”来决定一个假设是否正确，而不是根据证据做出判断。在产生工作思路的时候，可以使用“照镜子”的方法，但在评估阶段，要能识别何时受到镜像效应的影响（而不是基于证据），并在分析过程中消除该偏见。

4、判断和结论

用来证明某一假设的假设在得到评估和消除偏见之后，分析人员就可以对假设做出判断，形成结论。分析人员有多种方法来解释证据，确定假设是否成立，是否需要提出新的假设，甚至推倒重来。

四、分析过程与方法

正如我们在使用诸如杀伤链和钻石模型这类模型时所发现的那样，借助一些过程或方法，通常可以让数据得到更好的处理。下面介绍的常用过程和方法，既能单独应用，也可以组合使用。

1、结构化分析

结构化分析类似那些构成初级科研课题基础的科学研究方法：提出问题，做一些基本的背景研究，形成假设，验证、评估该假设是否成立，将调研结果形成报告（若无法证明成立，则提出新的假设）。这个基本的科学研究方法如图3所示。

图3  科学研究方法图示

结构化分析也采用相同的通用方法。然而，对假设的验证和评估，并不总是像物理实验那样能够得出明确的结果。在进行情报分析时，由于经常会引入认知偏见，确定和评估对该主题所做的关键假设就变得至关重要。在这些关键假设得到评估之后，可以通过某些方法确定这一假设是准确无误的，还是模棱两可的，分析那些各具优势的假设。分析结果取决于分析人员对信息的理解，无法得出明确的“对”与“错”，因此，有必要增加一个步骤，为似是而非的假设赋予置信度。结构化分析的基本过程如图4所示。

图4  结构化分析过程

结构化分析过程各个步骤概述如下：

明确需要回答什么问题，尽量满足领导提出的需求。虽然可以通过多次迭代结构化分析过程，回答需求中存在的多个问题，但是，正如你不会在单次实验中改变多个变量一样，最好不要尝试通过一次分析来回答多个问题。即使这些分析过程只是稍有不同，最好还是将它们彼此分开，以免干扰判断或使结论变得不够明确。

收集数据，力求掌握回答问题所需的全部信息，据此提出一个或多个假设。不仅需要全面研究调查中采集的信息，还需要收集额外的关联信息，确保没有遗漏。

提出一个或多个待评估的假设。在某些情况下，该假设显而易见。但在回答“为什么你会成为攻击目标”或者“攻击活动造成怎样的长期影响”这种问题时，你会觉得像是在抓救命稻草那样挣扎无助。不管情况如何，都要将想法记录下来，按这一过程评估这些假设。

评估关键假设。这一步骤有别于传统科学研究方法。我们处理的对象不易被测量，不易被评价，所以对于那些可能会影响到分析结果的证据，需要确认我们的想法或观点。你很容易找到定性的证据，来支持你主观上希望成立的假设。为了避免这一点，我们加入这一额外的步骤来识别偏见，确保分析所需的关键假设是合理的。

掌握足够证据对假设做出判断。评估这一点的方法有多种。

在为假设做出判断后，就进入了结构化分析过程的下一个步骤——红队分析（red cell analysis）。在军事演习中，竞争者或敌方通常被称为“红队”，而队友通常被称为“蓝队”。红队的意思是像对手一样考虑问题，对蓝队发起挑战。红队分析方法创造了这样的机会，使前面的判断得到评估或质疑，最好由第三方来扮演红队的角色。

在红队分析完成后，如果你认为前面的假设不够可靠，就需要退回去，根据否定了最初假设的证据，重新提出新的假设。你不是每次都推倒重来，而是在整个过程中不断进步。即使你坚信你的假设正确无误，也一定要明确该评估的置信度，并将理由记录下。然后，分析工作就算完成了，你就可以为下一个需要回答的问题做准备了。

2、以目标为中心的分析

Robert Clark在《情报分析：以目标为中心的方法》一书中称传统情报周期试图将线性结构赋予明确的非线性过程，并引入了以目标为中心的分析作为替代方法。

以目标为中心的分析过程示例，如图5所示。

图5  以目标为中心的分析

在以目标为中心的分析的中间位置是目标模型，也称为概念模型。所谓概念模型，是指对于分析人员思考过程的抽象，以及对于待分析对象的尽可能详细的描述。概念模型可以详细描述犯罪组织的层级或结构，也可以说明网络入侵的时间线。

一旦概念模型被开发出来，我们就开始根据所开发的模型、已掌握的答案，以及待提出的答案，进入理解过程。我们的答案会形成可行动情报（即可以按此行事或解答问题的情报）。该情报由客户或使用者评估——如果需要更多或新的信息，模型将被更新，而我们将再次返回收集和分析过程。

以目标为中心的分析不能要求分析人员毕其功于一役，而是应该循序渐进地收集信息、分析信息，看它是否有助于回答当前的问题，有些时候，最终会产生新的要求。如果需要进一步的或者不同的信息，收集和处理阶段则要重复进行，以确保分析人员可以获得所有必要的信息。

3、竞争性假设分析法

竞争性假设分析法（Analysis of Competing Hypotheses，ACH）是由Richard Heuer提出的方法，用于评估多个备选假设，根据证据找出最适当的假设。ACH过程分为8个步骤，强制分析人员考虑全部可能性，而不是凭直觉挑出来某一假设，再找证据支持这一假设。8个步骤如下：

（1）确定需要考虑的可能假设。Heuer建议由一组不同背景和不同视角的分析人员开展头脑风暴，讨论各个假设的可能性。在这一步中，区分未经证实的假设和已经证伪的假设同样重要。未经证实的假设只是尚无证据证明它是正确的，而已经证伪的假设则是已有证据证明该假设不成立。在ACH过程中，可以存在未经证实的假设，无论该假设多么匪夷所思，但已经证伪的假设则不予考虑。

（2）列出支持或反对各个假设的重要证据。如果你已经完成了评估关键假设的过程，这一步应该是相对简单的——你已经掌握了有利于各种假设的关键证据。

（3）建立以假设为行、证据为列的矩阵，评估各个证据对各项假设是支持还是反对。该矩阵的示例参见图6。填充矩阵的方法有多种。Richard Heuer建议以C代表证据与假设相符，以I代表证据与假设不符，以N/A代表证据对假设不适用。也有人建议在表格中列出权重，如证据适度支持假设，就使用一个加号，如果证据强烈支持假设，就使用两个加号，以此类推。

图6  ACH矩阵模板

在图7的矩阵中，我们可以看到H3不受任何证据的支持，故将其从矩阵中删除。类似地，E3对任何假设均不适用，E5对各个假设均不支持，所以分析人员需要重新评估这些证据，以确保两者与分析有关，并且是准确的。有缺陷的或有偏见的证据也可以通过评估阶段，以便将来确定分析中是否产生遗漏。

图7  已完成的ACH矩阵

（4）进行初步分析，改进矩阵。在步骤3完成之后，矩阵应该只显示出少量内容——某些假设可能不被任何证据支持（标记为I或-号）。如果某一假设没有任何证据支持，虽然这并不代表假设被驳倒，但它还是应该从矩阵中删除（见图7）。同样，如果某项证据对各个假设都有表现为N/A，那么分析人员应该将它从矩阵中删除，若它确实是关键证据，则应该重新评估是否还应考虑另一种假设。

事件响应人员可能会不时遇到这样的情况：仅因为某项证据是与其他证据同时被发现的，而对来自另一毫不相关事件的证据进行无谓的分析。如果某一证据与任何其他证据均不匹配时，最好将其从当前分析中删除，另行分析。

（5）对各个假设的可能性得出初步结论。此时应注重反驳假设，而不是证明它是正确的。在初步改进矩阵之后，你可以根据各个假设的证据支持程度来评估其可能性。在图7中的例子中，H1具有最多的支持证据，假设分析人员认为E5不是有效信息，那么就没有证据反驳这个假设了。因此，H1将被认为是最有可能的假设。H2和H4都有支持和反对它们的证据，因此，它们的可能性较小。如果任何一项被标记为反对的证据证明这些假设是不正确的，它们就会被认为是证伪假设。推翻一个假设要比证明一个假设是绝对正确的更为容易。

（6）分析结论对于单项证据的依赖程度。对于那些使你认为某一假设最有可能成立的信息，或者使你认为某一假设应该被证伪的信息，需要重新分析。是否有某项证据的权重过大？如果是这样，你对这一证据有多自信？这有助于确定判断的总体置信度。如果有不同来源的多项证据强烈支持某一假设，那么评估的置信度要高于根据单一来源的一两项关键信息做出的判断。

（7）报告结论，评估全部假设的可能性，而不是仅评估那个最有可能的假设。将所有考虑到的假设及导致最终判断的证据记录下来，形成报告，这是很重要的。尤其在准备使用红队分析方法的时候，这一点更显重要。一旦出现新的信息，这也有助于确定是否需要重新评估分析（也就是ACH过程的最后一个步骤）。

（8）确认是否需要重新评估分析。分析是不断探索的过程，总会出现新的证据，总会需要新的分析。如果发现任何情报缺口，或者你知道还缺少什么可能会改变判断的信息，都应记录在案，供今后的分析使用。以“玻璃巫师”入侵事件为例，其他组织遭受的类似入侵事件，以及因为采取额外安全措施而发现的攻击者活动，这些信息都应该补充进来。这时，你会用到新的日志。不论哪种情况，我们都需要重新讨论原有判断。

4、图形分析

很多时候，提出假设或评估证据都需要额外的分析。在某些情况下，例如在大量信息中查找模式或关系时，最好能够以可视化的方式进行分析。此时，图形分析就派上用场。在分析社交网络或组织关系时，图形分析特别有用。

图形分析有不同的叫法，但实质上是相似的。关联矩阵、社交网络分析和关联分析，描述的都是类似过程。理解组织（无论是恐怖组织还是犯罪组织）之间的关系是非常重要的，所以社交网络分析在整个情报界以及执法机构中广泛应用。这种分析方式同样适用于跟踪网络攻击者，因为他们经常依赖其他人的支持和保障，或者根据需要与不同的组织或团伙合作。图形分析方法并不仅限于用来分析个人和关系。

在情报驱动的事件响应中，分析人员关注的通常是机器或恶意软件相关的活动，而不是人的活动。在“玻璃巫师”入侵事件中，可以使用图形分析查看被攻击者破坏的主机之间的关系。据图形分析（见图8）显示，多数主机仅与攻击者的命令控制节点发生一至两次通信，而少量主机则反复与多个命令控制节点联系。这些主机可借助内部关联信息进一步分析，以了解攻击者对其更感兴趣的原因。图形分析还可用于识别调查中发现的恶意软件相关域名，以便更好地了解攻击者的行为。

图8  基于Maltego的玻璃巫师图形分析

多数情况下，利用图形分析可以更好地理解证据，甚至产生新的证据，像ACH或红队分析之类用于验证假设的方法，同样被图形分析或社交网络分析所支持。

5、反向分析方法

最后一类情报分析包括一些被认为是反向分析的方法，即试图通过不同视角来反对现有标准或规范。有时，初始分析就是采取反向方法进行的，有时则采用反向方法对现有的判断提出质疑，以确保分析在各种情况都能成立。这种分析方法并非总被需要，但在以下情况下强烈推荐使用：1）错误判断将产生严重的后果；2）预期判断将产生争议。

魔鬼代言人（Devil’s advocate）分析方法

魔鬼代言人方法是指采取相反观点挑战一个被广泛接受的针对某一情况的分析结果，评估当前证据是否的确能够反驳其他备选观点。魔鬼代言人方法并非旨在证明其他观点是正确的而已被接受的分析结果是错误的。相反，该方法暴露出原来的分析结果的种种不足，揭示出未被解释的偏见，帮助原来的分析经受严格的审查。

“如果……，那会怎么样”分析方法

该类分析方法试图为当前状况引入新的变量，分析这将如何改变分析结果。例如：“如果这一关键证据是对手故布疑阵，那会怎么样？”或者“如果这项日志数据是被篡改后的，那会怎么样？”同样，该分析方法并未试图直接反驳某一假设，事实上，它有助于确定分析结果是否合理（哪怕某个情报已被质疑），进而评估整体判断的置信度。分析人员在ACH过程第6步判定分析结果对该一两项证据的依赖程度时，也可采用该方法。

红队分析方法

该方法试图分析在特定情况下对手是如何思考或行动的。分析人员尽量把自己代入攻击者的角色，提出类似“在这种情况下，什么对我是重要”和“哪种行动会使我偏离计划”这样的问题。在进行红队分析时，分析人员需要扮演对手的角色。该方法迫使分析人员发现自己与对手的心态差异，有助于对抗镜像效应（镜像偏见）。通过红队分析，可以发现分析人员最初未考虑到的额外因素。

红队是网络安全行业中的一个众所周知的概念，重要的是要知道这种分析依赖于对对手的了解程度，根据对手的社会、政治和文化倾向做出判断，而不是像某些红队演练那样，肆无忌惮，为所欲为。

五、结语

分析能力常被认为是一种天赋——有的人擅长，有的人就不行。这种想法未必正确。福尔摩斯当然有天赋，但在分析案情时，他仍然要遵循规定程序，包括消除偏见、提出假设，以及借助证据支持或反驳这些假设。同样，分析人员在试图回答事件或调查相关的具体问题时，也应该遵循某种程序。尽管这一程序因事而异——有时需要关联信息权衡假设，有时分析人员会借助红队思维结合充分信息评估判断——这就是程序。分析的时候要便宜行事，但切不可彻底跳过某一步骤——这些步骤是为了确保根据正确的信息做出合理的分析判断。

微信公众号：计算机与网络安全

ID：Computer-network

【推荐书籍】