威胁情报是一门网络安全学科,重点关注有关针对组织的网络威胁的详细知识。威胁情报平台通过从多个来源(明网和暗网来源)收集原始威胁数据和安全相关信息来创建情报信息,然后过滤、关联和分析数据以揭示趋势、模式以及实际或潜在网络之间的关系威胁。
此情报生命周期流程需要对 IT 基础设施、运营、决策和行动有深入的了解。为了创建这种对网络安全维护者有价值的基于证据的知识,有关机制和指标的信息(通常称为“威胁源”)必须通过与其他安全信息进行比较和增强来详细化和情境化。威胁情报具有挑战性,因为威胁在不断演变,需要企业快速适应并采取果断行动。
威胁情报源是使用“安全分析”技术获得的,从而增加了威胁检测的机会并提供独特的安全可见性。为了有效地执行这些分析过程并使安全团队能够优化其资源并有效地应对现代威胁形势,有几个常用的基本框架。让我们探讨一下这些框架是什么,并讨论它们各自的特点和优势。
最常用的威胁情报框架是什么?
用于CTI的框架提供了一种结构化的方法来思考威胁行为者和网络攻击。这些信息可帮助安全防御者做出决策、更迅速地采取行动并保护资产免受网络攻击的破坏性影响。TTP(战术、技术和程序)等方面用于从更广泛的角度以及攻击生命周期中的特定情况来检查网络事件。
这些基线框架还可以帮助关注对进一步分析和调查有用的细节。此外,通过这个过程,可以完全消除或减轻真正的威胁,并且可以应用吸取的经验教训,以采取适当的措施来应对未来的类似攻击。
与其他团队和组织共享战略、战术、技术或运营情报信息也可能是有益的。通过通用的语言和结构,可以在攻击细节之间建立关系,从而更容易从供应商、开源和权威组织获取情报。因此,这可以被视为将标准化引入网络安全领域的成就之一。
虽然这些不是专门为威胁情报创建的框架,但 CTI 经常使用它们来为企业提供持续改进防御所需的信息。最后,重要的是要将这些主要框架视为互补的,而不是专注于寻找和选择最好的框架。在适当的环境和背景下,这种方法可以使所有人的利益最大化。
在考虑威胁行为者和网络攻击时,这些有用的框架为我们提供了一个便利的结构。这些信息可以帮助安全防御者更快地做出决策和采取行动,并保护资产免受网络攻击的破坏性影响,例如用于从更广泛的角度看待网络事件的 TTP 或攻击生命周期中的特定情况。
1-网络杀伤链
Cyber Kill Chain®由美国航空航天和安全公司洛克希德马丁公司开发,也称为网络攻击生命周期。该框架是最早且最著名的框架之一,采用分步方法来识别和中断对抗性活动。它借鉴军事概念,将网络攻击分解为网络杀伤链的各个阶段,目的是一次破坏杀伤链的一个步骤。这使得网络防御者能够识别攻击的当前阶段并相应地部署对策。
网络杀伤链包含威胁行为者必须完成的七个步骤才能成功进行攻击。组织可以将威胁情报与网络杀伤链的步骤相集成,以最大限度地减少网络攻击的影响。
- 侦察:这涉及进行研究和调查,以了解哪些目标将使攻击者能够实现其目标。
- 武器化:此阶段涉及准备和开展网络行动。
- 传送:通过向目标传送恶意软件来启动操作。
- 利用:在此阶段,攻击者识别已知或未知的漏洞,可利用这些漏洞来获得未经授权的访问。
- 安装:攻击者创建一个进入受害者环境的持久条目以维持正在进行的操作。
- 命令和控制(C2):攻击者打开双向通信通道来远程操纵受害者的环境。
- 针对目标的行动:攻击者使用实际的键盘策略来实现目标,例如收集凭据、升级权限、在系统中横向移动以及窃取数据。
网络杀伤链框架是一个非常有用的工具,可以帮助您了解网络事件的进展情况。例如,考虑发现或初始访问阶段可以明确攻击阶段和所采取的具体操作。这使得事件响应 (IR) 团队更容易有效地做出响应。
在网络威胁情报(CTI)的背景下,网络杀伤链可以帮助了解威胁行为者如何运作以及如何根据攻击生命周期的各个阶段制定对策和防御策略。您可以收集有用的 OSINT 信息,以发现有关您的组织的可用信息以及攻击者在侦察阶段可以发现哪些信息。
2-统一网络杀伤链
2017 年,Paul Pols 推出了统一网络杀伤链,以增强和扩展网络杀伤链。统一杀伤链融合了洛克希德·马丁-网络杀伤链和 MITRE ATT&CK 框架的元素。它将攻击过程提炼为三个高级步骤:
- 初步立足点
- 网络传播
- 目标行动。
这三个步骤使得攻击过程更容易理解,即使对于非技术人员也是如此。然后使用特定技术详细阐述每一种策略。
统一杀伤链为战略性地重新调整组织内的防御能力和网络安全投资提供了坚实的基础,涵盖预防、检测、响应和威胁情报。它有助于对有关攻击者战术作案方式的威胁情报进行结构化分析和比较。
为了预防,统一杀伤链可用于针对攻击的不同阶段制定对策。可以根据对攻击阶段有序进展的了解来确定检测的优先级。在紧急响应情况下,统一杀伤链可帮助调查人员对可能的攻击路径进行分类和建模。该模型对于增强红队威胁模拟的预测智能也特别有益,红队威胁模拟旨在强化组织的安全态势。
3- MITRE ATT&CK 框架
MITRE 对抗策略、技术和常识 (ATT&CK™) 是一个广泛认可的框架,它提供了全面、系统且可操作的方法来理解攻击者行为。它可以作为开源工具访问,并跟踪威胁行为者的对抗行为和 TTP(战术、技术和程序)。由于全球安全分析师和研究人员的大量贡献,MITRE ATT&CK 框架已成为 TTP 的通用词典。
ATT&CK 使用 14 种不同的策略类别来描述对抗行为:
这些策略中的每一种都包含进一步描述网络攻击行为的单独技术和子技术。这种对抗行为的分类使安全团队能够获得更精细的信息和结构来描述和跟踪网络攻击者。此外,它还促进其他团队和社区之间共享可操作的信息。
ATT&CK™ 框架有利于广泛的安全功能,从安全操作和威胁分析到数字取证和事件响应 (DFIR)。它使安全团队能够以结构化和可重复的方式更有效地监控对手行为,并在许多领域为他们提供帮助:
- 根据可观察的现实世界威胁情报和威胁行为确定狩猎、检测和响应的优先级。
- 将 MITRE ATT&CK 映射到在其环境中观察到的恶意软件家族和技术。
- 使用标准化术语和 ATT&CK 矩阵来实现清晰的沟通。
- 利用将对手技术与漏洞联系起来的框架,以进行进一步的威胁分析和对抗性 TTP 分类。
如果需要更深入地研究 TTP(这通常对更复杂的网络攻击中的网络威胁搜寻构成具有挑战性的水平),并且您希望了解对手的行为表明并制定对策,则可以将 MITRE ATT&CK 框架与其他框架。
在网络威胁情报 (CTI) 背景下使用 MITRE ATT&CK 时,CTI 分析师使用此框架来映射和分类观察到的威胁行为者行为,识别组织防御中的差距,并增强事件响应和威胁搜寻能力。它是有效了解和应对网络威胁的强大工具。
ATT&CK 框架还可以帮助组织获取可操作的威胁情报。使用该框架下提供的CTI,组织可以识别活跃威胁团体的行为、工具、技术和程序,并确定其当前的防御是否有能力检测和响应这些对手的攻击。
通过利用各种框架,SOCRadar 威胁行为者跟踪提供了丰富的情报信息,其中包含来自 MITRE ATT&CK 数据库的有关当前和未来 TTP 的信息,这可能比可轻松修改的 IOC 对于动态理解和跟踪网络攻击者重要得多。
4-钻石模型
钻石模型是一种广泛使用的威胁建模框架,专为入侵分析而设计。该模型包含四 (4) 个基本组件,并强调它们之间的关系:对手、能力、基础设施和受害者。
1-对手:对手是任何旨在危害您的系统或网络以实现其目标的人。这可能包括内部人员、威胁行为者或团体,甚至整个组织。为了更准确地定义对手,请考虑以下问题:攻击者来自哪里?他们是谁?谁赞助他们?他们为什么要攻击?他们的活动时间表和计划是什么?
2-能力:能力是指对手在事件中使用的工具或技术。各种攻击者使用的潜在功能非常广泛,从密码猜测到安装后门以建立远程命令和控制。为了更好地理解这一点,可以提出以下问题:攻击者具备哪些技能来执行网络攻击?
3-基础设施:在这种情况下,“基础设施”不属于 IT 基础设施,而是指黑客用来提供其功能的通信结构。示例包括域名、USB 设备、受损帐户、受感染的计算机或服务器以及数据泄漏路径。
4-目标(受害者):该元素指的是对手的目标,可以是特定的国家或地区、行业、个人、软件或机密/商业数据。受害人不限于个人或公司;它可以是电子邮件地址或域名等资产。通过考虑这个更广泛的范围,在定义受害者角色(人员、公司)和受害者资产(包括所有 IT 资产的攻击面)时可以进行更精细的分析。
钻石模型有哪些元特征?
为了更深入地研究钻石模型中的网络事件,下面列出了元属性及其描述:
- 时间戳:入侵事件发生的日期和时间。
- 阶段:该模型表示的事件链中的特定事件。
- 结果:入侵的结果(例如,成功、失败或未知;或者机密性、完整性或可用性是否受到损害)。
- 方向:事件通过网络或主机的路由(例如,受害者到基础设施、对手到基础设施、双向)。
- 方法:事件的类别(例如,鱼叉式网络钓鱼、端口扫描)。
- 资源:入侵所需的要素(例如软件、硬件、知识、资金、设施、访问)。
- 社会政治:对手与受害者之间的关系,基于受害者的需要和行为者的要求。
- 技术:这包括对手的能力及其对网络空间的使用。
如何利用钻石模型进行威胁情报?
对于在进行入侵分析时专注于威胁情报的安全分析师来说,钻石模型是一个有用的工具。该模型使 CTI 分析师能够快速分析大量情报数据,并在各种威胁信息之间建立清晰的联系。为了取得有效成果,企业必须针对新出现的网络威胁制定主动措施,并更好地了解对手的意图和策略。
此外,钻石模型有助于识别情报差距,并为开发网络分类法、本体论、威胁情报交换协议和知识管理提供基础。虽然对于努力在不断变化的威胁形势中保持领先地位的 CTI 分析师而言,它是一个非常有效的工具,但承认其局限性和不足并将其与其他框架模型结合起来考虑至关重要。
钻石模型是一个简单的结构,分四个部分解释入侵事件。例如,如果我们今天看到对手使用特定的恶意软件系列和域模型,然后我们下周看到这种组合,那么钻石模型可以帮助我们快速识别它们的相似之处。
5-Spring框架
2010 年,Verizon 社区开发了一种安全数据模型,称为JSON 数据格式的事件记录和事件共享词汇表 (VERIS)。它的主要目的是表示 CTI 信息,例如事件、受害者人口统计、影响评估、发现和协作监控。这个概念被设计为“度量”,以通用且结构化的方式阐明安全信息以进行信息交换。作为标准演示文稿,它允许分析来自各种网络事件的数据,并用于生成Verizon 数据泄露调查报告 (DBIR)等用途。
VERIS 以类似于 ATT&CK 框架的方式对资产和对手行为进行建模。但是,VERIS 数据模型仍在开发中。由于它侧重于事件及其原因,因此只能用于基于风险的战略性事件后分析,而不是主动分析。另一方面,STIX 2.x 数据模型还捕获了妥协指标 (IoC),这使得 STIX 数据模型能够更加主动地识别威胁并提前评估其影响。
VERIS 是一种基于风险的模型,范围较窄,以结构化方式捕获网络安全事件以进行信息交换。然而,VERIS 提供了丰富且全面的事件概念,涵盖了安全事件的各个方面。STIX 数据模型出于自身目的采用了 VERIS 的事件概念。VERIS 数据模型的一个显着缺点是它无法表示不同概念之间的关系。
VERIS 在信息收集过程中使用“A4”威胁模型,旨在了解可以识别的具体特征。这些描述如下:
参与者:现有的指标和迹象指向哪个威胁参与者或犯罪组织?
当局之前是否已查明该团体或演员的身份?
行动:什么类型的行动影响了资产?这确定了资产性能状态检测到的特定操作的影响。
资产:哪些资产受到直接损害?这有助于管理资产实际受到的损坏程度。
属性:哪些特征会影响资产?本节定义对资产产生负面影响的安全事件的特征。
上面的示例演示了 VERIS 到更细粒度的 ATT&CK 技术集的双向映射。对对手行为的详细描述使用户能够更好地了解如何检测和减轻高级威胁。
此外,还开发了扩展的映射和使用文档,以进一步展示如何使用翻译来描述和传达有关安全事件的信息。提供了更新的用例和新的场景示例,以说明防御者如何通过将基于 ATT&CK 的威胁情报与基于 VERIS 的事件报告连接起来,有效地将对手 TTP 及其现实世界影响联系起来,反之亦然。
执行基本功能的防御者可以将 VERIS/ATT&CK 映射用于各种用例。威胁知情防御中心(CTID) 欢迎提供反馈和贡献,以进一步加强ATT&CK 与 VERIS 的集成。
结论
这些网络威胁情报中常用的分析框架为您的安全团队提供了一种标准化方法来跟踪威胁、妥协指标 (IoC)、漏洞和威胁参与者。了解这些框架并遵循其指南需要一定水平的专业知识,因此达到熟练程度的最快途径之一可能是使用专门从事该领域的安全公司的服务。这些框架不是即插即用的解决方案,而是您可以用来提高安全操作效率的模型。
每个安全事件都有其独特的动态,有时可操作且可靠的情报信息可以节省您的时间并保护您免受重大数据泄露。因此,虽然对某些类型的网络事件可能需要进行详细的深入研究,但在其他情况下,了解网络攻击者所处的阶段更为重要。例如,如果您知道某个漏洞正在被利用,并且您拥有容易受到此类利用的软件,那么您在无法更新期间采取的预防措施将会有所不同。
另一个例子,如果您收到情报表明存在涉及特定软件产品的零日漏洞销售,您将需要更仔细地审查您的异常检测机制。
因此,遵循包含标准和常规场景之外的特定场景的剧本是有益的,这些剧本由这些 CTI 框架生成的威胁情报信息提供信息。
原文始发于微信公众号(祺印说信安):网络威胁情报的主要分析框架
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论