初探威胁情报平台

“A9 Team 甲方攻防团队，成员来自某证券、微步、青藤、长亭、安全狗等公司。成员能力涉及安全运营、威胁情报、攻防对抗、渗透测试、数据安全、安全产品开发等领域，持续分享安全运营和攻防的思考和实践。”

01

—

1、目的

威胁情报平台的部署旨在帮助企业更好地理解和应对网络威胁，从而提高整体网络安全水平，保护组织的信息资产和业务运作。

2、目标

• 提升情报响应效率：人为发现行为不高于 30%，平台监控的方式获取威胁情报不低于 70%。
• 实现威胁信息集成与分析：将获取的威胁情报整合到一个统一的平台，并对其进行分析。通过关联不同来源的威胁信息，可以更全面地了解威胁的性质、来源、攻击方式等。情报采集及时性不超过5分钟，分析、响应自动化率不低于80%，处置有效性不低于90%，误报率不超过10%；
• 实现威胁情报共享：可以选择将本企业获得的威胁情报与其他企业、组织或威胁情报共享社区进行分享。通过共享，可以加强整个社区的安全合作，提高对新威胁的应对速度。
• 威胁情报的可视化展示：提供直观的威胁情报可视化展示，使安全团队能够更好地理解威胁态势和重要的安全事件。
• 实现安全设备赋能功能：根据发现的威胁情报，提取关键信息，落地到安全设备的威胁情报加工生产，包括终端、主机、nat、邮件威胁感知、waf 等，加强防御能力。
• 实现自动化响应和处置：利用威胁情报平台，自动化响应和处置威胁。当检测到与威胁情报相关的活动时，平台应能够自动触发预定的响应措施，如隔离受感染的系统、封锁攻击来源等。威胁情报按时响应率100%，高危及以上情报按时处置率（关单率）100%，总体按时处置率（关单率）95%；MTTR：24小时内P4（严重） 级告警处置完成率100%，72小时内P5（高危） 告警处置完成率100%；

一）对于安全团队？威胁情况分析人员？

1. 威胁发现与预警：帮助安全团队及时发现网络中的潜在威胁和异常活动，提供实时预警。

2. 漏洞管理与修复：提供漏洞信息，帮助安全团队及时修复系统漏洞，减少攻击面。

3. 全球威胁趋势分析：分析全球威胁趋势，为安全团队提供未来可能面临的风险和威胁。

4. 实时响应：支持安全团队实时响应机制，迅速应对新出现的威胁。

5. 信息共享：促进内外部信息共享，增强整个安全社区的合作和协同防御。

对于威胁情况分析人员：

1. 深度分析支持：提供详细的威胁情报，支持分析人员深入研究攻击手法和技术特征。

2. 攻击路径识别：帮助分析人员识别攻击者的入侵路径和行为轨迹，理解攻击的全貌。

3. 定制警报规则：允许分析人员根据特定需求定制警报规则，以便更准确地检测潜在威胁。

4. 趋势预测与建议：分析历史数据，预测未来可能的威胁趋势，并提供建议以改善安全策略。

5. 培训与知识积累：提供真实案例，用于培训和知识积累，不断提升分析人员的技能水平。

威胁情报平台为安全团队和分析人员提供了有力的支持，使其能够更加迅速、准确地应对不断演变的网络威胁。

二）开源情报和商业情报的区别。

开源情报的优势：

1. 成本低:开源情报通常是免费获取的，不需要支付订阅费用。
2. 广泛覆盖：涵盖互联网上公开可用的大量信息，包括社交媒体、新闻、博客等。
3. 多样性：包括多种形式的信息，如文字、图片、视频等。
4. 时效性：信息通常实时更新，有助于迅速了解当前事件和趋势。

商业情报的优势：

1. 定制性强：商业情报可以根据组织的具体需求进行定制，提供更符合业务目标的信息。
2. 深度分析：商业情报通常经过深度分析，提供更为详尽、深入的洞察力。
3. 数据来源广泛：商业情报可以整合多个数据源，包括开源情报、专有数据库等，提供更全面的信息。
4. 专业支持：商业情报服务通常提供专业团队的支持，能够根据需要提供咨询、培训等服务。

一）是什么？

威胁情报平台是一种专门设计用于收集、分析、整理和分享有关网络威胁的信息的系统。这些平台的目标是帮助组织更好地了解当前的威胁环境，以便及时采取适当的措施保护其信息资产。通过整合来自各种来源的威胁数据，这些平台提供实时的威胁情报，帮助安全团队迅速做出反应，识别潜在威胁，加强网络安全。威胁情报平台通常包括数据收集、分析引擎、共享机制和可视化工具等组件，以构建全面的威胁情报生态系统。

二）有什么用

1. 威胁检测与防御：提供实时的威胁情报，帮助系统及时发现并防范新的威胁，减少潜在风险。

2. 漏洞管理与修复：提供关于已知漏洞的信息，帮助组织及时修复系统漏洞，减少受攻击的可能性。

3. 攻击溯源与分析：协助安全团队追踪攻击者的行为路径，进行深度分析，了解攻击手法和攻击者的意图。

4. 趋势分析与预测：收集并分析全球威胁趋势，为组织提供未来可能面临的风险，并制定相应的安全策略。

5. 实时响应与紧急处理：支持实时响应机制，使安全团队能够迅速应对新出现的威胁，进行紧急处理。

6. 情报共享与合作：促进信息共享，增强内外部安全社区的协同合作，共同防范威胁。

7. 定制警报规则：允许组织根据自身需求定制警报规则，更准确地识别与其环境相关的潜在威胁。

8. 人员培训与知识积累：提供实际案例，用于培训安全人员，增强他们的威胁分析和应对能力。

漏洞情报：从社交平台、开源社区、官方网站等渠道监控获取到的最新漏洞信息。

病毒情报：从开源沙箱平台、供应商等渠道获取到的恶意 ioc 或者 ip 等信息

舆情情报：包含各种仿冒诈骗的网站或 app，开源社区或暗网的代码泄漏、数据泄漏等。

1. STIX（Structured Threat Information eXpression）：一种用于描述网络威胁的结构化语言，包括威胁的属性、行为、关系、上下文和处理方法等。

2. TAXII（Trusted Automated eXchange of Indicator Information）：用于传输威胁情报的应用层协议，基于 HTTP 和 HTTPS，支持推送和拉取模式，与STIX兼容。

3. CybOX（Cyber Observable eXpression）：一种用于描述网络事件中的可观察对象和行为的结构化语言，包括文件、进程、网络连接、注册表项、用户账户等多种类型的对象。

4. MITRE ATT&CK（Adversarial Tactics, Techniques, and Common Knowledge）：描述网络攻击者的战术、技术和知识的框架，提供了一种系统化的方法来理解和应对威胁。

5. OpenIOC（Open Indicators of Compromise）：一种用于描述指标和上下文的开放格式，帮助组织共享有关威胁的信息。

6. MISP（Malware Information Sharing Platform & Threat Sharing）： 一种用于共享和分析威胁情报的平台，支持多种数据格式和标准。

7. MAEC（Malware Attribute Enumeration and Characterization）： 一种用于描述恶意软件属性和特征的语言，帮助组织共享有关恶意软件的信息。

这些标准在威胁情报社区中得到广泛应用，有助于标准化、共享和分析威胁情报数据。不同的组织和平台可以选择适合其需求的标准，以更好地协同和应对网络威胁。

收集情报 - 共享情报 - 响应分析 - 建立响应工单 - 完成响应

1、如果没有威胁情报，就无法在攻击之前提前预防攻击；

2、威胁情报数据来源多，范围广，单靠人工无法全面检测；

3、威胁情报更新快，如果没有合适的自动处理模型，会导致人工检测情报时无法更精准，快速的监测；

4、每个情报的处置流程方式不同，需要浪费很多人力，时间；

5、情报漏洞推动都是一对多的情况进行推动，资产匹配等不方便。

6、无法提供官网没出补丁包的情况下，漏洞修复的标准化修复方案。

1、威胁情报在 WAF 中运用的最佳实践：

1. 实时更新规则：

- 最佳实践：使用实时威胁情报源，确保WAF规则持续更新，以及时应对新的威胁和漏洞。
- 意义：保持规则的及时性有助于防范最新的攻击手法，确保WAF能够有效地识别和拦截新型威胁。
2. 自定义规则和签名：

- 最佳实践：结合通用规则与组织特定的规则，根据实际应用程序的特点创建自定义规则和签名。
- 意义：自定义规则可以更好地适应组织的特定环境和应用程序，提高WAF的准确性和效能。
3. 基于情报的访问控制：

- 最佳实践：使用威胁情报来实施基于情报的访问控制，允许或阻止特定IP地址、地理位置或用户代理。
- 意义：通过基于实时情报调整访问控制策略，可以更灵活地应对不同来源的潜在威胁。
4. 集成用户行为分析：

- 最佳实践：结合用户行为分析和威胁情报，以检测异常活动和恶意行为。
- 意义：通过监控用户行为，WAF可以更精准地识别潜在的攻击，从而提高检测准确性。
5. 共享情报：

- 最佳实践：参与威胁情报共享计划，与其他组织和安全社区分享关于新威胁的信息。
- 意义：共享情报有助于建立更全面的威胁情报图谱，使WAF能够更全面地了解当前的威胁环境。
6. 实施合适的响应机制：

- 最佳实践：根据威胁情报的分析结果，制定合适的响应机制，可能包括自动阻止、告警通知等。
- 意义：及时有效的响应可以降低攻击造成的损害，确保组织在遭受攻击时能够快速采取行动。
7. 持续监测和调整：

- 最佳实践：定期审查WAF的性能和规则效果，根据实际情况进行调整和优化。
- 意义：威胁环境和应用程序的特性可能会不断变化，定期监测和调整有助于保持WAF的有效性。

1、威胁情报作用于积极防御，建立自身的情报生产和消费能力，挖掘出未知威胁、潜在的威胁，并及时有效弥补防御短板。

2、建设威胁情报平台主要就是要解决其中：如何生产、如何存储、如何共享的问题，如果用威胁情报的生命周期来定义，我们所需要解决的步骤有：制定情报计划，情报收集，威胁情报预处理与利用环节，威胁情报分析与生产，情报输送，威胁情报的计划优化与修订。

威胁情报平台的实践案例参考链接：

• 什么是威胁情报？| IBM https://www.ibm.com/cn-zh/topics/threat-intelligence
• Threat Intelligence Management Services | IBM https://www.ibm.com/cn-zh/services/threat-intelligence
• 【威胁情报】威胁情报之落地实战——由灰向黑篇 – 绿盟科技技术博客 https://blog.nsfocus.net/threat-intelligent-landing/
• 如何构建基于威胁情报的高效网络威胁监测架构 - 安全内参 | 决策者的网络安全知识库 https://www.secrss.com/articles/54660
• 威胁情报：网络安全的下一个引爆点 - 安全内参 | 决策者的网络安全知识库 https://www.secrss.com/articles/16489
• 《全球威胁情报市场指南》：http://www.caict.ac.cn/kxyj/qwfb/ztbg/202112/P020211203576374176759.pdf
• 《网络威胁情报的演变：2019 SANS 网络威胁情报调查》：https://www.freebuf.com/articles/network/201190.html
• 《美国国家情报委员会 2021 年年度威胁评估报告》：https://zhuanlan.zhihu.com/p/355891431 。