从现状看威胁情报趋势

  • A+
所属分类:安全闲碎

这篇文章与其说是自己的笔记不如说是约稿,考虑到最近国内 top2 厂商几乎在同一时间开了同等规模的会议,有必要对一些新技术和词汇进行学习和认知迭代。但是下午发了个朋友圈之后,感觉事情不太对了。

从现状看威胁情报趋势

朋友圈发完了之后没一会儿就收到了几条私信,除开有两条以为我在现场想要线下聊天的(工作重要,工作重要)之外,有几个同行确实问了几个很有价值的问题,而且这些问题一看就是在应用的时候遇到了一些来自 boss 层面的挑战(可能有些人的 boss 真的有两把刷子),所以应他们的要求写一下当下我对于威胁情报这个技术的看法。

以下内容可能会令一些人不适,如有不满意的地方,心里默念魅族 CEO 黄章的名句(请自行百度)。

0x01 上古时代的威胁情报

威胁情报的上古时代要追溯到 2013 年 Gartner 首次对威胁情报的定义(这个时候你用百度搜“威胁情报”大概能收到 5 页左右的搜索结果,这个数字放到 2014 年是 6 页,放到 2015 年是 27 页,2016 年是 76 页,2017 年的时候我已经懒得数了),而国内提到威胁情报应该最早应该是数字厂提出来的。但是迭代了这么多年,实际上大家对于威胁情报的定义的认可度最高的应该还是 2014 年 Gartner 的定义(Gartner 每年重新定义名词似乎是一个传统,比如一年一迭代的 SOAR)。

这个时候,国内外所有的针对威胁情报参考资料分类基本上都是将威胁情报分为三类:战略情报、战术情报和运营情报,具体为什么分成这三类,其实绝大部分人是说不清楚的,后来我才意识到可能是因为计算机安全方面很多概念源自于军方,于是我把 cyber security 从 Google 搜索的关键词去掉之后发现了一些猫腻,原来那个时候的威胁情报的一些术语和概念真就照搬了军方的概念(如果我不告诉你的话,其实态势感知这个词是一个正儿八经的国产货,跟某贵就是好好就是贵的车一样是披着外国皮的国产货),既然这概念是顺着军方来的,那我们索性就更进一步,直接研究一下美军是如何做情报的。

其实美军对于情报的分类实际上和我们想的是不太一样的,美军内部将情报类型实际上划分为地理位置情报 GEOINT、测绘情报 MASINT、人工情报 HUMINT、信号情报 SIGINT、图像情报 IMINT、开源情报 OSINT、电子情报 ELINT(这一部分之前被划分在 SIGINT 或者是 MASINT 中,但是最近几年由于网络战的热炒,这一概念又被单独了出来)、通信情报 COMINT(和 ELINT 一样)。

在军事上,美军对于情报部门的工作的定义是:

Intelligence can be described as information concerning an enemy or potential enemy, the evaluated conclusions drawn from such information, or an organization/agency engaged in gathering such information. 

翻译成人话就是:情报可以描述为与敌人或潜在敌人有关的信息,从此类信息得出的评估结论或从事此类信息收集工作的组织/机构。请记住这个概念,后面还会用到。

在这个时期(2013-2017 年前后),你会发现国内所有的 ppt、paper、分享等一系列对外PR的文档和视频材料对于情报的分类标准全都是按照战略、战术和运营情报作为维度去做划分的,但是与此同时对应的威胁情报技术基本上要么就是手动挖掘,整出来个大 Case,要么就是一些类搜索引擎的威胁情报产品,所以这个时候正好到了所谓的“愚昧之巅”。

0x02 喧嚣背后的质疑

在 2018 年前后(那个时候跳槽了),其实业界对于威胁情报的讨论变成了到底有什么用,到底怎么用。当时在质疑的主要有两个问题,第一个问题是很多安全厂商对于威胁情报的价值基本上不会离开 IoC 和 APT,后面又多了个 TTP,然后再后来又加上了钻石模型和 Kill-Chain(include 我,当时认知还没有被迭代)。

但是这样做的话实际上甲方的同学并不能明白有什么用,根据我的少得可怜的工作经验来看,甲方的对于落地的要求第一个是在同等规模和相同业务类型下可以进行有产出的运行案例来支撑工程的实施(也就是所谓的成功落地的范本),第二是不能因为人为因素导致功能中断(比如写模型的人中途跑路了留下了一个没人能看懂的模型,后继者一脸懵逼),浓缩成六个字就是可复用不中断。

但是当时对于安全的认知来讲,能做得出落地经验的企业基本不会对外宣称自己做好了(如某头部互联网厂商),要么就是一些极个别场景下小范围不稳定的应用(我们内部称之为玩具)。

所以这个时候开始,人们逐渐对威胁情报产生了质疑,以至于19年的时候各家提零信任提的比威胁情报都多,似乎有被打入冷宫的趋势(20 年是 SOAR)。那么为什么这个时候威胁情报会遭受到如此多的挑战呢?

我们回到上一个 section 中美军对于情报部门的工作的定义:

情报可以描述为与敌人或潜在敌人有关的信息,从此类信息得出的评估结论或从事此类信息收集工作的组织/机构。

从美军的定义中可以看出情报工作的前提是得有“敌人或者潜在敌人”,然后才能针对性的收集信息,进一步给出评估结论。其实这个时候我们绝大多数都不明白我们所面对的敌人或者潜在敌人到底是啥,更别说什么信息对评估敌人有用,更别说去对敌人进行评估。我们来把这个需求来拆解一下:

Q1:什么是敌人或者潜在敌人

关于这个问题,实际上不同的业务类型面对的敌人类型是千差万别的。我们以事业单位为例,事业单位面对的敌人首先不可能是竞对(事业单位怎么会有竞对),其次不可能是黑产(针对事业单位的黑产要么被抓要么偷偷被抓,要么就是人在国外刚下飞机),更不可能是白帽子(白帽子基本上也不太敢碰这些东西,原因你懂的),这个时候就剩下了别国的国家队,比如漂亮国。

但是对于一个商业公司而言,情况可能又不一样,比如互联网公司的在线业务,这个时候面对的风险就变了,黑产、竞对、别国国家队、别国黑产可能是这些公司的潜在敌人,这一点实际上对于情报工作是至关重要的(这一部分可以参考我之前翻译的文章)。

Q2:什么信息对评估敌人是有用的

对于如何评估一个敌人,其实钻石模型就能很好的干这件事情,当然我们应该本着实用的原则去描述这个事情。首先刻画敌人一定是要带着背景去的,在背景敲定的情况下,实体身份+技战术组合+资产是一个比较好的数据组合。

实体身份和背景可以很好地刻画敌人出于什么样的目的才会攻击你,技战术组合可以刻画敌人会用什么样的手段攻击你,资产可以刻画敌人会用那些武器来发射子弹去攻击你。合在一起其实就是一个很大的数据结构(也就是所谓STIX标准里面对于攻击者的刻画,或者换个更高大上的词汇:攻击者知识图谱)

Q3:如何利用这些信息去得出对攻击者的评估结论

数据是有价值的这点毋庸置疑,但是需要有人能够发挥它的价值,我们在得到攻击者知识图谱之后,其实绝大多数人都会想着按点布防。但是实际上我们忽略了一个比较重要问题,首先是你把攻击者的资产数据纳入监控视野能够真的反制攻击者么?或者换一个问题,把 IoC 直接丢进 IDS/WAF/EDR 真的可以高枕无忧么?攻击者换资产的成本其实并不高,几块钱就可以买一个域名,几十块钱就能买一个服务器(几天时间够了)。

我们要防的实际上并不是攻击者的资产,我们需要防守的是攻击者,见招拆招才是最重要的。所以这个时候应该引入红蓝对抗,红蓝对抗的目的就是为了检查安全措施能否防御住攻击者(红队可以模拟对手的技战术对蓝队的防御措施进行检查,甚至可以把自己想到的更优雅的方法融入其中,让红蓝对抗更加“真实”即贴近业务实际面临的对手,而非一味地追求炫技炫 exp)。

0x03:威胁情报未来的发展展望

回到一开始的问题,为什么最近没人提战略情报了?个人认为如果这个时候再按照战术情报、战略情报和运营情报分类显然是不合理的,如果说运营情报可以以黑 IoC 形式落地,战术情报可以结合 TTPs 和 UEBA 以攻击者画像图谱形式落地的话,战略情报的确没有可以落地的东西(除了画饼,而且涉及到战略的饼都不太好消化),所以自然就是靠吹嘘了。。。其实前两者现在也没有可以大规模复制的 case。。。也就是没有 80 分以上的作业可以抄。

之前在吃饭的时候大 boss 抛出过他认为的威胁情报,大 boss 提出了一个很有意思观点:把全世界所有的安全工程师聚到一起开一家公司专门做威胁情报,这家公司肯定是做威胁情报做的最好的,退而求其次再退而求其次,把国内的一些顶尖的安全工程师弄到一起开一家公司做威胁情报,做出来的一定不会差。

说白了威胁情报这件事情的本质就是安全信息的高度不对称,这也就是我对所谓的威胁情报共享联盟看衰的论据之一,国人的处世哲学中就包含了“家丑不可外扬”这一观点,被打这种事儿怎么能告诉别人呢,一旦其中有一个人不告诉,那么马上就会有人跟进,久而久之大家都不互通有无,这个时候还谈什么共享。

但是作为一个工程师,总需要有一些情怀,从我个人的角度看,威胁情报慢慢的会变成场景化和功能化的方向发展。换句话说现在可能销售在宣传的时候会宣传我们有多少数据抓过多少 case 这种无关痛痒的数据,再过一段时间这么说可能生意就没法做了。

什么是威胁情报的场景化和功能化,我们先来扯点别的。任何一次应急响应的起因都是因为出现了安全事件,而安全事件是从海量的安全告警中筛选出来的,而告警是从日志中按照各种各样的规则和模型抓取出来的非预期数据,而日志则对应着某一种行为的记录。画一张图表示就是下面这样,请记住这张图,未来一段时间你们可能还会看见它:

从现状看威胁情报趋势

在上面这个循环中,实际上威胁情报可以作用在各个环节,举几个例子:

1、TTPs 树结合 CEP 引擎可以从行为上判断是否是被标记的攻击者或相近攻击者

2、TTPs 情报可以给红队当做指导手册来模拟真实风险下的真实敌人

3、特定类型的 pDNS、IoC 标记可以融入告警中为事件提供背景支撑

4、漏洞情报中的触发点描述可以结合 RASP 等安全组件采集的数据捕获一些在野的利用并同步到 waf(类似于切面安全)

etc。。。

由于比较懒我就懒得画一个全景图了,如果有希望一起研究这一部分的可以私聊一块完成这一部分。我个人觉得未来 TTPs 情报会逐渐取代 IoC 情报(当然 TTPs 情报也会包含这一部分),当然现在我们可能离得有点远,我个人也利用 20% 的时间利用 OpenNLP 自己做了一份 TTPs 情报库,但是产出率太低也只能当个玩具玩,有心工程化的朋友一样可以私聊探讨。

从现状看威胁情报趋势

对于威胁情报,我们可能现在正处在刚从愚昧之巅前往绝望之谷的路上,但是这是一件好事情,毕竟真理总是越辩越明的,借用我司联合创始人的一句话:商业总是要回归常识的。威胁情报未来也会越贴近实际应用,越贴近真实运营。最后真诚希望各位防守方老板在“断网行动”中能苟得住。

0x04 ref:

https://zhuanlan.zhihu.com/p/129064940

https://forwardobserver.com/tactical-operational-and-strategic-intelligence/

https://armypubs.army.mil/epubs/DR_pubs/DR_a/pdf/web/ARN20669_ATP%202-33x4%20FINAL%20WEB_v2_fix.pdf

https://en.wikipedia.org/wiki/Strategic_intelligence

https://fas.org/irp/nsa/ioss/threat96/part02.htm

https://usnwc.libguides.com/c.php?g=494120&p=3381426

从现状看威胁情报趋势

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: