在产生威胁情报需求时,最佳状态是情报的消费方可以准确地描述他们对威胁情报功能的需求和期望,然而实际情况并不能这样完美。许多领导者虽然相信网络威胁情报的价值,但不知道如何利用它。随着时间的推移,他们必须通过与该领域的专家合作来学习这一点——也就是你!主动与情报消费方进行沟通,可以获取情报需求并且改善自己的认知。及时与情报消费方对称情报需求,并给出情报输出的样例(报告、简报、入侵指标、行为分析等),你会了解到情报消费方是如何使用情报的,并且知道如何按照他们的需求来改善情报生产的实际输出成果。最终解决情报消费方的痛点。
这些痛点将成为你生成情报需求的最大机会之一。然而,更好的起点之一是你组织的威胁模型。
作为团队执行所需情报工作的整体规划的一部分,你需要拥有一个良好的收集管理框架(CMF)。CMF是指收集数据的计划。我们需要规划如何收集数据、从哪里收集数据、收集什么类型的数据。最终,在基于我们能够获取的数据上理解我们可以解决什么问题。在试图满足情报需求之前,分析师应该了解他们的CMF是否能够满足该情报需求,或者是否需要先解决他们的CMF问题。
例如,情报需求需要从3个月前发生的入侵中提取对手的行为,而你只有2个月前的系统日志和入侵数据。那么这个情报需求就无法达成,重要的是要确定这个时间范围,来避免将来无法达成情报需求。你的高管是否想要针对特定威胁组织进行归因,但你的团队没有与该组织或实际入侵数据的直接经验?那也将是一个无法自信满足的情报需求。你的主管希望归因特定的威胁组织,但你在团队中没有该威胁组织的第一手经验或实际的入侵数据?这也是不可能完全满足的情报要求。
这是基于恶意软件的数据的示例收集管理框架。当数据满足组织所需的特定要求时,它最有用。收集计划有助于根据组织的需求以及他们可以对哪些数据采取行动来确定组织的最佳数据源。要制定收集计划,首先要根据您可以采取的行动来确定您需要哪些类型的信息。这可能包括您可以发出警报的指标,例如 IP 地址、哈希等,但也可以包括丰富的信息,以帮助您在某些东西生成警报时了解威胁。
接下来,确定哪些威胁源具有您需要的信息。这不仅包括指标类型。还有他们的来源。毕竟,数据来自某个地方,有关它捕获的威胁类型的详细信息有助于确保您收集的提要或数据满足您的需求。可能需要进行一些研究才能找出数据的来源,但这是值得的。简而言之,此过程可帮助您了解可以对数据提出哪些问题。
系统是"根据实现特定目标的计划将相互依赖的组件有序地组合在一起"。系统分析被不同的群体用于不同的目的。它们用于组织管理以构建流程以提高效率,用于新技术的系统设计或集成技术。威胁分析师可以使用系统分析来建立我们对我们组织的基本理解,因此我们可以分析与该系统相关的威胁,或者分析潜在攻击组织并确定他们成功入侵我们组织所需的东西。
系统分析着眼于分析目标的四个组成部分:分析目标的结构、信息或技术、个人或角色以及完成的任务。完整的系统分析还探索导致系统发生变化的力量,包括组织重组等内部力量,以及新法律或政策、技术变革或社会压力等外部力量。
构建系统分析是一个有价值但耗时的过程。威胁建模是专门针对威胁的系统分析的简化版本。每个组织面临的威胁并不完全相同,威胁建模有助于帮助组织内各个安全团队对威胁的认知保持一致。威胁建模可以清楚地展示当前组织安全建设的薄弱环节。
此外,虽然我们可以分析我们对攻击者行为的了解以预测未来的行为,但不能保证攻击者会以这种方式行事。攻击者是人类,他们可以选择做一些不符合行为模式的事情。不管对他们的行为的分析有多好。
多个攻击者或攻击组织可能使用相似的工具和技战术,这使识别攻击者是谁变得困难。例如,如果你在系统上看到很多Poison Ivy 恶意软件,并且你知道 Poison Ivy 恶意软件是由中国攻击组织开发的,但你不应该假设中国正在瞄准你的网络并因此改变你的威胁模型 .
前中央情报局分析员、小组负责人和教师罗伯特·克拉克提出了一个被称为“以目标为中心的情报”的概念,该概念对情报周期采用非线性方法。它将情报分析视为一个活生生的变化过程,涉及许多不同的方面 ,所有这些都有助于理解分析。以目标为中心的方法旨在摆脱情报工作中经常出现的烟囱现象。
此过程创建一个概念模型,用作进一步分析目标的基础。概念模型非常灵活:它可以详细说明威胁组的层次结构和结构,也可以描述网络入侵。
目标可以是个人、团体、正式组织或公司、政府或设施。有许多不同类型的目标;重要的是它们是可以系统地分析和理解的东西。在分析了有关目标的信息后,您可能会意识到您既有新信息,也有新问题,并且发现了新的情报缺口。使用以目标为中心的方法,您可以使用新信息更新目标模型,同时寻找有助于解决长期问题的信息。
当您使用系统分析或以目标为中心的分析为您的组织构建威胁模型时,组织将成为威胁模型中的“第一目标”。在此阶段,您需要确定您拥有的哪些信息或资源可能会成为攻击组织的目标。你有财务信息吗?个人或客户信息?员工的个人身份信息?您是否拥有著作或知识产权?您或其他人是否依赖于您系统的可用性或操作?所有这些东西都可能由于不同的原因而成为不同攻击组织的目标,一旦您了解了自己组织拥有的东西,您就可以开始了解您的威胁概况以及哪些攻击组织可能出于什么原因将您的组织作为目标。
在许多情况下,不同的攻击组织出于特定原因针对不同类型的组织和不同类型的数据进行攻击。在这个领域我们已经可以找到大量信息,使用对攻击者和攻击活动的不同分析报告来了解哪些攻击组织可能会以您为目标。在许多情况下,攻击组织与垂直行业保持一致,以特定类型的信息为目标,或者在黑客行为主义者或其他出于社会动机的行为者的情况下,可能会根据特定事件进行攻击。
同样,我们不可能保证已经捕获了每个攻击组织以及他们可能针对的信息;正如我们之前提到的,攻击者也有发言权,但这将作为一般准则,说明哪些信息可能被哪种类型的攻击者作为目标。
有几种方法可以对细节进行建模; 下面是找到重要细节的一个例子。在这些图表中,同一组织可能因不同原因而成为不同攻击组织的目标。这些攻击组织的详细信息可以包括关于他们的任何重要信息。
当您制定了组织的基本威胁模型,找到了可能成为攻击目标的信息和资源,并且找到了可能以该数据为攻击目标的威胁参与者,您就可以通过围绕模型的几个不同方面继续构建模型 . 一种方法是转移您已确定的信息和资源。这些将成为以目标为中心的模型的新“目标”。您可以深入了解每个类别中的各种类型的信息,更详细地了解此信息的位置、暴露后的风险是什么,以及哪些攻击组织可能只对此类中的某些信息感兴趣。
您还可以将重点放在已识别的攻击组织身上,重点关注他们使用的工具、他们的技术或操作依赖性,以及可能导致他们以您的组织为目标的触发因素。这些新类别中的每一个都可以进一步细分。重要的是,不仅要确定您对每个新目标的了解,还要确定您需要哪些额外信息、从哪里可以获得这些信息,以及您将如何识别任何已识别的工具或活动。
目标中心建模的关键原则之一是减少独立运作的结构。这意味着在构建威胁模型并确定攻击者可能攻击的信息和资源时,确保与组织内的其他人员合作形成整个攻击过程的可视化图片。我们通常会从信息安全的角度来考虑事物,并关注攻击者可能攻击的系统、服务器和其他技术资源。与其他岗位的人交谈会带来新的视角,可能会揭示我们没有想到的其他资产或信息。
攻击者可能瞄准的信息或资源可以包括系统、信息或人员。与多元化的团队合作,了解组织拥有的一切可能成为攻击者目标的东西,可以降低由于我们自己的分析偏见而忽视某些东西的风险。
当我们确定了企业拥有的哪些信息或资源可能成为攻击目标,我们就可以开始确定哪些类型的攻击组织可能将这些信息作为目标。我们可以通过首先查看企业过去见过的威胁类型来开始识别攻击组织。企业的威胁情报将始终与企业本身最相关。为了使信息有用,我们不必归因于特定的攻击组织;简单地了解他们的目标信息可以让我们了解他们属于哪个类别以及他们的动机。
有的情报需求在收集大量的攻击活动和攻击组织的信息后就能满足,而有时,我们可能会收到漏洞管理团队的情报需求,这时我们需要将资产信息更加细粒化,了解资产的软件版本信息,以及资产的软件版本是否在当前攻击组织利用的漏洞影响范围内。
VERIS框架(Vocabulary for Event Recording and Incident Sharing)是一个用于记录和分享安全事件的框架,它提供了一种标准化的方法来描述和分析安全事件,包括数据泄露、网络攻击、恶意软件等。该框架旨在帮助组织更好地了解其面临的威胁,以便采取适当的风险管理措施和保护措施。
VERIS框架由美国国家安全局(NSA)和美国国家研究院(NIST)共同开发,它提供了一个详细的分类体系,涵盖了事件的各个方面,包括受影响的资产、受影响的人员、受影响的业务过程、攻击者的动机和方法等。此外,该框架还提供了一些可操作的指导,帮助组织评估其安全事件响应的成熟度,以及改进其安全事件记录和分享的能力。
VERIS框架被广泛应用于安全行业和学术研究中,它是一种基于实践的方法,可以帮助组织更好地管理其安全风险和应对安全事件。
VERIS的输出最终可能会十分复杂,包含整个事件中的许多细节。但最初VERIS所需要的信息并不多,基本信息只需要事件发生的日期、时间、事件ID等。VERIS中每个事件都有4个必填字段(Action、Asset、Actor、Attribute)。VERIS中的每个字段,默认都有两个选项值(是或否、真或假)当然信息充足时我们可以给字段赋值成实际有意义的内容。
Action字段需要记录是什么行为影响了资产,在一个事件中可能发生了不止一个行为,例如:恶意软件、黑客攻击、社会、滥用、物理、错误和环境。恶意软件包含事件中任何类型的恶意软件;黑客攻击包含漏洞利用;社会包含网络钓鱼等社会工程学攻击;滥用是指已经拥有访问权限的人员滥用其权限造成的事件;物理涉及到对环境的物理访问,例如USB设备;错误包括导致事件的软件错误或服务器配置;环境通常指自然灾害。
Asset字段需要记录事件涉及到的所有资产。大多数事件中,受到影响的资产不是单一的。VERIS中Asset字段可以存储资产的名称、类型等信息,还可以记录资产的使用者信息。
Actor字段需要记录造成事件的相关人员,除了攻击者外,还可能是造成某些事故的员工,或者错误配置防火墙导致事件的服务厂商。VERIS将Actor分为内部、外部、合作伙伴和未知。Actor字段还包括造成事件的动机,例如:间谍攻击、由政治意识形态引发的事件、贪图便利造成的事件等等。
Attribute字段需要记录事件造成的影响,一般可以从CIA三元组(机密性、完整性、可用性)对事件影响进行描述。
https://www.dragos.com/wp-content/uploads/CMF_For_ICS.pdf
https://core.ac.uk/download/pdf/301340224.pdf
原文始发于微信公众号(Desync InfoSec):第五课 威胁情报的计划与执行
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论