在过去,为了防止爆发网络安全事件,企业的应对方式就像“救火队”,主要采取流量检测、行为感知、收集与分析等防御手段,通过部署防火墙、入侵检测系统等安全产品,配置相应访问控制策略和审计策略,对网络安全状况进行监测和管控,并在发生攻击后进行应急响应和备份恢复等。
这样的防御具有一定的狭隘性和滞后性,受限于对攻击及整体态势的识别和溯源,大多也只是“就事论事”,容易造成同类攻击的反复中招和影响。如今,业界普遍认同被动防御已经远远不够,需要实时掌握敌方的动态和趋势,以做出更完备的分析和响应。威胁情报,就像这八百里加急快报送来的敌情。
急速增长的针对性网络攻击直接催生了威胁情报服务。或者用现在流行的一句话来概括:攻防不对等;而威胁情报的出现就是为了尽可能消除这种不对等。
1、什么是威胁情报?
根据Gartner在2014年发表的《安全威胁情报服务市场指南》中提出的定义:
威胁情报是关于IT或信息资产所面临的现有或潜在威胁的循证知识,包括情境、机制、指标、推论与可行建议,这些知识可为威胁响应提供决策依据。
另外,我们也可以参考2015年发表的《网络威胁情报权威指南》中对威胁情报所下的定义:
对敌方的情报,及其动机、企图和方法,进行收集、分析和传播,帮助各个层面的安全和业务成员保护企业关键资产。
简言之,威胁情报可以帮助企业快速了解到攻击方对自身的威胁信息,从而帮助提前做好威胁防范、调整防御策略,预知攻击的发生,从而实现较为精准的动态防御,更高效地进行事后攻击溯源。
2、威胁情报的要点
威胁情报包含了签名与信誉源、威胁数据源,还包括在全球范围内收集及分析活跃黑客的信息和技术信息,了解网络犯罪者和激进黑客共享的信息、技术、工具和基础设施。
威胁情报以对手为重点,具有前瞻性,针对攻击者及其战术、技术与程序(TTP)提供丰富的上下文数据。数据可能包括不同犯罪者的动机与目标、针对的漏洞、使用的域、恶意程序、社工方式、攻击活动的结构及其变化,以及黑客规避现有安全技术的技巧。
威胁情报要点:
攻击者身份:
威胁情报需要能够帮助企业将攻击/恶意活动最终溯源至相应组织
攻击的原因:
了解地方动机,在攻击中投入多少精力(APT或仅是投机型攻击),及其针对性强度等
攻击目的:
判断攻击者的目的,帮助企业和组织基于资产重要性调整响应优先级
攻击过程:
TTP(Tatics策略、Technique技术和Procedure程序),包含攻击者所用的工具、基础设施等
攻击者的定位:
攻击者所在国家,地缘政治状况
如何组织情报:
包括IOC等的技术指标,可用来更准确地检测和标记恶意行为
如何缓解攻击:
企业用以保护自身资产的信息
3、威胁情报的部署与服务
威胁情报针对不同客户进行个性化定制。威胁情报服务需要收集每个客户的环境数据和情报要求,针对客户企业所处行业、技术和特定环境作出分析。
定制化的信息能够给企业提供充足的上下文信息,企业可依据自身的特定需求和风险状况,来设定优先级、作出最佳决策。
Gartner的《安全威胁情报服务市场指南》对威胁情报服务进行了切分:
这里的“获取和分析”可理解为收集自各种源(如电子或人工的)“纯粹”的情报,融合了黑客意图、安全专家分析预测等内容。
“实时监测与通知”反映了更广阔范围的信息,是对情报更为具体的呈现,是从技术角度来解读已经发生的活动信息。
一般来说,基于受众的差异,威胁情报包含两个不同的层面。
第一种威胁情报是“战略层面”的,也就是供人阅读的。这类威胁情报不需要非常技术,主要为各类高管准备(如CEO、COO、CTO等),让其能够了解威胁对于业务连续性的影响,帮助做出正确的决策。
另一类是“可操作层面”的:可机读的数据——安全设备能够利用这些数据来加固安全性,比如SIEM和威胁情报的配合,对数据进行XML格式化,便于处理。
所以说威胁情报本身对于企业内部各个层面的人而言都是有意义的,包括SOC分析师、事件响应团队、做出决策的董事会。
4、威胁情报的主要优点
■让威胁更加清晰可见
安全专家能够在新的地点发现新型威胁团体,发现不法分子使用的新恶意程序和社工方式。威胁情报帮助企业安全人员了解新的入侵威胁指标(IOC)及其他信息,以预防和检测更多攻击。
■更快速响应针对性攻击
威胁情报会为客户安全团队提供详尽的信息,帮助企业了解哪些威胁最有可能影响客户所处行业及企业本身环境。威胁情报还可帮助企业优化漏洞修复,更快速响应紧急威胁。威胁情报可以为企业提供每个漏洞的详情,包括漏洞的原理、利用的难易程度以及外界是否已经出现利用方法或工具。
■改善管理层沟通
如何与业务经理、执行层和董事会沟通安全问题的相关信息,是CISO常常面临的挑战。这种情况会导致在面对真正的安全威胁时,相关部门无法获得其他部门的配合和资金支持。威胁情报提供的信息,可以将攻击者具象化,明确其动机,帮助CISO将网络威胁转换为业务风险,通过威胁情报获得更多业务风险相关术语,便于没有技术背景的关联部门理解。
■加强策略规划和投资
威胁情报能够针对新的攻击者和威胁提供确实的证据和详尽的分析,可以指导企业就安全方面作出更好的规划和投资决策,以改善其安全形势;同时又也可以减少不必要的风险和开支。
5、威胁情报的行业需求
★政府单位
勒索病毒和钓鱼欺诈的高发领域,高级威胁事件发现能力普遍较弱,安全运营人员短缺,威胁检测分析工作主要依靠厂商人员,安全运营工作自主化、自动化、智能化、可视化程度低。需要将情报能力融入传统政务安全,建立检测、分析、响应三位一体的安全体系,依靠取证溯源提升安全专业能力。
★金融
饱受钓鱼欺诈、安全漏洞及数据泄露的侵害,针对已经进入内网的威胁无法进行及时发现、响应,安全人员无法定位关键威胁并进行处置。需要提升内网失陷威胁检测能力,用情报赋能安全产品的分析能力。
★互联网
长期面对层出不穷的新型攻击手段与未知威胁,攻击呈现出复杂性、隐蔽性、针对性的趋势,被动防御模式很容易被绕过。构建情报驱动的业务安全体系迫在眉睫,以实现云端和本地的全面监控。
★能源
内网易被感染,隔离内网无法做到万无一失。企业通常分支机构多、分布地域广,资深安全分析人员短缺,安全运营集中管控难度大。隔离内网威胁检测能力和威胁事件分析及处置能力需要提升,运用情报加持总部分部集中管控,一点感知、全网联动。
★医疗
信息系统安全建设能力相对其他行业薄弱,医院业务系统80%部署于虚拟化环境,缺乏东西向安全防护,终端数量多、分布范围广,运维工作难度大。利用情报辅助及时发现、处理潜在威胁,加强对未知威胁的感知,加强对终端安全管理和数据中心虚拟化安全防护。
赛欧思安全研究实验室
“赛欧思安全研究实验室”致力于“网络空间综合治理”相关技术研究和解决方案的定义,是郑州赛欧思科技有限公司建立至今,在网络安全研究和安全研发领域核心团队之一。实验室提出的“网络空间综合治理技术体系框架”,由“网络空间测绘”能力、“威胁情报分析”能力和“安全监测检测”能力三部分构成,在着重互联网资产元数据采集的基础上,紧贴网络安全业务需求模型,构建出支撑各项安全管理(监管、自管)需求的数据、能力和知识情报。
1、加入“交流群”
即在整个网页页面的右下角
扫描二维码,进入微信群
即可与开发人员进行实时交流
该二维码每周会轮换
建议由官网-威胁感知页面进入
https://tai.socmap.net/
2、给小兕写邮件
如果有建议或者意见
或者想要在情报专刊投稿
都可以给小兕写邮件
邮箱地址
小兕会在48小时内回复
点击阅读原文
探索更多精彩
原文始发于微信公众号(郑州赛欧思科技有限公司):【小兕课堂】威胁情报知识入门
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论