运营级情报:运营级情报是给安全分析师或者说安全事件响应人员使用的,目的是对已知的重要安全事件做分析(报警确认、攻击影响范围、攻击链以及攻击目的、技战术方法等)或者利用已知的攻击者技战术手法主动的查找攻击相关线索。
战略级情报:战略层面的威胁情报是给组织的安全管理者使用的,比如CSO。它能够帮助决策者把握当前的安全态势,在安全决策上更加有理有据。包括了什么样的组织会进行攻击,攻击可能造成的危害有哪些,攻击者的战术能力和掌控的资源情况等,当然也会包括具体的攻击实例。
三、意义
传统的防御机制根据以往的“经验”构建防御策略、部署安全产品,难以应对未知攻击;即使是基于机器学习的检测算法也是在过往“经验”(训练集)的基础寻找最佳的一般表达式,以求覆盖所有可能的情况,实现对未知攻击的检测。但是过往经验无法完整的表达现在和未来的安全状况,而且攻击手法变化多样,防御技术的发展速度本质上落后与攻击技术的发展速度。所以需要一种能够根据过去和当前网络安全状况动态调整防御策略的手段,威胁情报应运而生。通过对威胁情报的收集、处理可以直接将相应的结果分发到安全人员(认读)和安全设备(机读),实现精准的动态防御,达到“未攻先防”的效果。
四、开放平台
现在国内外已经建立了许多的威胁情报开放平台。
w 绿盟威胁分析中心
w 360威胁情报中心
w 微步在线
w Virustotal
w Threatcrowd
w Riskiq
五、使用场景
5.1攻击检测与防御
基于威胁情报数据,可以创建IDPs或者AV产品的签名,或者生成NFT(网络取证工具)、SIEM、ETDR(终端威胁检测及响应)等产品的规则,用于攻击检测。比如IP、域名、URL等作为机读情报IOC(国际上通行的机读威胁情报标准有多种,包括:STIX、OpenIOC、IODEF、CIF、OTX等),直接导入设备,进行进出口流量的访问控制。这个方面做的比较好的厂商是Fireeye,其核心产品都可以使用威胁情报数据来增强检测和防御能力。而其他大部分厂商的产品依然无法直接使用威胁情报,这也是阻碍威胁情报落地的困难之一。
乍一看这跟传统的黑白名单似乎没有区别,但实际上IOC具有更好的时效性,情报厂商不断的产生新的IOC,使用者可以不断地获取与自身相关的情报,使得在防护设备中始终保持一份“最新的热名单”,始终保持着对新型攻击的防护能力。一个比较好的例子:
5.2攻击溯源
安全分析及事件响应中攻击溯源是重要的工作内容之一,同样可以依赖威胁情报来更简单、高效的进行处理。在攻击范围确定中可以利用预测类型的指标,预测已发现攻击线索之前或之后可能的恶意活动,来更快速的明确攻击范围;同时可以将前期的工作成果作为威胁情报,输入SIEM类型的设备,进行历史性索引,更全面的得到可能受影响的资产清单或者其它线索。尤其是借助现有的威胁情报平台可以很好的对一些关键信息紧缩检索,比如在设备日志中发现了一些可以的ip,那么就可以根据ip进行威胁情报搜索,通过ip的历史通信记录、是否与恶意样本存在过关联、PDNS、反向域名解析结果等判断ip的性质,若为恶意ip也可以根据结果顺藤摸瓜进一步查询。
这一部分可以参考elknot大佬的文章:
https://zhuanlan.zhihu.com/p/30105006
https://zhuanlan.zhihu.com/p/30160133
https://zhuanlan.zhihu.com/p/30197024
5.3态势感知
态势感知也是一个说了很多年的比较大的概念,在很多人看来好像也没起到多大的防护效果。这里我们可以换一个更接地气的名字:安全运营。现在一个稍大一点的企业都会招募自己的安全团队吗,建立自己的安全运营中心SOC(Security Operations Center)。SOC的作用一般负责应急响应、安全监测及制定整体的安全策略等工作,随着威胁情报的兴起,情报驱动的安全运营中心ISOC(Intelligence-Driven Security Operations Center )开始被提出来。ISOC具有融合分析大数据的能力,可以产生与企业相关本的自身情报,形成对自身的感知能力(知己);也可以调用外部开源或付费的威胁情报接口,获取最新的外部咨询,形成对外的感知能力(知彼),由此产生一定的态势感知能力。
六、未来