威胁情报是任何网络安全项目的重要组成部分,能够让相关组织保持对当前风险的最新了解。从广义上讲,威胁情报包括一个组织开展以教育自己了解网络安全威胁环境的变化的一系列活动,并能将有关不断变化的威胁的信息收纳入其后续网络安全操作中。
威胁情报分为两类,一种是开源(Open-Source)情报,和闭源(Closed-source)情报:
开源情报:
利用网络中现存免费的信息威胁信息。包括安全网址,漏洞数据库,新闻媒体,社交媒体、暗网中的一系列信息、公共和私人信息共享中心、文件和代码库以及安全研究组织中获取信息。有些技术是相当直接的,网络攻击者和企业安全团队都可以使用。例如,攻击者可以通过进行电子邮件收集来制定社会工程攻击的目标名单,他们在网上搜索目标域的有效电子邮件地址,然后使用这些地址来发送网络钓鱼攻击。
闭源情报:
梳理所有这些公开来源的情报可能非常耗时,许多组织根本没有时间来阅读这些数据并挖掘其中的关键情报碎片。整个威胁情报行业已经兴起,通过使用预测分析的封闭源和专有威胁情报产品来支持这些需要帮助的公司。这些产品包括从总结关键安全问题的信息简报到提供参与网络安全威胁活动的IP地址的实时服务。企业可以将这些信息直接发送到防火墙、入侵防御系统和其他安全工具,并利用它们来实时阻止来自可疑IP地址的访问。一些安全组织甚至在他们的网站上发布实时威胁地图,让你直观地看到他们所检测到的攻击。如下所示:
如何去评判一个威胁情报的好坏,可以从如下三个方面入手:时效性(Timeliness)、精确度(Accuracy)和来源可靠性(Reliability)。
威胁指标会表示网络威胁的信息,例如,威胁指标可能包括IP地址、恶意文件签名、通信模式或其他标识符,分析人员可以用它们来识别威胁行为者。
威胁信息仅仅在我们互相分享后能够生效,但是如果将信息分享给同行但是又语言不通,这十分困难。因此,专门有几个框架来帮助我们完成这件事情:
STIX、TAXII和CybOX一起工作,CybOX提供了一个模式,我们可以用它来对不同的威胁进行分类。CybOX被用来定义信息元素,然后我们可以用STIX语言来表示,最后可以使用TAXII来交换STIX格式的威胁信息。除此之外,OpenIOC也是另一个描述和分享安全威胁信息的框架。
我们可以通过上述提到的STIX、TAXII和CybOX在组织的各个系统和同行中共享威胁情报。共享情报的好处主要体现能在如下的部门受益:
为了进一步加强情报共享,信息共享和分析中心(Information Sharing and Analysis Centers或ISACs)将来自相互竞争的组织的网络安全团队聚集在一起,帮助以保密的方式共享特定行业的安全信息。ISACs的目标是在不危及匿名的情况下收集和传播威胁情报。这是竞争对手合作的一种安全方式。
威胁研究是利用威胁情报来了解攻击者的想法的过程,越了解攻击者的心态,我们可以更好地了解如何保护我们的组织免受其攻击。当我们进行威胁研究时,有两种核心技术可以用来识别潜在的威胁:
研究来源:
供应商网站、漏洞反馈、网络安全会议、学术期刊、征求意见稿或发布技术规范的RFC文件、当地行业团体、社交媒体、威胁反馈,以及包含攻击者工具、技术和程序(TTP)细节的来源。
安全专业人员使用威胁建模技术来识别和优先处理威胁,并协助实施安全控制。当识别组织的潜在威胁时,安全专业人员应使用结构化的方法。让我们来看看一个组织可以使用结构化方法来识别威胁的三种方式:
威胁情报是自动化能给我们带来巨大的好处。主要体现在如下几个方面:
机器学习和人工智能开启了一个全新的自动化可能性世界。例如,如果网络安全分析师检测到一种新的恶意软件,他们可以使用自动化的恶意软件签名创建工具来扫描可执行文件,寻找可能用于签名定义文件的独特特征。
威胁猎取是一种有组织、有系统的方法,用来寻找我们网络上的入侵指标。 威胁猎手(Theat hunting)使用久经考验的安全技术和新的预测分析技术相结合,追踪可疑活动的迹象并进行调查。
当我们开始威胁猎取工作时,需要将我们的思维方式从以防御为重点的思维方式转变为以进攻为重点的方式(攻击者的思考方式)。当我们进行威胁搜索时,我们需要做的第一件事是建立一个妥协的假设(assumption of compromise),也就是一个攻击者可能进入我们组织的方式。具体假设的简历,可以根据对威胁行为者的分析和他们的活动,基于威胁反馈,甚至是漏洞咨询或公告。
在某些情况下,我们可能会进行情报融合,将许多不同的来源结合起来。一旦我们确定了我们的假设,我们就会考虑可能与该假设有关的损害指标。这些指标可以是任何不寻常的东西。例如,它们可能包括存储在系统中的不寻常的二进制文件,包括那些已知的恶意内容、未知内容或意外的通知。或者一个指标可能是一个在系统上运行的意外进程,或者一个系统进程对资源的异常消耗。或者我们可能会发现在系统和应用程序中存在意想不到的账户,或分配给这些账户的异常权限。
如果我们会发现网络流量模式的偏差、无法解释的日志条目或对系统、应用程序和设备进行的配置更改,而这些更改与我们的变更跟踪过程并不对应。可以通过将我们自己的威胁情报工作与第三方威胁情报产品和我们的SIM收集的数据相结合,来提高我们的检测能力。一旦我们发现有迹象表明存在入侵,我们就可以进入标准的事件响应流程。 寻找攻击者如何通过我们的网络进行操纵的迹象,并开始遏制、消除和恢复的过程。
参考资料来源:
https://www.linkedin.com/learning/paths/become-a-comptia-security-plus-certified-security-professional-sy0-601