威胁情报这几年这个词出现的频次还是很高的,在此之前,我也没有很深入的了解这些,还处于在安全行业摸索的阶段。我以为的威胁情报就是漏洞通报或者一些非常隐蔽的网上售卖相关价值数据等信息。然后这些信息被爬虫爬取后汇总起来,做出信息流或者关键词的方式进行推送或者单独整理就成了威胁情报。
以上仅仅是当时非常粗浅的认知,知识背景决定了笔者当时的认知,所以笔者也在每隔一段时间审视下当时的做法与想法,及时纠正自己的认知与做法。以前也试过去爬取相关安全资讯站点的安全事件信息与漏洞信息,然后汇总,如果有全国热点安全事情发生还得梳理下前后背景整理一份报告输出,基本上认为威胁情报能接触到的只有这些了。
回到现在,在码字前想的是我们可以拆字进行理解,情报是一个专有名词,有比较悠久的历史。情报的目的是帮助决策者做出存在优势的决策(并非100%正确的决策,这是客观因素决定的),简单一点理解就是它会具有时效性,而时效性过后又会成为一种历史数据被用于未来进行决策佐证。而威胁顾名思义则是恶意的、坏的,回到互联网领域里,威胁的对象不会是人体,而是互联网领域里的呈现媒介,比如说数据或者正常工作的设备。
如果在日常的工作中遇到安全事件需要处理,自然而然会遇到几种情况,第一种是设备无法正常运行,此时就需要联系设备的售后人员处理,与传统认知的安全事件还有点区别,可以类比理解为消防安全类领域,此时就需要该修修该换换,恢复好后威胁也就解除了,这里的威胁程度依据实际面临不正常工作的设备决定,大到国家层面的设备,小到小组织中的日常生活设备。第二种情况是能正常运行,但是是互联网领域的设备存在了问题,有一种非正常的行为在发生,比如我们目前知道的是存在驻留木马窃取数据,挖矿蠕虫消耗计算资源与性能,数据擦除或加密破坏正常业务等情况,此时威胁的直接体并非是人体,而是与人存在交互且密切相关的数据信息(这几年暂时未遇到会破坏硬件设备的事件,这里就不提及了)。
在刚遇到安全事件应急的背景下,可以自己处理完问题后拿到相关的痕迹信息,比如恶意文件存留在系统上,恶意的流量请求不断地在外发送,将这些信息保留下来也是应急工作的一个环节,同时也可以与同事进行协作,但接触这类事情多了,慢慢地会发现怎么又出现了相似的手法与恶意文件在驻留系统。于是随着对这些痕迹信息的汇总整理,慢慢清晰地发现原来是背后有这么一群人在不断地从事该类活动。
如果要达到应急处置这块的能力,还需要有对恶意文件的分析溯源能力,分析能力是对恶意文件的基本分析能力,而溯源能力则是对不断出现的相似安全事件不断总结与扩展的能力。
攻防对抗中,攻击者与防御者地位是平等的。在整个攻击链中,防御者只需要斩断攻击者参与的某一链,则攻击者的目标达成将会覆灭。相反,如果防御者只防御其中一链,则攻击者将会依据木桶短板原理而达成目标。从公开的案例观察发现目前防御者大多情况下是处于事后响应过程,而我们作为安全人员在与攻击者的周旋中,我们可以在攻击面上与攻击者进行对抗,进而在整个对抗流程中稍稍快于攻击者的步伐,同时这种比攻击者更快一些的做法其实也是威胁情报的最终价值所在。不仅能事后更快处置响应,还能提前努力扼杀风险。
在现阶段的攻防对抗中,非常流行的攻击者背后的组织或者团队,并没有更多地应用OpSec来伪装隐藏自己,但对我们防御者来说是非常好的机会,攻击者一旦犯错,我们将会利用威胁情报的应用直接挫败攻击者的攻击活动。
据统计全球每天都能产生很多的恶意文件,但是实际真正有用的情报是没有这么多的。大多数时候是数据搬来搬去,可依然是死的,只有把数据运用起来,它才渐渐有了活性,才能发挥更大价值。所以对于威胁情报的理解与应用来说我们不能只做数据的搬运工,要努力做数据的分析与应用者。当然专业的事情需要专业的人来做,只有社会分工明确才能发挥最大效率,比如有人擅长开发,可以利用开发的优势提升数据的自动化分析与应用效果,有人擅长恶意代码分析,可以直接从最初的原始数据中更快的提取出威胁情报母体数据,有人擅长专注情报主动挖掘与溯源,可以利用上述不同方向的优势结合挖掘出更多有价值的情报并应用在真实的产品侧。
想象一个场景,在应急响应中安全人员需要定位到具体受害机器,此时除了个人的处置响应能力外,大部分情况下当然比较简单的是我们提前有了相关情报,首先想到的是可以提前查询确认下,在整个内部流量设备中进行查询是否有结果。如果查询命中相关日志,此时威胁情报的价值就极大的体现。但是尴尬的是如果整个内部网络里没有流量监测设备,那确实是很难受的,在茫茫的网络层面里根本不知所措无法快速的排查具体位置,所以这也是一种痛点。以前不理解为啥会有这类安全产品的出现,其实最后才发现因为有了真实的安全事件的事前事中事后的需求,所以解决了痛点就产生了价值,这类流量监测设备自然也就产生了。
情报挖掘是不是一种不那么有技术含量的方向,甚至于是一种感觉很low的方向呢?
有时候不自觉会陷入一种自我怀疑中,这是自然的,确实有时候可以非常轻松的拿到更多相关联的情报,有时候却很难拿到有价值的情报,更多的时候也看挖掘时候的运气,运气好会很轻松,运气差就很难受,因为很久都不会有结果。有时候确实觉得技术比较low,从职业发展角度还是专注于恶意文件分析或者开发能力才是比较稳妥的一种技术路线。不过目前可以肯定的是情报挖掘肯定是在有相关恶意文件分析能力以及相关安全背景基础的前提下才会得心应手的能力,所以基础比较重要。至于目前安全业界里笔者涉及到一点威胁情报,主要是主动挖掘高级威胁事件。应急响应的时候会或多或少出现IOC信息,这些信息后续加工后成为威胁情报,而后续的威胁事件又可以通过挖掘IOC情报来去确认。
那暗网的情报需要关注吗?这主要是最近有同行问我的问题。总的来说其实单单说情报挖掘就是一个比较大的范围,需要针对特定的小方向进行深入关注,所以并不是非得全部关注,而且全部关注意义也不大,毕竟有价值的情报总是少数的。所以APT组织的攻击活动或者黑产组织的攻击活动等这些是我们的关注点,现在安全事件在客户侧时不时出现也是常态,所以存在这些痛点,而它们则是需要关注的典型。但是一般来说,大部分时间我们是处于事后处置(但也不全是,目前观察到的是如此)的场景。
情报之前也提及了,它是尽可能想作用于做更优决策的,对于网络安全行业那就是想提前预知风险,这样子就是情报挖掘比较好的价值了,可以尽可能提前发现,但是其实这并不是一件容易的事情,所以对于情报挖掘来说应急响应这块是一个非常重要的入口点,后续如果要主动挖掘到安全事件,就需要情报挖掘与之关联结合。近来和一些同行聊天后发现这块目前业界做的团队不多,在组织内部只是作为支撑类部门,且行且珍惜。
其实也是去年才明白安全本身没办法直接体现价值,而它最终的社会价值是为用户创造价值。
原文始发于微信公众号(OnionSec):简单写一点情报挖掘猎捕的内容与思考
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论