网络安全挂图作战之威胁情报挂图作战

    新时代网络安全的显著特征是技术对抗。为了大力提升网络安全技术对抗能力，需要建设网络安全保护平台，建设网络安全智慧大脑，利用大数据和人工智能等技术将网络安全业务上图，实施挂图作战。

    什么是“威胁情报”？    

威胁情报是网络空间安全领域典型的威胁信息。自威胁情报的概念被提出，有很多机构和研究人员对其进行了阐述。不过，目前业界对威胁情报还没有统一的定义。Gartner公司给出的定义是：威胁情报是关于IT或信息资产所面临的现有或潜在威胁的循证知识，包括情境、机制、指标、推论与可行建议，这些知识可为威胁响应提供决策依据。Forrester公司认为：威胁情报是指对内部和外部威胁源的动机、意图和能力的详细叙述，可以帮助企业和组织快速了解敌对方对自己的威胁信息，从而帮助提升威胁防范、攻击检测与响应、事后攻击溯源等能力。SANS研究院给出的定义是：威胁情报是针对安全威胁/威胁者利用恶意软件、漏洞和危害指标收集的用于评估和应用的数据集。i  SIGHT认为：威胁情报是关于已经收集、分析和分发的，针对攻击者及其动机、目的和手段的，用于帮助所有级别的安全人员和业务员工保护其企业核心资产的知识。

    网络威胁信息既包含与威胁直接相关的情报类信息，也包含与威胁间接相关的基础类信息和知识类信息，如网络资产、网络拓扑、应用服务、组织机构、人员、IP地址库、流量、日志、地理位置信息等。这些信息可以与威胁情报进行有效的碰撞、比对、关联和拓线，是网络安全智慧大脑开展智能分析推理的重要参考，也是实现网络安全挂图作战的基础。

    威胁情报类型    

在网络威胁信息中，威胁情报是与网络空间安全直接相关的数据，也是支撑网络安全保护和挂图作战的核心数据。网络威胁情报具体包括设备、设施、软件、系统、应用、网络等各类保护对象的安全漏洞及隐患，病毒、木马、蠕虫等恶意程序，以及网络中由扫描、探测、攻击、渗透引发的安全告警信息。威胁情报的分类方法多种多样，下面简要介绍三种具有代表性的分类方法。

    1．基于使用对象的分类方法

    Chismon等人根据威胁情报使用对象的不同，将其分成战略情报、运营情报、战术情报、技术情报四类。战略情报主要面向高层管理人员，包括大环境或大背景下的攻击来源、攻击危害、攻击者使用的资源与能力等宏观信息，主要是关于攻击趋势、财务影响及可能影响高层决策的信息。运营情报是指组织即将遭受的攻击的相关信息，供高级安全人员（如安全经理、事件响应团队的负责人）使用。战术情报主要面向安全分析人员和安全响应人员，即战术、技术和程序（TTP），是关于威胁参与者如何进行攻击的信息，能够帮助安全响应人员针对当前情况采取相应的防御战术。技术情报是指安全人员或安全设备可以直接操作或读取的情报，如具体的远程控制域名、恶意IP地址、恶意样本散列值等。

    2．基于应用场景的分类方法

    基于不同的应用场景，可以将威胁情报分成归属情报、检测情报、指向情报、预测情报四类。归属情报用于根据行为证据指向特定攻击者，解答威胁行为人是“谁”的问题。检测情报用于识别在主机和网络上观察到的安全事件，解答威胁行为是“什么”的问题。指向情报帮助预测哪些用户、设施或者网络实体可能成为定向攻击的目标，解答威胁行为针对“谁”的问题。预测情报通过行为模式预测威胁事件发生的可能性，解答威胁行为接下来会“怎样”的问题，与态势感知密切相关。

    3．基于数据类型与价值密度的分类方法

    基于数据类型与价值密度，可以将威胁情报分成情报数据、情报信息、情报知识三类。情报数据包括样本、IP指纹、域名解析记录、Whois信息、数字证书等，特点是数量巨大、更新频率相对较低。情报信息包括样本、IP地址、域名、URL、邮箱等网络资源的黑白类信誉及C&C远程控制信息，特点是在系统对其进行分析研判后具有较强的时效性。情报知识包括安全事件报告、攻击手法TTP、黑客组织画像等，特点是数据量少、价值高，主要表现为非结构化数据，是通过人工分析挖掘生成的。

    技术对抗挂图作战    

    网络安全威胁情报业务是指围绕网络安全威胁情报的获取、标识、研判、生产、使用、共享交换开展的一系列业务工作。与威胁情报获取有关的工作包括：不断拓展情报源，调集内外部力量，建立响应机制体系，构建自身威胁情报体系；依托各类网络安全保护技术手段进行威胁情报汇聚标识，并对各类情报开展研判，提取对网络安全保护业务具有价值的情报；综合情报档案、多源情报跟踪、社会力量的支持，进行威胁态势分析、黑客组织画像、保护目标分析，从而分析攻击源、攻击过程、攻击方法手段、攻击目的意图，对被攻击方进行单位画像、目标画像、资产画像，生产用于支撑网络安全保护业务工作的情报；向本行业、本企业的其他网络安全保护业务工作输出情报线索；与国家网络安全监管部门、其他行业、重要企业进行威胁情报共享交换，推动威胁情报的共享共用。在网络安全保护平台上，要实时获取威胁情报，通过威胁情报库持续进行威胁情报的积累，基于历史情报进行持续跟踪和关联分析。在情报分析过程中，要充分利用人工智能、大数据等技术，尝试进行深层次、行动性、高精准情报线索的分析挖掘。同时，要与本单位的保护对象库进行关联，充分利用大数据平台的优势，构建行业/企业威胁情报基础库。

    威胁情报挂图作战业务与要素如图所示。

图示　威胁情报挂图作战业务与要素

    网络安全威胁情报相关要素可分为战略型、运营型、战术型和技术型，进一步可细分为与攻击主体有关的国家、攻击组织、攻击者、虚拟身份，与攻击运营有关的攻击活动、攻击行为、通联动作，与攻击行为有关的攻击方法、攻击工具、攻击策略，与攻击资源有关的IP地址、域名、邮箱、漏洞、工具、样本、URL、网络账号，与被攻击客体有关的被攻击目标、被控制利用目标、保护目标、行业、省市、单位、部门、系统、网络、数据、资产，等等。上述要素互相关联，构成了错综复杂的关系。要素之间的关系就是威胁情报关联分析的重点。

    网络安全威胁情报业务的负责人、指挥官在业务开展过程中关心的问题如下。

• 当前发生的哪些活动或行为值得进一步关注或分析？

• 网络安全威胁情报获取数量变化趋势如何，向其他业务分发的情况如何，共享交换情况如何，有没有异常情况发生？

• 有没有与国家、组织有关的深层次、行动性情报线索需要进一步分析挖掘？

• 有没有针对重点单位、重要信息系统、关键信息基础设施的精准威胁情报？

• 根据当前威胁情报线索，需要作出怎样的网络安全决策？

• 针对威胁情报提供方的考核情况如何？

    威胁情报挂图作战需要综合考虑网络空间中的人、物、地、事、关系进行图形设计。可以考虑从攻击者、被攻击利用对象、攻击活动与行为、攻击方法手段、攻击利用资源及图谱构建不可或缺的地图六个层面进行图层构建和要素提取。综合网络安全保护平台威胁情报及基础库数据，进行攻击者、被攻击利用对象、攻击活动与行为方面的信息抽取，构建三个主要素图层。在此基础上，通过多源威胁情报关联，补充与网络威胁攻击有关的攻击方法手段、攻击利用资源，构建两个关联要素图层。根据这五个要素图层的分类要素，分别形成各图层的细化图层，支持图层的分类与下钻，然后将这五个图层向地理图层映射，形成相应的地图，从而构建初步地理图谱。考虑要素之间的关联关系，确定图层之间的关联，将其作为某图层视角下数据展示联动的枢纽；确定图层之间的级别映射策略，进行图层叠加；确定组合要素和场景要素，并设计单一要素、组合要素、场景要素的可视化表达策略，进行各图层页面的设计；设计页面下钻、威胁情报业务动作发生时的交互响应策略，确定图形动态响应逻辑；设计视图转换策略，确定攻击方视图、活动行为视图、被攻击目标视图视觉转换时的页面响应、要素表达和数据加载策略，构成图形运转的主逻辑。通过上述过程输出威胁情报挂图作战图形。

    小结    

    实施网络安全挂图作战，必须从网络安全保护业务的实际需求出发，依托平台基础设施，通过面向分类业务的图层映射、要素提取与场景绘图，构建概览图、分级下钻图、解释图（涵盖流程图、关系图、逻辑图和各级地图），以丰富的图形展现网络安全保护平台信息数据，赋予作战“指挥官”判断、决策、指挥能力，支撑网络安全保护工作中等级保护、关键信息基础设施安全保护、安全监测、通报预警、应急处置、技术对抗、安全检查、威胁情报、追踪溯源、侦查打击、指挥调度等业务的开展。

理事服务 |  会员服务  

      请联系：13810321968（微信同号）     

     商务合作 |  开白转载 | 媒体交流 | 文章投稿       

     请联系：13810321968（微信同号） 

原文始发于微信公众号（关键信息基础设施安全保护联盟）：网络安全挂图作战之威胁情报挂图作战