快捷搜索:  网络  渗透  后门  CVE  扫描  木马  黑客  as

威胁情报基础:爬取、行走、分析(Part 2)

这是威胁情报基础三部曲的第二篇,我们将讨论是如何在安全操作中运用威胁情报以及其基本原理。

厨子、裁缝、士兵、间谍:情报利用分为多种类型

正如前文中详细提到的,情报出现在不同的操作层,企业可以利用不同类型的情报有效应对面临的威胁。

不要笑——对于“情报”解释得最出色的便是“CIA儿童区”(美国中央情报局针对六至十二年级少年的官方科普网站)。

他们将情报细分为一下几种类型:

科学和技术:提供关于对手技术和能力的信息;

动态:关注日常事件及其影响;

警示:对于紧急事件给予注意,并发布通知;

估测:关注可能发生的事情;

研究:为某事件提供了一个深入的研究。

虽然大多数机构并不会同时使用所有类型的情报,除非你和CIA一样(但是请别告诉我你做了什么),那么了解这些不同类型的情报以及他们提供的内容很有必要。不同类型的情报需要多样的人员分析和时间差异。例如技术情报很容易实现自动化,因此可以随节奏而产生。然而像威胁趋势研究,则非常依赖于人的分析。

Clipboard Image.png

技术情报

在信息安全操作中,通过技术情报来探查对手的能力和技术。它包括一些例如IP和C&C地址及域名、恶意文件名称和hash值在内的许多细节,以及一些TTP细节,像是针对某个特殊目标的漏洞或者一个用于指引植入的特定回调模式。

技术情报最常用于“机器对抗机器”的行动中,只是因为需要机器处理尽可能多的信息。机器通常并不关心人在意的内容,因此在许多情况下,技术情报并不涵盖太多内容。防火墙并不用清楚封锁某个恶意域名的原因,它只要去照做就行了。而在防火墙另一端的人或许想要知道,因此可能触发大量警报。企业必须在消费之前进行技术情报分析,否则最多也只是获取数据或者信息,而非情报!想了解更多,可以去阅读Robert Lee的文章《数据VS信息VS情报》。

如果你并不使用自己生成的技术情报,那么你必须清楚技术情报的来源以及如何将它们运用于分析,特别是自动化分析。此刻,我感到自己独自在这里乱言:通过“机器对机器”的自动化方式生成威胁情报……先不要说我错了,做些分析再说吧!

动态情报

动态情报处理的是每天可能需要立刻做出反应的事件和情况。我曾听人这么说,“新闻才不是情报”,这的确是真的;然而,当需要对你的特定机构、网络或者活动进行分析时,公共领域新闻就成了威胁情报。

举个动态情报的例子,报道说一个开发工具三天前集成了一个新的漏洞利用工具。通常按照30天补丁的周期而言,你在27天内可能遭遇攻击。知晓这一威胁会如何影响你的组织、如何进行检测并封锁恶意活动便是一种动态情报。动态情报也可以从组织网站的信息中获取。分析一次入侵或者针对高管的钓鱼攻击同样也能产生动态情报,这点则急需立即执行。

当你的网络生成动态情报时,要记录下它们!这可以用于后续的情报趋势及威胁环境分析研究。同时,还能与其他组织共享这份情报。 

威胁趋势(估测)

在战术层面(技术情报、动态情报)收集到的所有情报都可以分析进而生成威胁趋势。威胁趋势的获取需要时间,你需要随着时间进行模式分析,观察事物如何变化或者保持原状的。威胁趋势能够是某种反复影响网络的特定威胁分析,也可以是对一个组织或恶意软件家族的分析。与威胁趋势更直接相关的其实是你的网络或者组织,这点对你而言更有帮助。

威胁趋势让我们避免从一个分析中得出错误的预测或未来威胁的误报。

威胁形势研究

说起趋势,威胁分析长期重视时效性,动态情报需要通过长期的战略研究进行积累。与战术情报资源相比,社群中我们拥有多少战略层、技术性IOC(输入/输出控制器)。又存在多少新项目专注于提供“实时情报”和“深入分析”。原因当然包括没有足够的分析师进行这些工作,黑客网,而他们通常关注于对时间比较敏感的时间。此外,我们常常没有足够正确的数据进行战略层的分析,同样是因为我们并不习惯从自己的网络中搜集数据,而大多数人不愿意分享战略型威胁,只愿意分享那些威胁对他们实际造成影响的信息。

我们需要改变这样的局面,因为你不能也不应该在未来安全项目中忽略战略的重要性,你也不能在没有理解其背后的逻辑时匆忙制定安全策略。威胁形势研究是指在环境中进行长期威胁分析——他们的攻击是什么、他们如何进行攻击、你又该如何对这些威胁进行相应——这些都影响着你的策略。你从网络中收集的战略层信息并进行基于网络日常活动进行的分析都归属为威胁形势研究。你以及公共领域信息的动态情报都可以服务于威胁形势研究。BRID建立了一个用于捕获和分析这些信息的框架叫做VERIS(事件记录与共享表单)。记住一点,这类情报分析需要大量时间和精力,但是一切都是值得的。

信息共享

当前共享IOC及其他技术信息变得尤为重要,然而在本文中我们所探讨过任一类型的情报都很适合分享,以最佳实践和流程进行信息共享会有意想不到的收获。

在一个组织的网络中共享信息不失为理解新威胁的一种好方式,同时还有益于提升态势感知能力。信息共享本质上就是产生具有威胁警示作用的情报。当信息共享越来越自动化,这也就意味着掌握的信息更海量。想要了解更多,可以观看Alex Pinto最近在威胁情报有效性测量方面的研究。

即使现在你仍对从你自身环境中收集情报的价值存有疑虑,威胁情报的消化仍然需要你去分析、去了解它为何与你有关、你又该采取哪些行动。对于不同类型情报的理解及使用方式可以指导你进行分析和决定。

*原文地址:rapid7,SamSmith编译,

您可能还会对下面的文章感兴趣: