威脅情報怎么用?

2017-04-26 +9 336715人圍觀 ,發現 6 個不明物體 觀點

威脅情報在國內已經火了幾年,威脅情報怎么用,具體的使用場景是什么,這方面的話題似乎較少。下面想根據個人所知,談談這方面,不完善準確的地方也請大家指正。

有些時候情報和威脅情報很容易被劃等號,其實不然。威脅情報(和攻擊者相關)、漏洞情報(和脆弱點相關)、資產情報(內部IT業務資產和人的信息),都屬于情報的范疇,但作用和生產維護方法都不同,需要明確區分。它們都是安全分析需要的信息,資產和漏洞在多年前就一直被重視,甚至安全建設就是被認為是圍繞著資產和漏洞的。現實中攻防對抗的不斷演進,讓我們不得不進入主動安全建設階段(或者說自適應安全架構ASA),我們需要更多的去關注威脅,讓威脅情報去引領安全建設,進一步的完善檢測、分析、預測預防的能力,并由此發現防御上的不足,給予針對性的完善。這種動態平衡的安全理念,成為被廣泛接受的安全建設指導思路。

言歸正傳,下面就具體談談威脅情報的種類。基于整體應用場景,我們可以將情報分為3類:以自動化檢測分析為主的戰術情報、以安全響應分析為目的的運營級情報,以及指導整體安全投資策略的戰略情報。

戰術級情報

戰術情報的作用主要是發現威脅事件以及對報警確認或優先級排序。常見的失陷檢測情報(CnC 情報)、IP情報就屬于這個范疇,它們都是可機讀的情報,可以直接被設備使用,自動化的完成上述的安全工作。

失陷檢測情報,即攻擊者控制被害主機所使用的遠程命令與控制服務器情報。情報的IOC往往是域名、IP、URL形式(有時也會包括SSL證書、HASH等形式),這種IOC可以推送到不同的安全設備中,如NGFW、IPS、SIEM等,進行檢測發現甚至實時阻截。這類情報基本上都會提供危害等級、攻擊團伙、惡意家族等更豐富的上下文信息,來幫助確定事件優先級并指導后續安全響應活動。使用這類情報是及時發現已經滲透到組織APT團伙、木馬蠕蟲的最簡單、及時、有效的方式。

IP情報是有關訪問互聯網服務器的IP主機相關屬性的信息集合,許多屬性是可以幫助服務器防護場景進行攻擊防御或者報警確認、優先級排序工作的。譬如:利用持續在互聯網上進行掃描的主機IP信息,可以防止企業資產信息被黑客掌握(很多時候黑客對那些主機開放了SMB端口、那些可能有Struts 2 漏洞比企業的網管掌握的更清楚);利用在互聯網進行自動化攻擊的IP信息可以用來進行Web攻擊的優先級排序;利用IDC主機或終端用戶主機IP信息可以用來進行攻擊確認、可疑行為檢測或垃圾郵件攔截;而網關IP、代理IP等也都各自有不同的作用,相關場景很多,就不一一列舉了。

運營級情報

運營級情報是給安全分析師或者說安全事件響應人員使用的,目的是對已知的重要安全事件做分析(報警確認、攻擊影響范圍、攻擊鏈以及攻擊目的、技戰術方法等)或者利用已知的攻擊者技戰術手法主動的查找攻擊相關線索。第一類活動屬于事件響應活動的一部分,第二類活動更是有一個高大上的名字“安全狩獵”。

事件響應活動中的安全分析需要本地的日志、流量和終端信息,需要企業有關的資產情報信息,也需要運營級威脅情報。這種情況下情報的具體形式往往是威脅情報平臺這樣為分析師使用的應用工具。有一個和攻擊事件相關的域名或IP,利用這個平臺就有可能找到和攻擊者相關更多攻擊事件及詳情,能夠對攻擊目的、技戰術手法有更多的認識;通過一個樣本,我們能夠看到更多的相關樣本,也可以對樣本的類型、流行程度、樣本在主機上的行為特征有更多的了解;同樣的利用這個平臺可以持續的跟蹤相關的攻擊者使用的網絡基礎設施變化;發現相關資產是否已經被攻擊者所利用,等等。

安全狩獵是一個基于已知技戰術手法(TTP:技術、工具、過程)發現未知威脅事件,同時獲得進一步黑客技戰術相關信息的過程。安全狩獵的過程需要特定的內部日志、流量或終端數據和相應分析工具,還需要掌握有較豐富對手技戰術手法的安全分析師。這類情報往往通過基于安全事件的分析報告,或者特定的技戰術手法數據庫得到,國際上在這方面已經有較多的進展,包括了各類開源或限定范圍的來源可以提供這樣的信息,而國內相對較少,并且一些安全事件報告因為這樣那樣的問題,并不能公開發表最寶貴的TTP層面分析內容。

戰略級情報

戰略層面的威脅情報是給組織的安全管理者使用的,比如CSO。一個組織在安全上的投入有多少,應該投入到那些方向,往往是需要在最高層達成一致的。但面臨一個問題,如何讓對具體攻防技術并不清楚的業務管理者得到足夠的信息,來確定相關的安全投資等策略?這時候如果CSO手中有戰略層面的情報,就會成為有力的武器。它包括了什么樣的組織會進行攻擊,攻擊可能造成的危害有哪些,攻擊者的戰術能力和掌控的資源情況等,當然也會包括具體的攻擊實例。有了這樣的信息,安全投入上的決策就不再是盲目的、而是更符合組織的業務狀況及面臨的真實威脅。

小結

威脅情報大體就這三種類型,分別用來支撐安全運維人員、安全分析師和安全管理者。但在一篇短文中是不可能覆蓋這些類型的所有使用場景的,并且這也是個創新領域,會不斷的涌現出更多的應用場景和方式,希望能聽到更多的聲音,告訴大家遇到的、想到的。

*本文作者:ZenMind,轉載請注明來自FreeBuf.COM

更多精彩
相關推薦

這些評論亮了

  • 騰訊管家 回復
    威脅情報分為四大類:
    - 戰術級情報
    - 運營級情報
    - 戰略級情報
    - 吹牛級情報
    )9( 亮了
發表評論

已有 6 條評論

取消
Loading...
ZenMind

這家伙太懶,還未填寫個人描述!

8 文章數 7 評論數 0 關注者

特別推薦

推薦關注

官方公眾號

聚焦企業安全

活動預告

填寫個人信息

姓名
電話
郵箱
公司
行業
職位
css.php 什么app能玩二人麻将