1 从 被 动 防 御 向 主 动 防 御 的 转 变
安全行业逐渐从合规驱动向对抗驱动、从被动防御向主动防御演进。《关键信息基础设施网络安全保护基本要求》中指出:“主动防御:以应对攻击行为的监测发现为基础,主动采取收敛暴露面、捕获、溯源、干扰和阻断等措施,开展攻防演习和威胁情报工作,提升对网络威胁与攻击行为的识别、分析和主动防御能力;”。同时提出了主动防御的主要工作内容包括:收敛暴露面、攻击发现和阻断、攻防演练、威胁情报。
近年来,威胁情报的含义和应用在不断的发生变化。传统网络威胁情报(CTI)主要以IOCs碰撞、追踪溯源应用为主,侧重在事中和事后。扩展威胁情报(XTI)侧重在事前和预防,将防御者思维调整到攻击者思维,从攻击者视角提供了对情报的持续可见性,通过第一时间预警来缩短威胁的检测和响应时间,使组织能够主动应对风险。
攻击面管理平台能够帮助组织监控和处理多种数据源,包括社交媒体、SSL证书、域名信息、漏洞数据库、违规数据集、深网暗网资源、代码存储库等。扩展威胁情报(XTI)技术则能充分利用海量情报数据与组织攻击面的进行关联分析、智能研判,生成可操作的威胁情报,其作用更加直接,可有效的协助组织及时进行攻击面收敛。
扩展威胁情报,在检测、取证、溯源、画像、预警、预防等方面,发挥也越来越深入的作用,成为攻击面管理平台"主动防御"理念的核心驱动力。
2 扩 展 威 胁 情 报 类 型
扩展威胁情报的类型如下:
2.1 威胁情报(CTI)
威胁情报(CTI)分两个层面,分别为威胁情报资讯、实时威胁源预警。
实时提供针对用户的正在攻击的威胁源信息,通过威胁情报平台,结合用户本地化的安全防护手段,尤其是蜜罐类误报比较低的安全技术手段,通过“本地化蜜罐”+“TIP”+“现有安全防护平台/设备”,构建企业“自循环、高质量”的内生情报运营体系,结合防护手段实现攻击源的自动化封禁,实现对威胁的快速响应研判处置。
《“DecoyMini蜜罐+TIP+安全网关”,构建内生情报运营体系,支撑实战攻防演习 》
《“基于"DecoyMini蜜罐+TIP+安全网关”,构建自动化“内生情报”体系的思考及实践(二) 》
2.2 漏洞情报
漏洞情报为组织提供及时精准的漏洞情报资讯,快速定位受影响产品或系统,并给出修复方案和缓解方案。结合系统的组件及版本进行漏洞识别是比较有效快速的方式,关键的漏洞可以进一步通过POC进行验证。
2.3 数据泄露情报
以攻击队视角,聚焦于监控互联网/暗网/深网等网络中客户的敏感信息泄露情况的情报服务,监控范围覆盖互联网的各种信息泄露渠道,包括互联网各类公开应用如搜索引擎类、代码托管平台类、漏洞平台类、网盘类、文库类、社交平台类、社工信息类、业务相关类、资产信息类等平台。
2.4 供应链情报
提供暗网上的与组织相关的敏感数据泄露、违法黑产交易、黑产舆情等情报,监测范围包括隐匿暗网平台、黑客论坛、勒索团伙站点、匿名社交软件等。
暗网泄露情报样例如下:
3 小 结
攻击面管理突出实战对抗、全面监测、快速响应、情报协同,是主动防御思想的重要表现形式和落地方法,也是网络安全行业发展重要方向之一。
攻击面管理能力介绍的系列文章,可移步本公众号相关文章:
《“攻击面管理”能力之(1):“数字资产暴露面识别”是攻击面管理的基础》
《“攻击面管理”能力之(2):“数字风险监测”是攻击面管理的必备能力》
《“攻击面管理”能力之(4):“扩展威胁情报”是主动防御理念的核心驱动力》
叠加赋能、共建生态,打造精细化高效率分析引擎!
道长且阻、行则将至,做数字经济时代安全守望者!
watcherlab
做数字经济时代的安全守望者
长按扫码可关注
原文始发于微信公众号(守望者实验室):“攻击面管理”能力之(4):“扩展威胁情报”是主动防御理念的重要落地方法
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论