浅谈情报的实践与落地

研究了一段时间的威胁情报，转发一篇我们联盟里关于威胁情报落地的文章

这可以说是一篇日记，记录了我的探索和实践。因为这一切都发生的磕磕绊绊，所以记录的也就难成体系。
但，此文贵在真实、可落地、不矫情、不吹牛、有硬货 …但也错在没体系、少数据、多抽象、字太多…
全文主要内容集中在三个部分：
第一部分：情报的术与道。理论部分，这些理论并非权威理论，只是我在阅读权威和自己的实践之后所总结出来的理论；
第二部分：情报实践与落地。关于情报落地的考虑，不过我尽量不会描述探索过程，直接放出我的结论，免得浪费时间；
第三部分：情报团队建设。其实算不得严格意义上的团队建设思路，只是结合实践提出一些我期望团队所具备的特质，这样可以为大家组团招聘时提供参考；

【第一部分】情报的术与道
不谈威胁情报，先说情报。
关于情报的定义有很多，我综合了一些材料之后，说一下我对情报的认识。情报的本质是，在事件发生前或发生过程中产生的信息，并通过分析人员对信息加以处理从而形成可以协助判断甚至决策的有价信息。这个有价信息就是情报。威胁情报也是此类范畴之内，只不过事件、信息和分析这些过程，都发生在特定的信息安全领域之内。所以，我认为，情报本身不是一个信息也不是一个结果，而是一个过程。这个过程我将其划分为几个环节：事件、信息、分析、决策。下面拆分来说。

1、事件
此处就是最原始的本意，只不过特指那些即将发生或正在发生但还没有影响到情报需求方的事件。这类事件往往是客观存在的，也是在所谓的“虚假情报”中最容易被忽略的。
战争历史上有很多虚假情报的案例，例如，知名的霸王行动（诺曼底登陆行动代号/Operation Overlord/著名的D-Day），其中涉及到的卫士计划（保镖计划/Operation Bodyguard）便是经过精心策划的欺骗行动。其欺骗的本质便在于，霸王行动本身调动工作巨大，不可能完全瞒过德军的情报机构，因此，索性制造另一场演出，来把 真·霸王行动 演绎成一场 伪·霸王行动。把德军的力量吸引到 伪·霸王行动 中去。
在这个 伪·霸王行动 的过程中，德军获取了大量的虚假情报。而虚假情报的本质是在于信息的虚假，而非是事件的虚假。也就是说，即将有一场登陆作战发生是事实，而 伪·霸王行动 表现出来的信息是虚假，这份虚假将作战引向了别处，致使德军将兵力用错了地方  ——  换个视角来看，正所谓无风不起浪，有些信息在判断的过程中分析人员会因否定掉“浪”而也不相信“风”的存在。所以，在判断出情报的虚假性的同时，也应有更多的疑问，那就是为什么会有这个假情报的出现，这个假情报所要迷惑的是谁、又想要掩盖什么、背后必然会发生的事件又是什么？

2、信息
这个是极易理解的，却也是极难获取的。因为对情报的分析，需要信息的全面性。而信息的全面其实并不只是包括围绕事件本身的信息，还包括可能会对信息造成影响的其他外部信息。就好像一个生态圈一样，食物链某一环的重大变故，可能是来自上一环、同时也可能引起下一环的变化。如果只是盯住当前变化这一环去看的话，就无法对事件最终的走向做出准确的判断，这样的结果就很可能会造成错误的决策。

3、分析
上面提到了信息的完整性，而信息的完整性除了采集手段以外，还取决于分析环节中分析人员的知识容量。黑客们一直在畅谈的想象力不仅仅来源于邪恶，更来源于对知识的全面掌握，当你见到别人的hacking过程之后惊呼“还有这样的操作”时，我们更应关注背后知识的深度和广度。
另外，有人惊讶于另一些人的敏锐观察力，但这些敏锐的观察力实际上都是来自于对知识的掌握和对知识的不断打磨和训练（持续、深度的思考和使用），进而将知识植入到更深的意识层面，这样在遇到某些特定事件时就会立刻在脑中匹配到对应的知识并将其激活。在昆汀的《无耻混蛋》中，Hicox 在小酒馆中一个简单的 Order 3 glasses 的动作就暴露了他的伪装，这并不是什么偶然。

4、决策
基于我对事件这一环节的定义，情报的获取、分析工作就与事件拉出了时间空隙。而这个空隙，就是决策窗口期。
情报的价值如何体现，就体现在这个窗口期之内。好的情报，可以先于事件推演走向甚至结果，坏的情报，可能就只是一个事件转发器。
但这里似乎又出现了一个冲突 —— 我们说将要发生的未来，我们该如何判断他就是未来？难道就是算命先生说要有血光之灾一样，你除了信与不信，就没了其他选择？如果选了相信，进而选择“破财免灾”的方式处理，那在过后又该如何评价算命先生的灵与不灵？
其实，仔细思考其中的细节就会发现不同，情报所说的未来，是基于信息的积累、分析、判断而来，而算命先生的血光之灾却是真的只是口说无凭。
所以情报需要有结果，更需要有（分析）过程，这样才能让结果有足够的信服力和权威性，甚至可以帮助决策选择决策的方式与方法。所以，这也是为什么我说，情报不只是一个结果，而是一个过程。

【第二部分】情报实践与落地

暂时抛开上面的几个环节，这里简单描述一下实践与落地的过程。最后再看，到落地之后与上面所讲的术和道是如何匹配的。
1、切入点：业务情报
业务侧无疑是威胁情报的最佳切入点。
业务不但距离企业的核心能力最近，也有对抗的强需求，而业务又缺少信息安全技术的积累。
所以业务往往是目前威胁情报团队的切入点之一。
不过业务情报工作又太过于具象化，与每个环境中的业务有着强关联，因此，也就简单列举一下几个切入点，后面就不再详述。
发现：敌人在哪里 — 信息传播渠道（交流、发布渠道）– 技术（或工具）使用目标和范围 — 样本
分析：技术原理分析 — 相似性（技术同源/社交关系同源）分析 — 归类整理
打击：横向（社交关系维度）– 纵向（技术维度） — 无规律打击（我们自己知道规律却不让对手看到规律，打到让对手懵逼、让对手怀疑人生） — 威慑式打击（宣传或定向投放信息，利用好舆论恐吓）
监控：效果评估 — 整体技术态势 — 技术流向 — 业务流向
除此之外，还需要对自身业务有深度的剖析、跟踪的能力。及时发现变化、及时发现问题，结合外部态势做好验证和预警。
2、有点尴尬：技术情报
如果我说业务是情报的最佳切入点的话，很多从技术情报起手的人可能会感觉到尴尬。
不说这份尴尬，先说为什么选择业务作为切入点，简单来说是因为，业务系统一定是一个公司所有系统中最健全的系统，毕竟业务是一个公司的生存之本，什么系统都可以破破烂烂，唯有业务系统不能破、不能烂，退一步讲，即便业务系统又破又烂，但也一定是公司所有系统中最好的那一个 —— 这就引发出为什么不把技术情报作为切入点的另一个原因，那就是系统的健全性。
从业务情报的视角去思考，为什么业务需要安全的对抗能力？
因为业务环境内原有的对抗体系都已经被发挥到了极致，如果想要锦上添花，除了继续压榨自身能力外，就要考虑引入新的能力。所以，威胁情报在业务环境中得以生长。
也就是说，情报这种偏门的增值能力在完善的体系中可以发挥的更好。
切换到现有的安全防护体系中去看。
整体来看，目前的安全不要说把配套能力发挥出来，就连安全建设可能都存在很多问题。在行业不断抱怨安全产品没人用、用不好的同时，还存在大量的安全产品甚至都没有被放到正确的位置和环境中去。
这就如同一个没有作战能力甚至连军队都没有的国家，偏偏要组建一支情报部队去收集敌方军队情报一样。这种情况下，情报即便带来了高价值信息，结果也很可能是无的放矢。
所以，不完善的体系本身就会或直接或间接的导致情报的增值能力变差。
当然，这也并不意味着就无事可做。
目前，威胁情报多以IOC和STIX形式存在，不过它们都只是信息的载体。只是【事件、信息、分析、决策】这四个环节中的信息那一环而已。技术情报唯有将这四个环节重新串联落地，才能在尴尬的安全建设中找到合适的去处。
3、有点希望：继续说技术情报
不得不说，威胁情报是对很多深耕于安全领域的技术人员的第二次挖掘与激活。
威胁情报对【事件、信息、分析、决策】这四个环节强烈的串联需求，让很多原来沉寂已久的分析人员有了新机会。但同时也提出了巨大的挑战。
什么挑战？简单讲，懂得分析漏洞，但却不一定明白漏洞对于所处环境的价值，甚至无法判断这个漏洞是否会来到你的面前。
说到这里，可能很多人会想到前几年开始流行的资产发现平台，通过资产发现平台扫描到的资产指纹信息来进行漏洞匹配，这是一个可以很好的说明情报深度和四个环节打通的案例，一张图来简单展示一下：
这件事的整个逻辑简单清晰。
资产发现可以通过指纹识别来判断精确的版本（此处不讨论结果准确性问题）。然后再根据出现的漏洞影响到的版本来进行比对、判断。
但实际上，这件事情的最终决策是不应该如此简单、粗暴甚至可以说不可靠的。
这里，主要三个目标：资产发现A、资产发现B、被探测服务器X，下面简称A、B、X并描述一下上面说的逻辑：
(1) A可以发现X，说明互联网都能看见X的问题；
(2) A看不到只有B能看到X，说明只能内网可以看到X的问题；
这是这张图里最明确的两个逻辑，仅这两个逻辑就可以推导出不同的结果：
(1) A发现X，意味着X面临来自整个互联网的威胁；
(2) X仅对B可见，意味着X面临内部威胁；
如果从这两个视角去评价漏洞这件事情的话，其决策结果可能截然不同，对于情况1大概是需要立刻行动，对于情况2则可能延后行动，甚至根据B的位置还可能不行动。但上面的两种情况实际上只是完成了内部的信息采集和分析，在术与道的部分曾提到，还需要考虑其关联的生态环境。
跳出X和A、B这些视角之外，最重要的信息就来自于漏洞了，对漏洞有几个可以快速评价的维度：能与不能、有或没有、难易程度、危害等级。
第一，能与不能：众所周知，很多漏洞从生到死连个PoC都没有，对于这种情况，一般都很容易理解该如何忽略掉；
第二，有或没有：随着这两年安全市场变热，很多PoC造假就不说了，还有很多是捕风捉影。因此是否真的有可用PoC则是判断问题升级的一个关键卡点；
第三，难易与否：就算有了PoC，还需要考虑PoC本身的利用难度，或是漏洞本身是否有什么先决条件。对于先决条件复杂的，往往只要控制好先决条件无法得到满足就可以降低风险；
第四，危害等级：抛开X的环境不谈，漏洞自身的利用方式、获得的权限等情况，也决定了漏洞的危害等级。当然，这种等级一般厂商都给的很准确了，所以只需要参考原始信息即可；
另外，还有服务器X在整个系统中的角色、地位，如果受到入侵或攻击后可能产生的影响。这也是重要的评价来源。
作为一个通用产品能够做到图中勾画出来的功能和场景似乎就足够了，但在实际使用过程来看，需要考虑到各种内部信息、外部信息再结合经验进行分析和判断，才能使得其发挥期望中的效用。这也是情报所追求的。
而除了漏洞场景外，还有其他相当丰富且复杂多样的场景。我在日常都是将这些场景非常的具象化，每碰到一个场景，就将场景罗列出来，并且结合kill chain定义了一个通用的威胁路径，并进一步描述：
	每个场景在每个环节所可能面临的问题（Attack）
	在这个环节中防护所应具备的能力（Protection）
	情报视角（外部黑客视角+内部渗透团队视角）所能使用的信息和手段（Intelligence）
	情报如何将这些信息使用起来（Deployment）
 

这里只列出部分，而且不同的环境下，对于不同环节的定义方式可能也会有所不同，所以主要看套路就好（因为敏感的关系，大部分信息已打码）。
通过枚举的方式，可以做一张持续更新的记录表格，当出现新的威胁方式和技术手段时，根据情况进行更新和跟进。但即便如此，工作依然处于被动的局势，所以下面就谈谈主动性的问题。

4、更进一步：技术情报的主动性
至此技术情报已经以攻击视角将一些威胁信息完整的映射到了内部。
但是，如果走出内部，来到广阔的互联网上去看，实际上马上又能发现很多不足之处。因为内部这些所定义好的都是历史上有存证的手法，而手法不断演进、甚至在黑客不断失败的渗透后逐步摸清楚这些防护和情报手段之后，可能形成了一套专门针对这张表格的绕过手段，那时候就会回到“我不知道我被黑了”的尴尬境地。因此，在外部信息这个层面，需要更深入的扩展和挖掘。而在这个层面的挖掘上，应该是重人工、轻设备的一个环节。而这个过程，想要从“敌人是谁”这个问题入手并不容易。所以从技术手段、技术工具这个层面入手反而是更好的选择。简单来说，不断研究对手的工具是什么、工具在哪里、工具什么特征、技术原理如何，然后将这些成果放入到内部的不同维度去验证，简单一例，反爬虫是几乎所有在互联网上暴露业务的公司都会去做的事情，那么，回顾一下反爬虫的能力建设，是否可以回答以下几个问题：
第一：爬虫的使用场景是什么？是纯粹的技术场景还是业务场景？（技术场景：纯粹为了获取数据；业务场景：为了破坏业务或影响业务）
第二：场景的闭环在哪里？例如，接触过爬虫的都知道一类很恶心的爬虫，就是恶意占座，那么，恶意占座之后能够达到爬虫使用者（使用者有可能不同于制造者，这点非常重要）的什么目的呢？因为知道他们的目的，就知道去哪里找你的敌人了。
第三：爬虫的常用技术实现和技术特征有哪些？从最简单的wget、curl，以及各种开源爬虫，再到那些形成了规则市场的收费采集工具。而技术特征又不仅仅局限于UA，技术特征是想象空间和利用空间最大的入手点。
第四：爬虫闭环之外的商业模式是什么？上面提到了爬虫技术和闭环去哪里找。那除此之外，爬虫的制作、规则的编写、爬到数据后的二次处理、甚至高级技术对抗，这些生态，又在哪里？
第五：附加题，与爬虫相关极强的代理问题。国内代理资源最常见的形式有哪些？集中在什么地区？集中在什么运营商？除了代理之外还有什么类似的方案？方案原理和特性如何？
如果能以此为方向反向去入手，不再以事故的结果去分析原因，而是以客观存在的现状去推导可能的影响，并分析这些影响是否可能作用于自身。这样做下来所推进的决策，才能更好的防患于未然。
依据这个方向去思考，可以简单画一张如下的关系图。仅做一个简单场景的关系映射，考虑不算周全。
 

5、硬币的另一面：反情报
反情报不是单纯的将情报手段反向利用。
在传统的情报领域，反情报的主要意图在于预防和保护重要情报不外泄。也就是，围绕情报的对抗。
那么，围绕威胁情报的对抗工作，又有哪些？
(1) 提升效率。威胁情报最初的主要目标之一就在于快速分享，提升转化的效率。因此，从效率方面去对抗，必然是入手点。
(2) 提升隐蔽度。除了效率外，就是技术方面的对抗升级。隐蔽度是目前各种威胁情报的通用技术对抗切入点。
(3) 知己知彼。情报讲究知己知彼，反情报也不会缺少这样的套路。所以黑产往往也会是威胁情报的消费方。
(4) 套路你的套路。利用获取威胁情报的套路来反套路，例如，污染情报源。
当威胁情报能够被合理使用的时候，考虑反情报场景、以及对反情报场景的对抗，将会推进威胁情报的升级。
6、归宿：全景能力
有人问过我，情报最需要的能力是什么。
当时我回答的是 —— 记忆力超群。这是我的短板。所以我一直期望有一个信息管理平台，能够帮助我记忆。这些记忆到底有什么作用？
在一定的时间窗口内，从宏观视角来看，我们的对手是不会变的。
那如何能够了解对手的方方面面呢？
如果假设我们知道对手是一个人（重点在“一个”不在“人”），而这个人现在只有一岁大小，而我就是知道，当天他长大到20岁的时候就会成为我们的强敌，而因为各种狗血人设的原因，我们又没办法在他20岁之前杀死他。
那么，我们想要做的无非就是从现在开始就尽可能的近距离观察他、记录他，了解他的方方面面，一直熟悉到能推测出他的每一步动作为止（当然，其实还有更高端的情报手段，就是“影响他”，但不在本次话题内）。
我的大脑无法持续记录一个敌人20年的所有信息。更何况，多数情况下我们要记录的不止一个敌人，这就是我们情报工作面临的另一个难题。
如果搞清楚了敌人、信息的获取能力到位了、分析能力也足够，那么，全景能力实际上就只剩下一个门槛了 —— 信息的跟踪记录。
将敌人的所有有效信息（是有效信息，而不是信息）全部记录下来，应用好分析团队的分析能力，那我们距离全景境能力就很近了。
那么，全景能力到底能给我们什么呢？
全景能力的入口不会是一个很具体的事件，而应该是一个态势。它就好像地图上的热力图一样，你无法看清楚到底是哪条街道拥堵，但却足以判断哪个区域目前不适合驾车前往。
但是，这种态势经过持续的挖掘又可以变得很具体。就好像，如果历史告诉我们，A区域的拥堵必然在20-40分钟之内会影响到B区域，那么，在我们无法快速有效的挽救A区域的拥堵时，可以先去想办法避免B区域也迎来一场大堵车。
所以，全景能力的宏观层面可以给我们负面的指导 —— 告诉我们哪里危险，微观层面则可以给我们正面指导 —— 接下来哪里会变的同样危险。
当然，只是这样抽象的描述，依然无法展现一个全景能力的到底需要思考哪些方面，此处列举一例。
每逢新漏洞的PoC出现，便有一波批量探测的互联网行为出现，这类攻击是大面积撒网，而非针对性攻击。如果我们将全景能力具象化到这一个事件上，我们需要了解的要素有：漏洞是否有PoC、攻击是否开始出现、攻击是撒网式的还是定点式的、我们自己是否存在这样的问题。回答了这几个问题，就可以有效规避和应对。
同样的套路，可以套用到很多地方，比如，羊毛党：人群是谁、用的什么工具和技术、成熟的套路是什么、这些套路和技术对我们是否适用、我们是否有被薅的价值、哪里会被薅 … 等等。
如果一群人掌握着大量猫池并善于以此来薅羊毛，那就意味着我们所有需要短信资源的地方都可能被对方盯上并利用。
如果对方用群控在做批量点击，那就意味着我们在没有非人类操作做判断的地方，都可能面临被模拟点击薅掉的风险。
类似的适用场景很多，就不再深论了。
那么，从上面的例子中可以看到，在全景的前置过程，是无数情报源的持续输入，在情报进入的时候，这是一个态势级别的全景能力，只能看到客观的全景（对手视角） —— 这种全景的价值在于观看热度，换言之，对手最集中的手法（热度最高），就是我们最优先考虑的防护建设方向。
当把具体的一条情报引入到我们的场景中时，就不再只是一个态势全景，它可能会很具体，具体的就好像上面的例子一样 —— 这种具体的场景会给我们进行预警和响应指导。
有没有听起来和态势感知很像？其实每个领域内工作做得到位后，都可以建设以自己领域视角为主的态势感知能力。情报也是如此。
7、立足点与差异
这里简单说一下情报使用者和生产者的立足点和差异。
也就是我们常说的甲方和乙方对情报的视角有什么不同。
其实看过上面的内容就应该不难看出，使用者会更关心落地的场景，也就是说，哪些情报是对我有用的、而哪些情报可以被我用来作为线索（注意，仅是作为线索而非结果）用来切入我的场景。
而情报生产者则不同，一般情况下生产者是很难看到或是即使看到也无法看清使用者的使用环境的。所以生产者往往追求完整而不是有效，而加上每个情报生产者的立足点和视角不同，就会导致不同的生产者，在同一类情报上的质量有差异。
所以，当使用者对生产者的情报仅使用特定场景去测试或按照数量去比对，往往就会造成结果的偏颇。
8、总结
最后，第二部分说了这么多，总结一下并套用到情报的术与道的四个环节中来看：
事件 —— 定义你的敌人，画出敌人分类中的最小圈子。例如，如果我们将使用了不合法手段的人都视为黑客的话（虽然有些人配不上此称号），那么，其中可能会被分出一群人叫白帽子，他们很可能不是你的敌人。而另一群人可能是爬虫制造者，他们很可能是你的人。当锁定了敌人之后，有一些客观存在的事实就必然会存在。换句话说，当你知道有一群人每天琢磨着去哪里爬点数据的话，就会明白，只要你手里的信息有价值，爬虫这种事迟早会来；
信息 —— 寻找你的敌人的活跃地点（如：论坛、社交圈等），了解他们的知识层面、技术深度、常用手段、生产工具等。这些都是事前的，还有一些事后的。比如，你的机器被黑掉后可能会用来做什么，其中的变现过程是怎样的，销赃过程是如何发生的，等等；
分析 —— 事件和信息两个环节都清晰的话，实际上分析过程就是将这些事实像拼积木一样拼合在一起。你的哪些敌人，用了哪些手段。而另一些敌人，是否用了其他完全不同的手段。是通过手段或技术工具来识别敌人，还是通过定位到的敌人来识别出新的工具和技术手段？总之，组合方式非常之多，甚至由于业务场景的差异，还能细分出更多的组合套路；
决策 —— 基于事件、信息和分析的反复推演，最终形成对特定情报链的分析与汇总，这样的情报属于战术情报，用于决策某类或某个特定事件的提前处置与事发时的响应。而进一步看的话，对这些链条进行追踪分析，并将所有同类别的情报链条整合在一起，形成对特定类别事件的动态全景能力，这类情报属于战略情报，可用于更高层面的策略和建设工作的决策辅助。

【第三部分】情报的团队建设

这部分我并不打算描述一个情报团队应该由什么样的人员组成，因为作为一个兴起才没几年的方向，我并相信简历中的“威胁情报分析师”能有多深的经验积累。
所以说来，情报分析团队的组成，还是要依靠对原有安全行业内已长期存在、并逐步成熟的岗位的再利用。而具体的利用方式也会因环境不同而有所差异，因此我只是列举我所认为应具备的特质，以及工作中碰到的一些问题和应对方式。
希望通过这样的说明，能够为团队的搭建提供一些思路。
1、耐心与严谨
这两个选项几乎是所有岗位都需要的，却又都略有不同。
耐心是一个过程，很难描述清楚。
简单讲，当我们从10GB数据里抽取想要的结果时，靠技巧就能做到。而从1TB数据里想要找到目标时，除了技巧还可以依靠计算能力。但如果是从10TB数据里去寻找线索，就必须要有足够的耐心。
其中的道理，自不必强调了。撸过数据的都知道其中的辛酸。只要明白，当你坚信结果就在数据中时，除了运气以外，其他的，就交给耐心好了。
至于严谨，分析工作不是一个单纯的技术点，往往是一条线，甚至可能是一张网。
因此，组成这张网的证据链是否严谨就显得格外重要。就好像一个问题，当眼前存在两个事实A和B时，往往当我们发现可以从A推出B，则认为这两者的存在是有着关联的。但这并不严谨。
至少在我经历过的很多案例中，一些明显看似具有关联关系的两个数据，最终却都被证实毫无关系，甚至我还见过一些啼笑皆非的巧合。所以，大胆假设的同时必须小心求证，并不断反问自己，所有的可能性都求证过了吗？
另外，对一个人的严谨性的考量，可以从日常很多工作中看得出来，相信大家都有很多手段也就不再阐述。只是需要注意的是，在团队作战时，一个环节不严谨的结果，可能导致最终整体的结论错误并为此付出大量无用功，因此，不严谨的人，不要让他去穿线或织网，做好自己擅长的技术点就好。
2、知识杂乱但有体系
其实我想说知识渊博、或知识面广，但我想，也许并不需要那么高的等级。
我经常听说的就是，做黑客或是做安全，要有足够的好奇心，我也见过很多好奇心足够充足的人，但可惜，我发现大多数人只有好奇心，却没有探索好奇心背后知识的行动。
而情报的过程中，除了已掌握的知识可以覆盖的那些分析工作外，其他还有很多在我们知识体系之外，这些往往都是在好奇心的支配之下去探索，如果只是有好奇心却没有探索行动的话，往往就会在门前徘徊而始终无法入门。
而“有体系”又是什么？
无论一个人的知识多么的零散，当达到一定积累之后，都是有可能通过某个体系将其关联起来的。
换言之，我想象的情报分析人员就是，有足够的好奇心并且能为好奇心付诸行动去探索。而知识的零散却不凌乱，就证明他有很强大的抽象与归类能力。
这样的人，会善于发现、善于总结，既能很好的完成探索工作，也具备知识的传承能力。
3、少积累多试错
这里我想说两层意思，第一层意思就是，数据不是宝、用好的数据才是宝；第二层意思就是，多试错少想象。
第一层：数据不是宝、用好的数据才是宝
曾几何时，一谈到情报就互相攀比数据的丰富性，甚至有些人为了丰富自己的数据而故意在清洗数据过程中放水，留下很多模棱两可的数据。
情报分析的工作本质上是不断筛选数据的过程，一味求多、求全，并不能因数量积累就带来质量的改变。而在有限的数据样本中能够摸索出适合自己、适合场景的套路，进而再引入新数据，然后在新数据中使用老套路进行验证、修正和调整，如此不断反复，才是一个循序渐进的良性过程。
否则过分依赖数据，很可能会出现贪多嚼不烂的情况。
第二层：多试错少想象
一万次的想象不如动手一次。这个实在什么好说的，在过去一年里，我很多想象中的结果都被最终的数据推翻。
而数据也给出了更多我意想不到的结果。所以，只要智商没离线，多动手总是没错的。
4、眼尖心细好奇心强
眼尖来自于知识的积累和不断应用，这一点在最开始就已经提到了。
但最大的问题就是，没有一个人的知识体系能够强大到覆盖整个世界的图书馆。所以，这里所说的眼尖就不仅仅是基于知识丰富性的下意识反应了，更应该加上细致的内心和好奇心。
下图来自一个长度为 2分10秒 的视频，在一次帮助朋友分析case的过程中，当我们已经进入死胡同的时候，我就开始在电脑上翻看所有跟对手有关的图片或视频。在看了一下午之后，终于通过这一帧找到了突破口。
相信很多人都已经看到了问题所在，答案就在于右下角的iTools[D***TC***C]，通过这个信息，获得装有iTools的电脑主机名，并以此撬开了一个口子。
当这个字符串放到一个被无数马赛克遮盖的图片中，它就变得异常显眼，而对于当时的我来说，这个字符串却隐藏在一段100多秒视频中的某一帧的某一个角落 …… 没错，当时我是一帧一帧看的视频。
5、案例的转化与传承
之所以上面会提到视频的例子，就是因为这就涉及到一个案例的转换问题。
阿基米德只要一个支点就能撬动地球，而很多情报工作可能只需要一个字符串就能突破所有困境。
而这个字符串从哪里来，往往就是难题 —— 这也是很多情报工作无法细致讲解的原因所在，因为有些问题一旦说破就会被人以鄙夷的鼻孔瞪着说：“原来就是这样，我还以为是什么高科技”。但有时候情报分析就是由很多这种不入眼的小套路组合起来的大套路，而这种套路中套着套路的套路，也套路了很多人。
另一方面，很多时候这些不太能看得上眼的小套路，其背后也可能隐藏着对知识的深度理解。
基于这样的原因，情报的案例积累与传承就很重要。就好像现在，所有媒体文件我都会留存一份，不管这些文件目前看起来是否有用，因为我也不知道什么时候就需要转回头，去从它们身上寻找那个可以撬动地球的字符串。

【第四部分】结束语
情报工作源于人，也终于人。人强，则情报强。人弱，则情报弱。
我这样说，并非是抗拒人工智能这样的未来科技，我甚至相信有一天我们从梦中醒来时发现，原来我们早已深陷于母体。
但不管哪个才是真相，至少我们还生活在一个双眼所及之处，只有人类智慧的世界中。
在人工智能来到之前，情报还是要依靠人肉智能。
踏踏实实做好分析工作。相信科技，但不要过分迷信科技。信赖数据，但不要过分依赖数据。