周三,有一个专门讨论威胁情报的AM直播,由我主持,可以说是汇集了俄罗斯这一领域的主要参与者,他们介绍了TI服务和TI管理平台。简而言之,是什么让这次广播令人难忘,加上我的一些补充和评论。
1️⃣威胁情报不是网络情报,虽然那么的扎实和响亮,但是基于威胁知识的决策。仅仅是Feed,仅仅是IOC,甚至仅仅是阅读TTP,都还不是TI。当你开始根据这些数据做出决定时,这就是你可以谈论TI的时候。
2️⃣在4个级别的TI(技术、战术、运营和战略)中,30%的观众使用最低、最清晰和最简单的(Feed和指标)。9%使用战术层面(攻击者的技术和战术),3%使用运营层面(战役),7%使用最顶层的战略层面(攻击者的归因)。一半的观众根本不使用TI。
3️⃣TI在威胁检测和监控过程中大量使用(46%的观众)。在Threat Hunting方面,有11%的人使用,保护评估和归因方面各有6%。在事件响应方面,大约有30%。这种分布看起来像现实 - 毕竟,TI仍然被大量认为是丰富了SIEM、IDS、NGFW、EDR等产生的数据。
4️⃣大多数参与者经常提到,你不应该从你所使用的保护对象那里获取Feed,尽管我不同意。Feed可以联网,保护措施可以被托管。一个部门做保护工作,而Feed则由服务部门处理。有许多不同的选择。
5️⃣在内部建立TI是可能的,也有公司这样做,但最好相信那些出售TI平台或提供无渣TI来源的专业人士。但选择TI来源并不是一件容易的事。其中一部分可以委托给适当的平台,这些平台可以过滤和分析Feed、指标并评估其质量。在BI.ZONE频道中,有一篇关于Habra的文章,有一个评估Feed来源的方法。
6️⃣商业还是免费TIP?你也可以从MISP开始(特别是由于许多人使用它,如FIRST),但它的性能很差,如果您将大量资源塞入其中,它可能会被淹没。ENISA有一份关于如何选择TIP的指南。你也可以看看Forrester或Gartner关于威胁情报的指南 - 你可以在网上找到它们。
7️⃣指标往往不足(尽管BI.ZONE估计一个好的来源只包含0.01-0.05%的动摇),经常滞后,从活动/受害者到活动/受害者的变化很快变得无关紧要。在广播中甚至还讨论了我们是否需要指标的问题。看着它 - 它很有趣。
8️⃣COMPROMETATION指标是关于过去的(好吧,如果你足够幸运,没有成为第一个被妥协的人)。为了积极主动地工作,你需要使用技术和战术,使你(如果使用得当)能够发现新的攻击和活动。但TTP的数量永远比不上指标的数量。此外,不能通过TTP或指标的数量来判断一个来源(如Feed的情况)。重要的是它们与你的关系如何。你可以在TTP只得到一份报告,而且会在前十名中,或者你可以得到每周的报告,但没有一份对你有用。47%的观众使用MITRE ATT&CK来描述技术和战术。38%的人没有使用。
9️⃣在TIP中,你不仅可以分析/过滤/排序指标,还可以分析/过滤/排序技术和战术,根据需要的标准进行选择。一些市场参与者有这样的TTP,并附有SIGMA、Yara或其他 "检测 "规则。只有这样,TIP才是有用的,并开始发挥不同于许多研究人员在公共领域发表的公告的简单读者的作用。
俄语原文:(熟悉俄语的朋友可帮忙校对?)
В среду прошел эфир AM Live, посвященный теме Threat Intelligence, который я модерировал и который собрал, пожалуй, основных игроков этой сферы в России, которые представляли как сервисы TI, так и платформы для управления TI. Тезисно, чем запомнился эфир с рядом моих дополнений и комментариев:
1️⃣ Threat Intelligence - это не киберразведка, хотя так очень солидно и звучно, а принятие решение на основе знаний об угрозах. Просто фиды, просто IOCи и даже просто чтение TTP - это еще не TI. Вот когда на основе этих данных начинают приниматься решения, вот тогда можно говорить о TI.
2️⃣ Из 4-х уровней TI (технический, тактический, операционный и стратегический) 30% зрителей используют самый нижний, самый понятный и простой (фиды и индикаторы). 9% используют тактический уровень (техники и тактики злоумышленников), 3% используют операционный (кампании) и 7% используют самый верхний уровень, стратегический (атрибуция нарушителей). Половина зрителей TI не используют совсем.
3️⃣ В массе своей TI используется в процессах обнаружения и мониторинга угроз (46% зрителей). В Threat Hunting его используют 11%, при оценке средств защиты и атрибуции - по 6%. В реагировании на инциденты - около 30%. Такое распределение похоже на реальность - все-таки пока в массе своей TI воспринимается именно как обогащение данных, генерируемых SIEMами, IDS, NGFW, EDR и т.п.
4️⃣ Большинство участников регулярно упоминало, что нельзя брать фиды от тех, чьи средства защиты у вас используются, хотя я с этим тезисом не соглашусь. Фиды могут быть сетевыми, а средства защиты хостовыми. Средства защиты делает один департамент, а фидами занимается сервисное подразделение. Вариантов много разных.
5️⃣ Строить TI у себя можно и своими силами и есть компании, которые это делают, но лучше довериться профессионалам, которые либо продают платформы TI, либо предлагают источники TI, очищенные от шлака. Но выбор источников TI - задача непростая. Частично можно возложить на соответствующие платформы, которые могут фильтровать и анализировать фиды, индикаторы и оценивать их качество. На Хабре, в канале BI.ZONE есть статья с методикой оценки источников фидов.
6️⃣ Коммерческая или бесплатная TIP? Начать можно и с MISP (тем более, что его используют многие, например, FIRST), но у нее слабая производительность и она может захлебнуться, если в нее засунуть много источников. У ENISA есть руководство по выбору TIP. Также можно посмотреть руководства Forrester или Gartner по Threat Intellgence - их можно найти в Интернете.
7️⃣ Индикаторы часто фолсят (хотя по оценкам BI.ZONE хороший источник содержит всего 0,01-0,05% фолсов), часто запаздывают, меняются от кампании/жертвы к кампании/жертве, быстро становятся неактуальными. На тему нужны индикаторы или не нужны возникла даже дискуссия ближе к середине эфира. Посмотрите ее - было интересно.
8️⃣ Индикатор КОМПРОМЕТАЦИИ - это про прошлое (хорошо, если вам повезет и вы не будете первым, кого скомпрометировали). Чтобы работать на опережение нужно использовать техники и тактики, которые позволяют (при правильном использовании) детектировать новые атаки и кампании. Но TTP не бывает так же много, как и индикаторов. Более того, нельзя оценивать тот или иной источник (как и в случае с фидами) по числу TTP или индикаторов. Важно, насколько они релевантны именно для вас. Можно получить всего один бюллетень с TTP и он попадет в десятку, а можно получать еженедельно бюллетени и ни один из них для вас не будет полезным. 47% зрителей используют MITRE ATT&CK для описания техник и тактик. 38% не используют ничего.
9️⃣ В TIP можно анализировать/фильтровать/сортировать не только индикаторы, но и техники и тактики, делая выборки по нужным критериям. У некоторых игроков рынка такие TTP сопровождаются правилами SIGMA, Yara или иными "детектами". Только тогда TIP приносит пользу и начинает играть роль отличную от простой читалки бюллетеней, опубликованных в открытом доступе многими исследователями.
本文由笔者根据自己的经验结合在线翻译平台编译整理而成。喜欢本文点个赞???
source:https://t.me/alukatsky/4450
往期精选
围观
热文
热文
本文始发于微信公众号(天御攻防实验室):俄罗斯网络安全行业对威胁情报的理解与现状
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论