返回公告主页

我们希望能够借助集体的力量提升我们的安全水平 

威胁情报标准V1.0

情报价值计算方法

情报贡献值由情报对应的危害程度及情报的完整性决定:情报价值=基础价值×完整性系数。

例如:一个入侵事件的完整情报的贡献值为100,计算方法为:基础价值(严重:10)×完整性系数(完整:10)。

贡献值对应表

关于情报等级(基础价值)及情报完整性的定义如下:

情报等级:

根据情报的危害程度将情报等级分为【严重】、【高】、【中】、【低】四个等级。每个情报基础贡献值最高为10。 由ASRC结合具体场景中情报的危害程度、调查难度等综合因素给予相应分值的情报等级和贡献值,每种等级包含的评分标准及情报类型如下:

【严重】

基础贡献值【9~10】,本等级包括:

1. 针对核心业务系统、办公网络的入侵情报。如核心生产服务器的入侵、核心数据库的拖库等;

2. 重大0Day漏洞。如核心服务器软件、系统等未公开或半公开漏洞,核心办公软件等未公开或半公开的漏洞等;

3. 对核心业务造成重大影响的威胁组织活动情报。如大规模淘系账号盗取、利用金融平台洗钱等;

4. 大规模核心敏感信息泄露。如用户身份信息、订单信息等。

【高危】

基础贡献值【6~8】,本等级包括:

1. 针对非核心业务的入侵情报;

2. 可造成重大影响的新型病毒、木马、蠕虫。如因重要业务的存储XSS漏洞导致的大规模蠕虫事件等;

3. 对核心业务造成较大影响的威胁组织活动情报。如扫号、DDoS情报等;

4. 内部机密情报泄露。如天猫官方活动方案、商家重要业务数据等。

【中危】

基础贡献值【3~5】,本等级包括:

1. 新型攻击技术或方法;

2. 新型可利用的工具、平台。如漏洞利用工具、刷单工具、针对淘系账号的扫号工具等;

3. 一般风险的业务安全问题。如大规模刷单炒信、营销活动作弊、业务规则绕过等;

【低危】

基础贡献值【1~2】,本等级包括:

1. 威胁组织基础信息。包括但不限于威胁组织相关人员、架构、规模、地域、活动情况等信息、交流及销售渠道、使用的工具和平台、造成的相关影响、行业动态等;

2. 低风险业务安全问题。如恶意注册等;

3. 舆情舆论。包括但不限于涉及到阿里巴巴集团的恶意言论、谣言等。

 

*核心业务:淘宝、天猫、支付宝、聚划算、一淘、速卖通、阿里巴巴国际、1688、阿里妈妈、阿里云、YunOS系统、万网、钉钉等涉及会员、资金、交易、店铺的应用。

 

完整性系数

由于情报的完整性对情报的价值有着重要的影响,因此我们会对上报情报的价值进行情报完整性考量。情报完整性系数的评价将综合考虑情报的多个方面,如情报涉及的人员、利用点、利用方式等。ASRC将根据情报的完整程度给出0-10分的评定,仅上报单一方面的情报不计分。

 

无效情报

无效情报是指错误、无意义或根据现有信息无法调查利用的威胁情报,例如:

上报虚假捏造或人为制造情报信息的;

上报可能刷单、炒信的QQ群号,且未提供其他有效信息的;

上报单个或少量店铺的非业务规则问题导致的刷单行为;

上报已发现或失效情报的。

 

评分标准通用原则

1. 评分标准仅适用于可威胁到阿里巴巴集团产品和业务相关的情报。与阿里巴巴集团完全无关的情报,不计贡献值;

2. 由于情报分析调查的时间较长,因此确认周期相比漏洞的时长较长;

3. 由于情报的时效性,报告已知或已失效的情报不计分;

4. 同一情报,首位报告者计贡献值,其他报告者均不计;

5. 涉及到与阿里巴巴安全的情报,在情报未处理完成前公开的,不计分;

6. 人为自行制造安全威胁或安全事件情报的不计分,同时阿里巴巴将保留采取进一步法律行动的权利。