Recorded Future威胁情报手册关键细节分解

admin 2022年5月15日01:12:28信息情报评论11 views2148字阅读7分9秒阅读模式

Recorded Future是威胁情报领域的领导者,最近出版了第四版本威胁情报手册,主题是《建立以情报为主导的安全计划的路线图》,这本书很容易理解,几乎没有什么门槛。这本书是免费电子书,所有人都能研读,笔者参考安全社区和安全人员的读书笔记,给读者再重新梳理一下:


介绍

术语“威胁情报”和“安全情报”通常与对传统 IT 系统的威胁信息相关。


术语“安全团队情报”或简称“情报”更广泛,除了威胁情报外,还包括第三方风险、品牌保护、地缘政治风险、欺诈情报、身份情报等。


什么是安全情报?


数据、信息、情报

  • 数据:为情报分析而收集的离散事件和统计数据(例如,IP 地址、URL、哈希)

  • 信息:结合多个数据点来回答特定问题(例如,回答问题:“本月我的组织机构在社交媒体上被提及多少次?”)

  • 情报:一种分析数据和信息的发现模式,为决策提供上下文参考。它必须指向具体的决策或行动,并为特定的个人、团体、系统进行定制,以便使用它来决策或采取行动


成功的安全情报流程的特征

  • 协作流程和框架(跨部门共享)

  • 360 度可见性(覆盖各种来源)

  • 广泛的自动化和集成(减少人工;与各种安全解决方案集成)

  • 与组织机构和安全用例保持一致(仅收集和处理与组织机构优先级相关的信息;使情报易于使用)


类型和来源


运营(或技术)情报

  • 有关主动攻击、安全事件、攻击活动的知识

  • 被防守者使用

  • 通常来自机器


战略情报

  • 组织机构的整个威胁形势的广泛概述

  • 面向决策者即高管的业务内容

  • 通过报告或简报介绍

  • 必须由专家创造

  • 资料来源:安全公司的趋势和研究报告、政府或非政府组织的政策文件、新闻、发表的文章、中小企业


情报生命周期


生命周期

  1. 方向:为情报计划设定目标

  2. 收集:收集信息以解决最重要的情报要求

  3. 处理:将收集到的信息转换为可用格式

  4. 分析:将信息转化为情报,为决策提供信息

  5. 传播:将完成的情报输出到需要的地方

  6. 反馈:了解情报消费者的需求和优先级,相应调整您的流程


向非技术领导报告

  • 简洁(一页备忘录或几张幻灯片)

  • 避免混淆术语和技术术语

  • 用商业术语表达问题

  • 推荐落地可行方案


SecOps 情报部分 - 分类


组织机构只能调查他们收到总量安全告警中的 48% ,而在被调查的安全告警中,其中也可能只有 26% 是正确的。


漏洞情报

大多数零日只是某种技术的变种,以略微不同的方式利用旧漏洞。因此,与其关注零日漏洞,不如识别和修补组织真正在使用的软件中的漏洞。

如果漏洞在宣布后的 2 周到 3 个月内没有被利用,那么它就不太可能被利用。因此,修补旧漏洞不是优先事项。

您的目标不应该是修补最多的漏洞,甚至是最多的零日威胁,而是要识别和解决最有可能被利用来攻击您的组织的漏洞。

漏洞数据库的价值受限于它们专注于技术可利用性而不是主动利用,而且它们的更新速度太慢,无法对快速传播的威胁发出警告。

通过交叉引用来自多个来源的信息,您可以专注于存在最大实际风险的漏洞,而不是试图修补所有漏洞。


威胁情报部分 - 了解攻击者


暗网社区

  • 低级别地下论坛

  • 更高级别的暗网论坛

  • 暗网市场

  • 许多参与者在低级和高级论坛上发帖,但实际的网络犯罪市场在很大程度上与看到的论坛是脱节的


第三方情报

55% 的组织机构存在来自第三方的入侵违规行为。29% 的人认为他们的合作伙伴会通知他们已经失陷。


需要监控的第三方风险

  • 勒索软件

  • 数据泄露

  • 恶意网络活动

  • 泄露的用户凭据

  • 暗网活动


安全情报分析框架


网络杀伤链

  • 准确描述攻击的 7 个阶段:侦察、武器化、交付、利用、安装、命令和控制、达成目标(数据渗漏)

  • 没有考虑现代攻击(例如,忽略网络钓鱼的利用阶段)


钻石模型

  • 跟踪攻击组织随着时间的推移演变,而不是单个攻击的进展

  • 攻击者的钻石模型不是静止的,它随着攻击者调整 TTP 和更改基础设施和目标而演变

  • 跟踪对手(攻击者)、能力、基础设施(由攻击者使用)、受害者。还可以跟踪阶段、结果、方向、方法、资源

  • 钻石模型需要大量的专家维护,因为攻击可能会迅速变化


MITRE 框架

  • 可信自动情报信息共享 (TAXII):使组织能够共享情报并使用 API 命令提取情报的传输协议。

  • 结构化威胁信息表达 (STIX):用于呈现情报的标准格式。

  • Cyber Observable eXpression (CybOX):在网络安全事件中跟踪可观察的方法。


MITRE ATT&CK

  • 随着时间的推移跟踪对手的行为。

  • 描述与特定对手相关的指标和策略。

  • 14 种战术类别:侦察、资源开发、初始访问、执行、持久性、特权升级、防御规避、凭证访问、发现、横向移动、收集、命令和控制、渗透、影响


情报数据源和类型


暗网情报


规则

  • YARA 规则描述文件中唯一的字符串和字节模式,因此安全产品可以识别、分类和阻止恶意软件

  • Sigma 规则是 SIEM 的威胁签名,用于识别与攻击相关的日志事件

  • Snort 规则帮助 IDS/IPS 系统识别恶意网络活动(扫描、探测等)


自建情报之旅


情报报告内容

  • 可能的威胁参与者

  • TTP

  • 组织机构中的可能目标

  • 威胁是否代表对组织的真正危险

  • 现有安全控制可以缓解威胁的可能性

  • 建议措施


发展核心安全情报团队


情报团队技能

  • 将外部数据与内部遥测相关联

  • 逆向工程恶意软件和复现攻击(取证)

  • 为安全控制提供威胁态势感知和建议

  • 主动寻找内部威胁

  • YARA、Sigma等安全数据工程和签名检测

  • 就网络威胁对员工和客户进行教育

  • 与更广泛的情报社区互动

  • 识别和管理信息源


Recorded Future威胁情报手册关键细节分解


原文始发于微信公众号(QZ的安全悟道):Recorded Future威胁情报手册关键细节分解

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月15日01:12:28
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  Recorded Future威胁情报手册关键细节分解 http://cn-sec.com/archives/1007261.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: