楔子:“纸上得来终觉浅,绝知此事要躬行”
网络威胁情报(CTI)以及其包含的IOC/IOA(失陷指标/攻击指标)应该如何使用?是不是通过威胁分类、信誉值,与网络或主机环境中的流量或日志对比,从而产生告警,或者通过查询CTI库来进行IOC/IOA的上下文扩充?场景设计在威胁情报应用中起到多大作用?
若干年的应用推广,笔者相信现在很多网络安全人员谈起网络威胁情报,已经是轻车熟路了。然而,网络威胁情报的应用达到了怎样的成熟度,开发出了多少能力,其应用真的很简单吗?
第一幕
威胁情报的应用真的如此简单吗?在进入正题之前,笔者想请大家思考另一个简单的试验。下面的图示是一条绳子,假设它有2米长,以直线姿态平放在你的面前。
第二幕
哦哦,抱歉,忘记说规则了。
还是那条平放的2米长的绳子。请先用你的双手抓住绳子的两端,现在开始,不可以松开双手,请给绳子打个单结。对的,就像刚刚打的结那样。
(等待……)
第三幕
相信现在你已经找到解决方案并顺利的把绳子按照约定规则打了个单结。原来这的确可以做到,但是需要绕个弯子来解决问题。
接下来,让我们回到网络威胁情报,我们挑选一个常见常用的分类:扫描节点IP地址。识别扫描节点并标记IP地址,并利用扫描IP进行安全应对,例如:封禁,是不是网络安全中相对简单和容易的应用层级?
识别扫描行为,在很多时候被设计为横向扫描检测、纵向扫描检测,关键术语离不开:IP地址段、端口扫描、时间间隔、阈值等。通过发现扫描行为并传播给友军,即完成了情报生成、传播的过程。
那么,当接收到这些扫描节点IP信息,应该如何使用?
(在继续展开前,不妨写下自己的答案)
第五幕
停一停,停一停,先不要向下看。
好了,你应该想到我想说的是,即使是被挑选出来作为案例对象的扫描节点IP,其应用也需要仔细的去思考其变化。
现在假想你就是那个威胁情报厂商的技术人员。看一看如下客户可能会提出的问题:
IDS类设备,使用横向扫描规则、纵向扫描规则,所识别出的扫描行为,从而指证对方对己方的扫描,这些IP地址有多少会在威胁情报的列表中?!
第六幕
是不是很沮丧?网络威胁情报在上一幕中为什么如此狼狈?是时候重新思考一下了,威胁情报的应用有自己的模式,没那么简单。
重新思考后,我们决定尊重威胁情报的特点之一:没有“上帝之眼”,也就是我们的重点应该放在“威胁情报”所“看”的那部分,并对其加以适当应用。
我们要解决网络威胁情报的应用问题,应该如何做?尊重网络威胁情报的基本属性,网络威胁情报的基本属性是利用共享的(利他主义)知识(在这里就是网络威胁情报)实现“知彼”(风险三要素中的威胁)。
让我们回顾一下第三幕中IDS类设备告警的逻辑:在xxx时间窗口内,发生了nnn次扫描行为,即告警(或许更高级一些,利用了异常行为算法,可以通过学习自动调整时间窗口和扫描次数的阈值,这仍然不影响其成为一条规则,只是这条规则是动态的,仍然可以用统计学知识进行规避)。
如果攻击方对IDS类设备的规则也有研究,那么ta会不会尝试采用低频来进行扫描?具有该等知识的扫描者,其威胁能力和风险是否应该被指认?面对以上高等级攻击,如果我们刚好有能够标识出攻击者的信息,例如:IP地址、域名、URL、email、攻击工具的hash,以及其关联信息,是不是能够帮助我们扩大防御圈?
尾声
原来,网络威胁情报的应用细节都没那么简单。基于场景设计威胁情报情报应用,才刚刚开启威胁情报应用的大幕!而应用威胁情报的关键点,则是利用威胁情报的特有属性。
“纸上得来终觉浅,绝知此事要躬行”,期待和同道们畅谈威胁情报的应用场景。
PS:以上故事情节,如有雷同,纯属偶然。
作者介绍
刘广坤,天际友盟技术总监。有着飞行器制造安全系数3.0理念的信息安全工作者。
关于 安全村
安全村始终致力于为安全人服务,通过博客、文集、专刊、沙龙等形态,交流最新的技术和资讯,增强互动与合作,与行业人员共同建设协同生态。
投稿邮箱:info@sec-un.org
原文始发于微信公众号(SecUN安全村):威胁情报应用真的很简单吗?|安全村
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论