返回公告主页

我们希望能够借助集体的力量提升我们的安全水平 

阿里巴巴集团威胁情报定级标准V2.0

公告编号:ASRC-2016-15

公告来源:阿里巴巴集团安全应急响应中心

发布日期:2016-5-25


一、情报价值计算方法


情报贡献值由情报对应的危害程度及情报的完整性决定:情报价值=基础价值×完整性系数;

例如:一个入侵事件的完整情报的贡献值为100,计算方法为:基础价值(严重:10)×完整性系数(完整:10)。

该情报的安全币为600,计算方法为:基础安全币(严重:60)X完整性系数(最完整:10)。

贡献值对应表

 

安全币对应表


二、   情报收集内容


2.1 线索定义


威胁情报通常是由多条线索关联而成。我们对威胁情报的线索定义为7类线索。

 


2.2情报收集范围


根据情报的利用方式情报可分为技术情报业务情报


Ø  技术情报重点关注的3W1H线索如下:

 


Ø  业务情报重点关注的3W1H线索如下:

 


三、 情报判定标准


3.1 完整性系数


由于情报的完整性对情报的价值有着重要的影响,因此我们上报情报的价值会进行情报完整性考量情报完整性系数的评价将综合考虑情报的多个方面,如情报涉及的人员、利用点、利用方式等。情报完整性系数的评价方式为5W2H模式,总分为各小项分数总和,最高不超过10分。


核心关注点(3W1H),谁(Who)在什么位置(Where)利用什么方式(How)做什么事(What):

Who【0~3分】:情报涉及到的威胁人员,如可定位到入侵者个体或组织的情报;

Where【0~3分】:情报所涉及的利用点,如订单信息泄露页面或接口;

How【0~3分】:情报所涉及的问题是如何被利用的,包括相应的流程、技术手段、工具等。

What【0~1分】:情报所涉及的主要问题,如黑产、入侵、炒信等;


辅助关注点(2W1H):

When【0~1分】:情报所需要用到的重要时间点,如入侵开始、结束的时间点等;

Why【0~1分】:情报背后的深层原因,如APT的背后组织者、进行攻击的根本原因;

How much【0~1分】:情报所涉及问题已造成的危害程度,如黑产组织已造成的损失等。

*注:辅助关注点仅当在对情报有突出意义时才计分。


3.2 情报等级


同时根据情报的危害程度将情报等级分为【严重】、【高】、【中】、【低】四个等级。每个情报基础贡献值最高为10。由ASRC结合具体场景中情报的危害程度、完整度等综合因素给予相应分值的情报等级和贡献值

情报等级的评定标准如下:

严重情报:基础贡献值【9~10】,本等级包括:对核心业务、系统、办公网络造成重大影响,或对集团造成大量资金损失的威胁情报。如淘宝某服务器被上传webshell。

注:对核心业务产生严重影响的【严重】等级情报,提供额外现金奖励(人民币)2万~10万。


高危情报:基础贡献值【6~8】,本等级包括:对核心业务、系统、办公网络造成较大影响,或对集团造成较大资金损失的威胁情报。如利用其他站点泄露的他人账号密码在淘宝平台成功登录窃取大量账号。


中危情报:基础贡献值【3~5,本等级包括:对核心业务、系统、办公网络造成一定影响,或对集团造成一定资金损失的威胁情报。如因业务规则问题导致被一定量级商家利用的刷单行为。


低危情报:基础贡献值【1~2】,本等级包括: 对业务、系统、办公网络造成轻微影响的威胁情报。如伪冒集团的钓鱼网站。

 

*核心业务:淘宝、天猫、支付宝、聚划算、一淘、速卖通、阿里巴巴国际、1688、阿里妈妈、阿里云、万网、钉钉等涉及会员、资金、交易、店铺的应用。


四、无效情报


无效情报是指错误、无意义或根据现有信息无法调查利用的威胁情报,例如:

上报虚假捏造或人为制造情报信息的;

上报可能刷单、炒信的QQ群号,且未提供其他有效信息的;

上报单个或少量店铺的非业务规则问题导致的刷单行为;

上报已发现或失效情报的。


 五、 评分标准通用原则


1. 评分标准仅适用于可威胁到阿里巴巴集团产品和业务相关的情报。与阿里巴巴集团完全无关的情报,不计贡献值;

2. 由于情报分析调查的时间较长,因此确认周期相比漏洞的时长较长;

3. 由于情报的时效性,报告已知或已失效的情报不计分;

4. 同一情报,首位报告者计贡献值,其他报告者均不计;

5. 涉及到与阿里巴巴安全的情报,在情报未处理完成前公开的,不计分;

6. 非核心业务的情报等级将结合情报影响程度作降级判定;

7. 人为自行制造安全威胁或安全事件情报的不计分,同时阿里巴巴将保留采取进一步法律行动的权利。

 

本标准自2016年5月25日起执行,ASRC负责本标准的解释和修订。