Security+ 学习笔记3 威胁情报

一、威胁情报(Threat intelligence)

威胁情报是任何网络安全项目的重要组成部分，能够让相关组织保持对当前风险的最新了解。从广义上讲，威胁情报包括一个组织开展以教育自己了解网络安全威胁环境的变化的一系列活动，并能将有关不断变化的威胁的信息收纳入其后续网络安全操作中。

威胁情报分为两类，一种是开源(Open-Source)情报，和闭源(Closed-source)情报：

1. 开源情报：
   利用网络中现存免费的信息威胁信息。包括安全网址，漏洞数据库，新闻媒体，社交媒体、暗网中的一系列信息、公共和私人信息共享中心、文件和代码库以及安全研究组织中获取信息。有些技术是相当直接的，网络攻击者和企业安全团队都可以使用。例如，攻击者可以通过进行电子邮件收集来制定社会工程攻击的目标名单，他们在网上搜索目标域的有效电子邮件地址，然后使用这些地址来发送网络钓鱼攻击。

2. 闭源情报：
   梳理所有这些公开来源的情报可能非常耗时，许多组织根本没有时间来阅读这些数据并挖掘其中的关键情报碎片。整个威胁情报行业已经兴起，通过使用预测分析的封闭源和专有威胁情报产品来支持这些需要帮助的公司。这些产品包括从总结关键安全问题的信息简报到提供参与网络安全威胁活动的IP地址的实时服务。企业可以将这些信息直接发送到防火墙、入侵防御系统和其他安全工具，并利用它们来实时阻止来自可疑IP地址的访问。一些安全组织甚至在他们的网站上发布实时威胁地图，让你直观地看到他们所检测到的攻击。如下所示：
   

如何去评判一个威胁情报的好坏，可以从如下三个方面入手：时效性(Timeliness)、精确度(Accuracy)和来源可靠性(Reliability)。

二、管理威胁指标(threat indicator)

威胁指标会表示网络威胁的信息，例如，威胁指标可能包括IP地址、恶意文件签名、通信模式或其他标识符，分析人员可以用它们来识别威胁行为者。

威胁信息仅仅在我们互相分享后能够生效，但是如果将信息分享给同行但是又语言不通，这十分困难。因此，专门有几个框架来帮助我们完成这件事情：

1. Cyber observable eXpression： 或称CybOX，其能帮助我们明确，当我们试图向其他人解释这些事件时，我们可以用什么属性来描述入侵企图、恶意软件和其他可观察的安全事件。
2. Structured Thread Information eXpression： 或称STIX，是一种标准化的语言，用于在组织的系统之间交流安全信息。STIX采用了CybOX框架的属性，并为我们提供了一种语言，我们可以用它来以结构化的方式描述这些属性。
3. Trusted Automated eXchange of Indicator Information： 或称TAXII，是一套在组织的系统之间实际共享安全信息的服务。TAXII提供了一个技术框架，用于交换用STIX语言编写的信息。

STIX、TAXII和CybOX一起工作，CybOX提供了一个模式，我们可以用它来对不同的威胁进行分类。CybOX被用来定义信息元素，然后我们可以用STIX语言来表示，最后可以使用TAXII来交换STIX格式的威胁信息。除此之外，OpenIOC也是另一个描述和分享安全威胁信息的框架。

三、情报共享的好处

我们可以通过上述提到的STIX、TAXII和CybOX在组织的各个系统和同行中共享威胁情报。共享情报的好处主要体现能在如下的部门受益：

1. 如负责积极应对安全事件的事件响应团队；
2. 必须识别可能导致未来事件的潜在弱点的漏洞管理团队；
3. 必须了解网络安全风险大局的风险管理团队；
4. 必须设计控制措施以应对新出现的威胁的安全工程团队；
5. 以及负责积极监测安全环境的威胁指标的检测和监控团队，如安全运营中心。威胁情报的技术框架允许这些职能部门使用的工具和系统之间自动共享信息。

为了进一步加强情报共享，信息共享和分析中心(Information Sharing and Analysis Centers或ISACs)将来自相互竞争的组织的网络安全团队聚集在一起，帮助以保密的方式共享特定行业的安全信息。ISACs的目标是在不危及匿名的情况下收集和传播威胁情报。这是竞争对手合作的一种安全方式。

四、威胁调查

威胁研究是利用威胁情报来了解攻击者的想法的过程，越了解攻击者的心态，我们可以更好地了解如何保护我们的组织免受其攻击。当我们进行威胁研究时，有两种核心技术可以用来识别潜在的威胁：

1. 声誉威胁研究(reputation threat research)： 旨在识别已知在过去从事过恶意活动的行为者。如果我们从自己的防御机制中知道某个特定的IP地址、电子邮件地址或域名在过去被用来对我们进行攻击，我们就可以利用这一信息来阻止未来来自该来源的连接到我们组织的尝试。我们为我们遇到的每个对象分配一个信誉，以避免允许重复访问那些已经证明不值得我们信任的人。
2. 行为威胁研究(behavioral threat research)： 旨在识别那些以不寻常方式行事的人和系统，这些人和系统与攻击者过去的行为方式相似。即使攻击者使用的是一个我们从未见过的全新的IP地址，我们也可能注意到该IP地址的行为模式与过去攻击者的活动相似。声誉研究和行为研究都从不同的角度来探讨威胁识别问题，当它们一起使用时，就会形成一个强大的威胁研究计划。

研究来源：
供应商网站、漏洞反馈、网络安全会议、学术期刊、征求意见稿或发布技术规范的RFC文件、当地行业团体、社交媒体、威胁反馈，以及包含攻击者工具、技术和程序(TTP)细节的来源。

五、识别(identifying)威胁

安全专业人员使用威胁建模技术来识别和优先处理威胁，并协助实施安全控制。当识别组织的潜在威胁时，安全专业人员应使用结构化的方法。让我们来看看一个组织可以使用结构化方法来识别威胁的三种方式：

1. 以资产为重点(Asset Focus)： 一个组织可以使用以资产为重点的方法。在这种方法中，分析员使用组织的资产清单作为分析的基础，并逐个资产进行分析，确定对该资产的潜在威胁。例如，当他们到达组织的网络存在时，他们可能会发现切断一条光缆对网站的持续可用性构成威胁。
2. 以威胁为重点(Threat Focus)： 一个组织可以使用以威胁为重点的方法。使用这种方法，组织会想到所有可能存在的威胁，然后思考这些威胁会如何影响不同的组织信息系统。
3. 服务为重点的(Service Focus)： 一个组织可以使用一个以服务为重点的方法。这最常用于通过互联网向其他组织提供服务的服务提供商。例如，一个向公众公开API的组织可能会考虑到该API提供的所有接口以及可能影响每个接口的威胁。识别一个组织所面临的所有威胁是威胁建模过程的第一步。
   

六、威胁情报自动化

威胁情报是自动化能给我们带来巨大的好处。主要体现在如下几个方面：

1. 自动列入黑名单：将威胁情报服务报告的恶意活动来源的IP地址自动列入黑名单，这些威胁情报服务通常包括一个IP地址的直接反馈，当在其客户的网络中检测到恶意活动时，会实时更新。这些威胁情报的设计是为了与防火墙、入侵防御系统、路由器和其他具有自动拦截流量能力的设备直接整合。
2. 自动整合信息流：当我们从各种来源收到威胁信息，也可以使用自动化来把从这些信息中收到的信息合并成一个单一的情报流。
3. 自动的事件响应：通常事件响应都是手工操作，涉及到各种领域的知识、个人经验和直觉的应用。虽然事件响应很可能总是涉及到人工干预的重要组成部分，但一些组织在将其事件响应计划的部分内容自动化方面正在取得成功。事件响应自动化的最佳起点之一是为人类分析员提供自动化的事件响应数据充实，为他们节省调查事件常规细节的繁琐时间。所有这些行动都可以在检测到事件后立即进行，并附加到跟踪系统中的事件中，供网络安全分析人员审查。

机器学习和人工智能开启了一个全新的自动化可能性世界。例如，如果网络安全分析师检测到一种新的恶意软件，他们可以使用自动化的恶意软件签名创建工具来扫描可执行文件，寻找可能用于签名定义文件的独特特征。

七、威胁猎手(Theat hunting)

威胁猎取是一种有组织、有系统的方法，用来寻找我们网络上的入侵指标。 威胁猎手(Theat hunting)使用久经考验的安全技术和新的预测分析技术相结合，追踪可疑活动的迹象并进行调查。

当我们开始威胁猎取工作时，需要将我们的思维方式从以防御为重点的思维方式转变为以进攻为重点的方式(攻击者的思考方式)。当我们进行威胁搜索时，我们需要做的第一件事是建立一个妥协的假设(assumption of compromise)，也就是一个攻击者可能进入我们组织的方式。具体假设的简历，可以根据对威胁行为者的分析和他们的活动，基于威胁反馈，甚至是漏洞咨询或公告。

在某些情况下，我们可能会进行情报融合，将许多不同的来源结合起来。一旦我们确定了我们的假设，我们就会考虑可能与该假设有关的损害指标。这些指标可以是任何不寻常的东西。例如，它们可能包括存储在系统中的不寻常的二进制文件，包括那些已知的恶意内容、未知内容或意外的通知。或者一个指标可能是一个在系统上运行的意外进程，或者一个系统进程对资源的异常消耗。或者我们可能会发现在系统和应用程序中存在意想不到的账户，或分配给这些账户的异常权限。

如果我们会发现网络流量模式的偏差、无法解释的日志条目或对系统、应用程序和设备进行的配置更改，而这些更改与我们的变更跟踪过程并不对应。可以通过将我们自己的威胁情报工作与第三方威胁情报产品和我们的SIM收集的数据相结合，来提高我们的检测能力。一旦我们发现有迹象表明存在入侵，我们就可以进入标准的事件响应流程。 寻找攻击者如何通过我们的网络进行操纵的迹象，并开始遏制、消除和恢复的过程。

参考资料来源：
https://www.linkedin.com/learning/paths/become-a-comptia-security-plus-certified-security-professional-sy0-601