丧尸来袭百度云下载迅雷下载

再談威脅情報(Threat Intelligence)

時間:2019-04-19 來源:海豐科技

前言

 

威脅情報早在幾年前就被提出,國內外也慢慢的有了一定的發展,許多安全廠商也開始建立自己的威脅情報平臺,一時間好像不做些和威脅情報相關的事情,就會變得過時。尤其從WannaCry勒索病毒席卷全球之后,人們對于現有防御體系開始出現不斷地質疑,而威脅情報被給予了厚望。本文試圖對威脅情報做一個全面的概述,讓更多的人能夠了解參與。

 

一、基本信息

 

1.1定義

目前無論是工業界還是學術界對威脅情報都還沒有一個統一的定義,許多機構或論文都對威脅情報的概念進行過闡述,目前接受范圍較廣的是Gartner在2014年發表的《安全威脅情報服務市場指南》(Market Guide for Security Threat Intelligence Service)中提出的定義,即:

 

威脅情報是關于IT或信息資產所面臨的現有或潛在威脅的循證知識,包括情境、機制、指標、推論與可行建議,這些知識可為威脅響應提供決策依據。

 

1.2分類

按照不同標準威脅情報有多種不同的分類方式,首先根據數據本身威脅情報可以分為HASH值、IP地址、域名、網絡或主機特征、TTPs(Tactics, Techniques, and Procedures)這幾種,其源于大衛 J. Bianco在《The Pyramid of Pain》一文中提出的威脅情報相關指標的金字塔模型。(單一的信息或數據一般算不上威脅情報,經過分析處理過的有價值的信息才稱得上威脅情報)

 

 

左側是能夠利用的情報,右側是這些情報給攻擊者造成的困難程度。一般來說情報中價值最低的是Hash值、IP地址和域名(也就是常說的信譽庫),其次是網絡/主機特征、攻擊工具特征,對攻擊者影響最大的是TTPs(戰術、技術和行為模式)類型的威脅情報。這里分別做個簡單介紹:

 

HASH值:一般指樣本、文件的HASH值,比如MD5和SHA系列。由于HASH函數的雪崩效應,文件任何微弱地改變,都會導致產生一個完全不同也不相關的哈希值。這使得在很多情況下,它變得不值得跟蹤,所以它帶來的防御效果也是最低的。

 

IP地址:常見的指標之一,通過IP的訪問控制可以抵御很多常見的攻擊,但是又因為IP數量太大,任何攻擊者均可以嘗試更改IP地址,以繞過訪問控制。

 

域名:有些攻擊類型或攻擊手法也或者出于隱藏的目的,攻擊者會通過域名連接外部服務器進行間接通信,由于域名需要購買、注冊、與服務器綁定等操作使得它的成本相對IP是比較高的,對域名的把控產生的防御效果也是較好的。但是對于高級APT攻擊或大規模的團伙攻擊,往往會準備大量備用域名,所以它的限制作用也是有限。

 

網絡或主機特征:這里指的特征可以是很多方面,比如攻擊者瀏覽器的User-Agent、登錄的用戶名、訪問的頻率等,這些特征就是一種對攻擊者的描述,這些情報數據可以很好的將攻擊流量從其他的流量中提取出來,就會產生一種較好的防御效果。

 

攻擊工具:這里是指獲取或檢測到了攻擊者使用的工具,這種基于工具的情報數據能夠使得一批攻擊失效,攻擊者不得不進行免殺或重寫工具,這就達到了增加攻擊成本的目的。

 

TTPs:Tactics、Techniques & Procedures的縮寫,這里是指攻擊者所使用的攻擊策略、手法等,掌握了些信息就能明白攻擊者所利用的具體漏洞,就能夠針對性的布防,使得攻擊者不得不尋找新的漏洞,所以這也是價值最高的情報數據。

 

另一種分類方法是按使用場景,可以將情報分為3類:以自動化檢測分析為主的戰術情報、以安全響應分析為目的的運營級情報,以及指導整體安全投資策略的戰略情報

 

戰術級情報:戰術情報的作用主要是發現威脅事件以及對報警確認或優先級排序。常見的失陷檢測情報(CnC 情報,即攻擊者控制被害主機所使用的遠程命令與控制服務器情報)、IP情報就屬于這個范疇,它們都是可機讀的情報,可以直接被設備使用,自動化的完成上述的安全工作。

 

運營級情報:運營級情報是給安全分析師或者說安全事件響應人員使用的,目的是對已知的重要安全事件做分析(報警確認、攻擊影響范圍、攻擊鏈以及攻擊目的、技戰術方法等)或者利用已知的攻擊者技戰術手法主動的查找攻擊相關線索。

 

戰略級情報:戰略層面的威脅情報是給組織的安全管理者使用的,比如CSO。它能夠幫助決策者把握當前的安全態勢,在安全決策上更加有理有據。包括了什么樣的組織會進行攻擊,攻擊可能造成的危害有哪些,攻擊者的戰術能力和掌控的資源情況等,當然也會包括具體的攻擊實例。

 

1.3生命周期

Gartner認為,情報是過程的產物,而非獨立數據點的合集。Gartner刻畫了威脅情報的生命周期:

 

1.4意義

 

傳統的防御機制根據以往的“經驗”構建防御策略、部署安全產品,難以應對未知攻擊;即使是基于機器學習的檢測算法也是在過往“經驗”(訓練集)的基礎尋找最佳的一般表達式,以求覆蓋所有可能的情況,實現對未知攻擊的檢測。但是過往經驗無法完整的表達現在和未來的安全狀況,而且攻擊手法變化多樣,防御技術的發展速度本質上落后與攻擊技術的發展速度。所以需要一種能夠根據過去和當前網絡安全狀況動態調整防御策略的手段,威脅情報應運而生。通過對威脅情報的收集、處理可以直接將相應的結果分發到安全人員(認讀)和安全設備(機讀),實現精準的動態防御,達到“未攻先防”的效果。

 

二、標準與規范

 

隨著威脅情報產業的發展,使得其使用需要一整套標準與規范進行約定,目前成熟的國外威脅情報標準包括網絡可觀察表達式(CyboX)、結構化威脅信息表達式(StructuredThreatInformationeXpression,STIX)、指標信息的可信自動化交換(TrustedAutomatedeXchangeofIndicatorInformation,TAXII)以及輕量級交換托管事件(Malware Attribute Enumeration and Characterization,MILE)等。美國在這方面做了大量的工作,許多標準的設計與發布都得到了政府部門的支持。

 

2.1  網絡可觀察表達式(CyboX)

 

Cyber Observable eXpression (CybOX) 規范定義了一個表征計算機可觀察對象與網絡動態和實體的方法。可觀察對象包括文件,HTTP會話,X509證書,系統配置項等。CybOX 規范提供了一套標準且支持擴展的語法,用來描述所有我們可以從計算系統和操作上觀察到的內容。在某些情況下,可觀察的對象可以作為判斷威脅的指標,比如Windows的RegistryKey。這種可觀察對象由于具有某個特定值,往往作為判斷威脅存在與否的指標。IP地址也是一種可觀察的對象,通常作為判斷惡意企圖的指標。

 

2.2 結構化威脅信息表達式(STIX)

 

Structured Threat Information eXpression (STIX) 提供了基于標準XML的語法描述威脅情報的細節和威脅內容的方法。STIX支持使用CybOX格式去描述大部分STIX語法本身就能描述的內容,當然,STIX還支持其他格式。標準化將使安全研究人員交換威脅情報的效率和準確率大大提升,大大減少溝通中的誤解,還能自動化處理某些威脅情報。實踐證明,STIX規范可以描述威脅情報中多方面的特征,包括威脅因素,威脅活動,安全事故等。它極大程度利用DHS規范來指定各個STIX實體中包含的數據項的格式。

 

2.3 指標信息的可信自動化交換(TAXII )

 

Trusted Automated eXchange of Indicator Information (TAXII) 提供安全的傳輸和威脅情報信息的交換。很多文章讓人誤以為TAXII只能傳輸TAXII格式的數據,但實際上它支持多種格式傳輸數據。當前的通常做法是用TAXII來傳輸數據,用STIX來作情報描述。TAXII在標準化服務和信息交換的條款中定義了交換協議,可以支持多種共享模型,包括hub-and-spoke,peer-to-peer,subscription。TAXII在提供了安全傳輸的同時,還無需考慮拓樸結構、信任問題、授權管理等策略,留給更高級別的協議和約定去考慮。

 

2.4 輕量級交換托管事件(MILE )

 

Managed Incident Lightweight Exchange (MILE) 封裝的標準涵蓋了與DHS系列規范大致相同的的內容,特別是CybOX,STIX和TAXII。MILE標準為指標和事件定義了一個數據格式。該封裝還包含了Incident Object Description and Exchange Format (事件對象描述和交換格式,簡稱IODEF)。IODEF合并了許多DHS系列規范的數據格式,并提供了一種交換那些可操作的統計性事件信息的格式,且支持自動處理。它還包含了IODEF for Structured Cybersecurity Information(結構化網絡安全信息,簡稱IODEF-SCI)擴展和Realtime Internetwork Defense(實時網絡防御,簡稱RID),支持自動共享情報和事件。

 

到目前為止沒有一個威脅情報相關的標準在國際上通用,但是相關標準的制定無疑直接推動了威脅情報的發展,尤其是為不同廠家的威脅情報產品能夠進行協同聯動、信息共享打下了基礎,也期待著國內的標準制定工作能夠快速進行。

 

三、使用場景

 

3.1攻擊檢測與防御

 

基于威脅情報數據,可以創建IDPs或者AV產品的簽名,或者生成NFT(網絡取證工具)、SIEM(安全信息和事件管理)、ETDR(終端威脅檢測及響應)等產品的規則,用于攻擊檢測。比如IP、域名、URL等作為機讀情報IOC(國際上通行的機讀威脅情報標準有多種,包括:STIX、OpenIOC、IODEF、CIF、OTX等),直接導入設備,進行進出口流量的訪問控制。這個方面做的比較好的公安部第一研究所,其下“網盾K01”產品,就是采用威脅情報數據來增強檢測和防御能力

 

乍一看這種防御機制和傳統的網絡防火墻黑白名單似乎沒有區別,但實際上IOC具有更好的時效性,情報廠商不斷的產生新的IOC,使用者可以不斷地獲取與自身相關的情報,使得在防護設備中始終保持一份“最新的熱名單”,始終保持著對新型攻擊的防護能力

 

3.2攻擊溯源

 

安全分析及事件響應中攻擊溯源是重要的工作內容之一,同樣可以依賴威脅情報來更簡單、高效的進行處理。在攻擊范圍確定中可以利用預測類型的指標,預測已發現攻擊線索之前或之后可能的惡意活動,來更快速的明確攻擊范圍;同時可以將前期的工作成果作為威脅情報,輸入SIEM類型的設備,進行歷史性索引,更全面的得到可能受影響的資產清單或者其它線索。尤其是借助現有的威脅情報平臺可以很好的對一些關鍵信息緊縮檢索,比如在設備日志中發現了一些可以的ip,那么就可以根據ip進行威脅情報搜索,通過ip的歷史通信記錄、是否與惡意樣本存在過關聯、PDNS、反向域名解析結果等判斷ip的性質,若為惡意ip也可以根據結果順藤摸瓜進一步查詢。

 

3.3態勢感知

 

態勢感知也是一個說了很多年的比較大的概念,在很多人看來好像也沒起到多大的防護效果。這里我們可以換一個更接地氣的名字:安全運營。現在一個稍大一點的企業都會招募自己的安全團隊嗎,建立自己的安全運營中心SOC(Security Operations Center)。SOC的作用一般負責應急響應、安全監測及制定整體的安全策略等工作,隨著威脅情報的興起,情報驅動的安全運營中心ISOC(Intelligence-Driven Security Operations Center )開始被提出來。ISOC具有融合分析大數據的能力,可以產生與企業相關本的自身情報,形成對自身的感知能力(知己);也可以調用外部開源或付費的威脅情報接口,獲取最新的外部咨詢,形成對外的感知能力(知彼),由此產生一定的態勢感知能力。

 

四、未來展望

威脅情報一直是安全行業熱議的話題,實際上在國內的發展還比較薄弱。威脅情報具有優秀的預警能力、快速響應能力,并且能改善管理層之間的溝通、加強策略規劃和投資。但是大部分企業機構并不具備充分利用威脅情報的能力:數據量太大且過于復雜;擁有相關知識的人才匱乏。

 

構建威脅情報體系,協同聯動,可扭轉攻防失衡的局面。什么是攻防失衡呢?通常情況下攻防時間對比如下:

1、攻擊初始化階段,大部分操作在分鐘級就可以完成;

2、數據獲取階段,在分鐘級、時級或者天級可以完成大部分操作;

3、攻擊發現階段,要在月級才能完成大部分操作;

4、數據恢復和防御階段,要在天級以上才能完成。

 

通過對時間的對比就可以看出攻防兩端實際上是不對稱的,這就是為什么這么多年的安全建設依然無法防御網絡上形形色色的威脅。大數據時代,人類利用機器的超級計算能力輔助收集和處理海量數據,從中找出有價值的信息和情報,如何利用好這些信息和情報還是要依賴人的知識和決策能力。獲得實用化情報固然重要,但一個高水平的安全團隊對于利用好這些情報,作出正確的決策是更重要的。任何一個先進的安全情報系統也不可能取代安全團隊。請記住:“人”才是威脅情報利用的核心。掌握了“人”這一力量,方能構建威脅情報體系,協同聯動,扭轉攻防失衡的局面。

地址:甘肅省蘭州市城關區南濱河東路66號

電話:0931-8278968

傳真:0931-8814250-8027

郵編:730000

官網:http://www.v9b2.net/

丧尸来袭百度云下载迅雷下载 后一6码倍投10期计划 老快3遗漏数据查询一定牛 太原沐足推拿转让合作 老虎机电子游艺平台 上海快3跨度走势图 极速时时4个号公式 陕西快乐10分在哪里兑奖 天顺平台注册 日本av片网站 汇聚国际彩票 内蒙古时时彩开奖结果 天天计划软件手机版式