什么是威胁情报?
根据魔力象限Gartner对于威胁情报的定义,威胁情报是某种基于证据的知识,包括上下文、机制、标示、含义和能够执行的建议,这些知识与资产所面临已有的或酝酿中的威胁或危害相关,可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持。在安全圈内,大多数所说的威胁情报都被认为是狭义的威胁情报,其主要内容为用于识别和检测威胁的失陷标识,如文件散列值、IP地址、域名、程序的运行路径、注册表项等,以及这些属性相关的归属标签。
威胁情报这几年来并不陌生,安全工作人员可以经常在安全会议或厂商举办的巡展上听到过关于威胁情报的讨论。并且,我们也经常被安全厂商们灌输,威胁情报可以减少企业调查安全事件的时间的想法。此外,企业高层在阅读了一篇关于APT的攻击的报告后,也可能脑子一热地去要求安全人员针对性地保护企业信息安全。无论我们是否已经留意到,在世界范围内,上至跨国企业,下至中等规模企业,他们的信息安全团队正在竞相将威胁情报添加到他们的安全程序中。但威胁情报在某种程度上也存在着一定的误解,如:威胁情报只是数据摘要和PDF报告;或者只是为事件响应团队提供的研究服务;或者需要一个由天价的精英分析师组成的专门团队。
事实上,威胁情报已经为众多网络管理机构解决了许多问题。例如,威胁情报解决了安全运维团队面临大量告警的挑战而无从下手的问题;又例如威胁情报为妥协指标(IOCs)增加了有价值的关联线索,并有助于对安全事件进行分类;如在威胁情报的帮助下,事件响应能够从更多角度去全方面地阻止入侵;如情报部门提供实时的信息来遏制、追踪和消除威胁等。威胁情报有利于企业高层对当前安全事件的影响和未来事件的成本做出决策。所以,威胁情报究竟何德何能,能够让每个企业的每个信息安全工作者都从中受益呢?从它的生命周期(Lifecycle)中可能可以找出答案。
威胁情报的生命周期
威胁情报是建立在政府和军事机构数十年来磨练出来的分析技术之上的。传统的情报工作集中在六个不同的阶段,这六个阶段构成了所谓的“情报周期”:
1.需求;
2.收集;
3.处理;
4.分析;
5.传播;
6.反馈。
下图描述了威胁情报这六个生命周期的匹配关系:
1.需求:
生命周期的需求阶段,是为威胁情报设置目标的阶段。这包括需要安全人员理解和表达以下几点:
需要保护的信息资产和业务流程;
这些资产的遗失或内部流程的破坏的潜在影响;
安全组织为保护资产和应对威胁而要求的威胁情报类型;
优先考虑需要保护什么。
一旦确定了高级的情报需求,各组织就能具体化自己对信息的需求。例如,如果组织目标是了解并发现潜在的竞争对手,那么一个合乎逻辑的想法是,“有哪些人正在暗网论坛中主动搜索有关我方组织的数据?”
2.收集:
收集是采集信息并满足信息成为威胁情报要求的过程。信息收集可以通过各种方式有组织地进行,其中包括:
从内部网络和安全设备中提取元数据和原始日志;
从行业组织和网络安全供应商订阅威胁数据;
有针对性的采访业内知情人士;
定期扫描开源的资源和威胁发布博客;
定期抓取和收集各类安全网站和论坛的资讯信息;
渗透闭源的地下论坛,如暗网论坛。
收集的数据通常是已完工的信息的**,如来自网络安全专家和供应商的威胁情报报告。或者也可能是原始数据,比如恶意软件的签名、低信任级别的网站的域名等。
一般情况下,威胁情报收集工作需要包含以下资源点:
① 技术来源(例如,威胁源)。技术来源往往伴随着巨大的工作量,但通常情况下这些资源都是免费的。技术来源很容易与现有的安全技术集成,但不可避免的,这么做往往会包含一定比例的误报和过时的结果。
② 媒体(例如,安全网站,供应商研究)。这些来源通常提供关于新出现的威胁的有用信息,但是安全人员很难将这些威胁与技术指标联系起来以度量风险。
③ 社交媒体是拥有大量有价值数据的社交渠道,但获取这些数据这是要付出相应的代价的。社交媒体上同时存在着大量的错误假设和错误信息,并且这些都充满了随机性。因此安全人员需要有强大的洞察力来决定哪些是有用的情报,并且需要梳理大量交叉引用与其他来源的信息。
④ 威胁行为论坛是针对性地进行相关威胁讨论地地方,在论坛中能搜集到方方面面的建议和见解。但是尽管如此,信息的分析和交叉引用仍然是确定什么才是真正有价值的数据的关键。
⑤ 暗网(包括市场和论坛),虽然通常是极具价值的情报的诞生地,但暗网资源可能极其难以访问,尤其是那些承载着严重犯罪社区的资源。
通常,安全人员需要多个情报来源来全面了解潜在和实际的威胁。它们包含了防火墙和路由器日志、网络包捕获工具和漏洞扫描等内部资源;如漏洞数据库和威胁数据摘要的技术来源;以及包括传统媒体和社交媒体、网络安全论坛和博客、以及暗网论坛等的人力资源。缺少其中任何一项都会拖累威胁情报收集的速度,并且在事后补救环节造成信息空缺。
3.处理:
处理是将收集到的信息转换为组织可用的格式。几乎所有收集到的元数据都需要以某种方式进行处理,无论是由人工还是由机器。不同的收集方法收集到的数据通常需要不同的处理方法去处理。适应人类阅读的报告通常需要数据相互关联、数据排序、数据纠错和数据校验。例如,企业能够从供应商的报告中搜集到一部分IP地址,并将其添加到表格文件中,以便导入安全信息和事件管理器(SIEM)。在技术含量更高的环境中,数据处理可能包含从电子邮件中提取相关标识,使用其它信息填充它们,随后与终端安全防护工具进行通信,实现自动阻断,从而进行防护。
4.分析:
分析是一个基于人类行为的过程,它将处理过的信息转化为能够为企业提供决策的威胁情报。根据具体的情况,这些决策可能包括:是否对潜在威胁进行防范;应该立即采取什么行动来阻止攻击和如何进行企业的安全管控;或者在额外的安全资源上投入多少资金是合理的?情报分析师必须清楚地了解谁将使用他们的威胁情报,以及他们会做出什么样的决策。因此至关重要的一点是,情报分析师提供的威胁情报必须被认为具有操作性的,而不是学术性的。所以,信息呈现的形式显得尤其重要。如果威胁情报以一种非专业技术人员无法理解的方式呈现,那么收集和处理这些威胁情报就变得毫无意义又浪费资源。
5.传播:
威胁情报的传播指将完成的情报输送到它需要去的地方。大多数网络安全组织至少有6个团队可以从威胁情报关联中获益。组织或企业在使用威胁情报时可以从以下几个角度进行参考:
企业需要什么样的威胁情报?并且这些外部信息如何在业务上支持企业运行?
威胁情报应该以何种表达方式进行呈现?
企业应该多久更新一次威胁情报,和其他相关联的信息?
企业整体的信息安全意识是否已经达到一定的标准?
6.反馈:
了解组织的总体情报优先级,并汇总威胁情报是至关重要的。通过反馈,安全人员能够明白要收集什么类型的数据、如何处理和丰富数据、如何更有效地分析这些信息、威胁情报需要以多快的速度传播、以及事件应急响应的反应应该有多快等。
*本文作者:yudun2019,转载请注明来自FreeBuf.COM