我们已经看过许多威胁情报的演讲和文章,也向很多专业人员咨询过威胁情报怎样利用的问题。其中抱怨最多的就是:现在所谓的威胁情报根本就是聚焦点很窄的平面(flat)数据。有时候,这些数据会派上用场,但多数时候,根本没用。
原始数据,比如签名和IP地址列表,只要没经过验证或者缺乏上下文,就不能称之为情报。多数专家认为,还是需要一个清楚业务需求的人来分析这些平面数据并作出判断。
举个例子:
一份关于勒索软件CryptoLocker及其相关IP地址的数据反馈,并不能解释清楚如何减轻风险,也帮不了公司决策该如何反应。换句话说,这么一份反馈,或者说情报,不具备可行性。不幸的是,一些厂商出售的,还就是这样的东西——未经处理的粗陋数据反馈。
一位安全从业人员对此案例评价道:“你最多能用这东西封锁一些命令和控制服务器,查看一下数据流向,检查公司里有没有人的机器被感染了——通常都只是事后补救了,不过至少你可以给点反应。这还是在假设你拥有安全信息和事件管理(SIEM)系统,或者有专门的团队处理事件响应和调查的情况下。”
选购威胁情报解决方案的最终目标,就是获得可行性情报支持。而只有经过评估和验证的情报,才具备可行性;否则,就仅仅只是原始信息而已。
基本上,公司和机构都希望知道:
谁在攻击?为什么要攻击?怎样攻击的?
我们的竞争对手也被攻击了吗?
商业合作伙伴有没有被攻击?或者,是针对整个行业的攻击有所上升?
攻击能力和攻击方式是什么?
攻击者的常用工具和攻击策略是什么?
可想而知,总有数据反馈能够提供回答所有这些问题的零零散散的信息。但,再次强调,这没什么卵用!缺少了上下文,这些信息你用不起来。
对公司而言,威胁情报的长期价值,在于驱动改变的能力。
经验证的威胁情报(或者有着适当上下文的数据)应该能改变行为——无论这些行为是否是安全运营中心(SOC)确定并响应警报的做法;是否是用户判断并处理网络钓鱼邮件的方式;是否是决策者和高管投资安全项目或优先考虑长期安全计划的行动。某些情况下,威胁情报将帮助事件响应(IR)团队争取到更短的检测和响应时间——切实的好处。
一名分析师的案例:
最近金融行业的一名安全从业人员接受了采访,透露了他们的威胁情报使用体验,以及威胁情报是怎样影响他们的操作的。出于保护他们公司和客户的考虑,我们就称他为M吧。
M说,涉及到数据反馈和处理多种来源的大量信息时,一个很大的问题在于,公司能不能成功管理起这些数据,能不能获得需要的定制数据。
“目前,我所在的金融公司主要利用日志分析软件Splunk,将通用黑名单和开源情报反馈与我们边界设备记录下来的地址、蜜罐和金融服务信息共享与分析中心(FS-ISAC)的通报关联起来。”
作为一名分析师,小M要审查特定的FS-ISAC数据,查找金融相关网络钓鱼、凭证窃取、诈骗相关数据,并与她的团队和公司风险高管共享这些信息。必要的话,他们有时候也会与FS-ISAC共享网络钓鱼或诈骗指示器相关信息。
“我们曾一度采用统一威胁共享工具,付费和开源的都用过。我们从FS-ISAC弄了个早期版本的Soltra服务器,但那需要大量的数据库知识才能管理。随着时间的推移,出现了很多需要跨团队介入才能解决的问题,而我们缺乏人手。”
“鉴于我们目前的处理过程适合公司当前规模,在砸钱引进解决方案上我们有一点点顾虑。不是没有尝试过一些看起来靠谱的付费产品/设备,尤其是Vorstack。然而,因为预算调整,我们觉得当前拥有的东西就足以应付需要处理的数据/威胁规模了。”
那么,工作流究竟是怎样的呢?
小M的大多数安全设备,都已经可以基于厂商提供的指示器反馈来响应/封锁/报警威胁了。但是,在社会工程和人际互动会引入风险的地方,小M的团队会将这些信息与员工们共享。
比如说,向HR发出简历相关的攻击行动警报。但人工筛查只在必要的时候进行,因为他们觉得,当我们已经向非以安全为中心的团队提供了太多数据时,警报疲惫就相当可观了。
那么,事关警报,多少数据才算太多呢?
“我们现在只寻找特别针对金融公司的威胁了,比如与已知诈骗活动相关的数据、面向金融行业的DDoS威胁、网络钓鱼/凭证窃取、高管级鲸钓尝试、具金融性质的特定水坑攻击……”
政治活动相关的威胁也要进行监测和走势预测,以防存在攻击者重叠。不过,通常,暴力攻击IP本质上很杂乱,小M的公司启用了他们的防火墙、入侵检测系统、负载平衡厂商的黑名单,以及其他启发式/流量行为检测机制来对抗。
“例如,针对政府的水坑攻击、匿名攻击等等,对我们的影响就没有那些可以在较大型金融机构遭到攻击时提前听说的银行木马、偶发匿名金融攻击等的大。”
FS-ISAC在价值,在于对社会工程诱饵、诈骗策略,以及特定攻击“诡计”的描述和建议。这些具体信息能帮助安全团队准备对员工的培训,通过内部网络钓鱼演练和一般的安全意识培养都能达到效果。
原始数据的相互关联非常有用。只要收到能帮安全团队理解攻击模式的情报,他们通常都可以预测出相关的攻击工具变体,通报给事件响应团队和可能会被盯上的员工。攻击指征(Indicator)是很好用的,但如果团队理解了攻击行为或目标,而不是只面对一堆静态数据,它们也就不是那么重要了。
“之前就这么说的,但情报总是太多太杂,公司真正需要的是可行性情报,跟那些24小时前遭到的每条暴力攻击原始情报数据完全不是一码事,到那时候,我们的设备早都收到新的黑名单了。”
“每个行业都有自己特别的需求,大多数威胁情报提供商给出的是高压水枪式喷涌的数据,需要空间管理和人力审查,得精挑细选出对公司真正有影响的,以及真正应该响应的。”
本文转自d1net(转载)