威胁情报应用真的很简单吗?|安全村

admin 2022年9月23日13:00:36安全闲碎评论1 views1776字阅读5分55秒阅读模式

威胁情报应用真的很简单吗?|安全村


楔子:“纸上得来终觉浅,绝知此事要躬行”


网络威胁情报(CTI)以及其包含的IOC/IOA(失陷指标/攻击指标)应该如何使用?是不是通过威胁分类、信誉值,与网络或主机环境中的流量或日志对比,从而产生告警,或者通过查询CTI库来进行IOC/IOA的上下文扩充?场景设计在威胁情报应用中起到多大作用?


若干年的应用推广,笔者相信现在很多网络安全人员谈起网络威胁情报,已经是轻车熟路了。然而,网络威胁情报的应用达到了怎样的成熟度,开发出了多少能力,其应用真的很简单吗?





第一幕




威胁情报的应用真的如此简单吗?在进入正题之前,笔者想请大家思考另一个简单的试验。下面的图示是一条绳子,假设它有2米长,以直线姿态平放在你的面前。

威胁情报应用真的很简单吗?|安全村


请给它打个单结,打结后是这个样子的。

威胁情报应用真的很简单吗?|安全村

很简单,不是吗?!




第二幕




哦哦,抱歉,忘记说规则了。


还是那条平放的2米长的绳子。请先用你的双手抓住绳子的两端,现在开始,不可以松开双手,请给绳子打个单结。对的,就像刚刚打的结那样。

(等待……)




第三幕




相信现在你已经找到解决方案并顺利的把绳子按照约定规则打了个单结。原来这的确可以做到,但是需要绕个弯子来解决问题。


接下来,让我们回到网络威胁情报,我们挑选一个常见常用的分类:扫描节点IP地址。识别扫描节点并标记IP地址,并利用扫描IP进行安全应对,例如:封禁,是不是网络安全中相对简单和容易的应用层级?


识别扫描行为,在很多时候被设计为横向扫描检测、纵向扫描检测,关键术语离不开:IP地址段、端口扫描、时间间隔、阈值等。通过发现扫描行为并传播给友军,即完成了情报生成、传播的过程。


那么,当接收到这些扫描节点IP信息,应该如何使用?

(在继续展开前,不妨写下自己的答案)




第五幕




停一停,停一停,先不要向下看。

好了,你应该想到我想说的是,即使是被挑选出来作为案例对象的扫描节点IP,其应用也需要仔细的去思考其变化。


现在假想你就是那个威胁情报厂商的技术人员。看一看如下客户可能会提出的问题:

IDS类设备,使用横向扫描规则、纵向扫描规则,所识别出的扫描行为,从而指证对方对己方的扫描,这些IP地址有多少会在威胁情报的列表中?!




第六幕




是不是很沮丧?网络威胁情报在上一幕中为什么如此狼狈?是时候重新思考一下了,威胁情报的应用有自己的模式,没那么简单。


重新思考后,我们决定尊重威胁情报的特点之一:没有“上帝之眼”,也就是我们的重点应该放在“威胁情报”所“看”的那部分,并对其加以适当应用。


我们要解决网络威胁情报的应用问题,应该如何做?尊重网络威胁情报的基本属性,网络威胁情报的基本属性是利用共享的(利他主义)知识(在这里就是网络威胁情报)实现“知彼”(风险三要素中的威胁)。


让我们回顾一下第三幕中IDS类设备告警的逻辑:在xxx时间窗口内,发生了nnn次扫描行为,即告警(或许更高级一些,利用了异常行为算法,可以通过学习自动调整时间窗口和扫描次数的阈值,这仍然不影响其成为一条规则,只是这条规则是动态的,仍然可以用统计学知识进行规避)。


如果攻击方对IDS类设备的规则也有研究,那么ta会不会尝试采用低频来进行扫描?具有该等知识的扫描者,其威胁能力和风险是否应该被指认?面对以上高等级攻击,如果我们刚好有能够标识出攻击者的信息,例如:IP地址、域名、URL、email、攻击工具的hash,以及其关联信息,是不是能够帮助我们扩大防御圈?


威胁情报应用真的很简单吗?|安全村

是的,威胁情报和IDS(NIDS、HIDS)以及其他安全设备是互补的,IDS应用知识发现未知威胁,而威胁情报是利用已知信息,发现具有同等知识的高阶威胁者。其作用是形成交集,降低入侵逃逸率。




尾声




原来,网络威胁情报的应用细节都没那么简单。基于场景设计威胁情报情报应用,才刚刚开启威胁情报应用的大幕!而应用威胁情报的关键点,则是利用威胁情报的特有属性。


“纸上得来终觉浅,绝知此事要躬行”,期待和同道们畅谈威胁情报的应用场景。


PS:以上故事情节,如有雷同,纯属偶然。




作者介绍

刘广坤,天际友盟技术总监。有着飞行器制造安全系数3.0理念的信息安全工作者。



关于 安全村


安全村始终致力于为安全人服务,通过博客、文集、专刊、沙龙等形态,交流最新的技术和资讯,增强互动与合作,与行业人员共同建设协同生态。

投稿邮箱:[email protected]sec-un.org



原文始发于微信公众号(SecUN安全村):威胁情报应用真的很简单吗?|安全村

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年9月23日13:00:36
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  威胁情报应用真的很简单吗?|安全村 http://cn-sec.com/archives/1312867.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: