威胁情报如何改进 DDoS 保护

分布式拒绝服务 (DDoS) 攻击已成为各种企业的主要威胁，从最小的跨国公司到最大的跨国公司。

根据 2022年全球威胁分析报告，恶意DDoS攻击较2021年增长了150%。此外，DDoS攻击的频率也出现显着上升，令人担忧。

在全球范围内，组织在 2022 年第四季度平均每天减少 29 次攻击，是 2021 年底每天大约 8 次攻击的 3.5 倍。但是，与 2021 年相比，DDoS 攻击不仅在绝对数量，但它们也更强大、更频繁和更复杂，跨越更多的攻击向量。

全球激增是许多企业现在转向威胁情报源作为保护其网络免受 DDoS 攻击投资的一部分的原因。               

但什么是威胁情报源？它是关于已知和新兴威胁的数据集合。

在 DDoS 保护空间中，威胁情报源提供有关已知 DDoS 攻击及其特征的信息，例如源攻击者的 IP、发起的攻击类型和目标 IP 地址。

这些提要的结构范围很广，可能包括攻击模式、事件、恶意软件、网络钓鱼活动等。

通常，威胁情报源是由专门从事网络安全的组织创建的，例如安全供应商、威胁情报提供商、政府机构、开源情报平台和安全研究公司。

这些组织从各种来源收集和分析威胁数据，包括网络流量指标、开源情报、暗网论坛甚至社交媒体。 

那么，为什么威胁情报源很重要？虽然有些人可能认为提要是不必要的，因为它们已经有了针对零日攻击的保护，但事实并非如此。

威胁情报源的好处是，对于已知的攻击和攻击者，系统将恶意流量保持在组织范围之外。它们还提供有关新兴威胁、已知恶意软件系列和其他指标的大量信息，有助于在攻击造成损害之前识别和阻止攻击。

这包括有关可用于开发新攻击的最新攻击技术、恶意软件样本和漏洞的信息。

此外，提要有助于识别和阻止零日引擎可能遗漏的攻击。这些可能包括依赖社会工程或其他非纯技术性技术的攻击。通过将源与零日引擎结合使用，安全团队可以领先于不断变化的威胁形势，更好地保护他们的网络和数据。

威胁情报提供的空间范围很广。每个供应商都专注于与其产品线一致的不同类型的提要。网络行业中使用的常见类型包括：

• 妥协指标 (IOC) 源包含特定的工件，例如与威胁行为者或恶意活动相关的 IP 地址、域名、文件哈希和电子邮件地址。这些提要提供了“在野”观察到的最新 IOC 的列表，安全产品可以使用这些 IOC 来检测和阻止攻击。

• 战术威胁情报提要提供有关特定威胁及其策略、技术和程序 (TTP) 的信息。它们可以包括有关使用的恶意软件、攻击媒介和威胁参与者使用的基础设施的详细信息。

• 战略威胁情报提要提供了更广泛的威胁态势视图。它们包括对威胁行为者的动机、目标和策略的洞察。此外，它们还可用于为安全策略和政策提供信息，并在潜在威胁成为攻击之前识别它们。

• 运营威胁情报提要提供有关主动针对组织的威胁的实时信息。它们可用于确定安全警报和响应的优先级，并协调事件响应活动。

  
  

• 开源情报 (OSINT) 提要提供有关在社交媒体、新闻文章和论坛等公开来源中观察到的威胁的信息。它们可用于识别新出现的威胁并跟踪威胁参与者的活动。

没有单一的全行业协议管理威胁情报源。但是，组织在决定正确的饲料时应考虑几个因素：

• 与域的相关性。如前所述，提要种类繁多，每个提要都有自己的重点。例如，组织应确保他们选择的提要包含可以改善其保护并关注其需求的信息，例如 IP 地址。

• 对发展攻击的描述。组织应选择实时更新的提要，并提供有关大范围攻击的全球数据。活力是选择正确饲料的一个基本特征。

• 更新速度快。提要指标的相关性可能很短并且可能会迅速变化，因此提要应该以快速的速度更新。

• 分类。根据威胁行为者的类型，必须考虑分类，因为不同的类别可能需要不同的响应。例如，一些威胁行为者是试图窃取专有信息的公司竞争对手。其他人可能是支持社会或政治事业的活动家。

• 可见性和控制。为了充分利用提要消费，提要服务应包括良好的用户体验，使其易于配置类别和管理信息。

网络威胁正以惊人的速度增加，这也是威胁情报源成为需要保护自己免受 DDoS 攻击的企业必不可少的工具的众多原因之一。

将威胁情报馈送纳入 DDoS 保护系统可以改善安全状况并将中断和声誉受损的风险降至最低。

原文始发于微信公众号（网络研究院）：威胁情报如何改进 DDoS 保护