新时代网络安全的显著特征是技术对抗。为了大力提升网络安全技术对抗能力,需要建设网络安全保护平台,建设网络安全智慧大脑,利用大数据和人工智能等技术将网络安全业务上图,实施挂图作战。
什么是“威胁情报”?
威胁情报是网络空间安全领域典型的威胁信息。自威胁情报的概念被提出,有很多机构和研究人员对其进行了阐述。不过,目前业界对威胁情报还没有统一的定义。Gartner公司给出的定义是:威胁情报是关于IT或信息资产所面临的现有或潜在威胁的循证知识,包括情境、机制、指标、推论与可行建议,这些知识可为威胁响应提供决策依据。Forrester公司认为:威胁情报是指对内部和外部威胁源的动机、意图和能力的详细叙述,可以帮助企业和组织快速了解敌对方对自己的威胁信息,从而帮助提升威胁防范、攻击检测与响应、事后攻击溯源等能力。SANS研究院给出的定义是:威胁情报是针对安全威胁/威胁者利用恶意软件、漏洞和危害指标收集的用于评估和应用的数据集。i SIGHT认为:威胁情报是关于已经收集、分析和分发的,针对攻击者及其动机、目的和手段的,用于帮助所有级别的安全人员和业务员工保护其企业核心资产的知识。
网络威胁信息既包含与威胁直接相关的情报类信息,也包含与威胁间接相关的基础类信息和知识类信息,如网络资产、网络拓扑、应用服务、组织机构、人员、IP地址库、流量、日志、地理位置信息等。这些信息可以与威胁情报进行有效的碰撞、比对、关联和拓线,是网络安全智慧大脑开展智能分析推理的重要参考,也是实现网络安全挂图作战的基础。
威胁情报类型
在网络威胁信息中,威胁情报是与网络空间安全直接相关的数据,也是支撑网络安全保护和挂图作战的核心数据。网络威胁情报具体包括设备、设施、软件、系统、应用、网络等各类保护对象的安全漏洞及隐患,病毒、木马、蠕虫等恶意程序,以及网络中由扫描、探测、攻击、渗透引发的安全告警信息。威胁情报的分类方法多种多样,下面简要介绍三种具有代表性的分类方法。
1.基于使用对象的分类方法
Chismon等人根据威胁情报使用对象的不同,将其分成战略情报、运营情报、战术情报、技术情报四类。战略情报主要面向高层管理人员,包括大环境或大背景下的攻击来源、攻击危害、攻击者使用的资源与能力等宏观信息,主要是关于攻击趋势、财务影响及可能影响高层决策的信息。运营情报是指组织即将遭受的攻击的相关信息,供高级安全人员(如安全经理、事件响应团队的负责人)使用。战术情报主要面向安全分析人员和安全响应人员,即战术、技术和程序(TTP),是关于威胁参与者如何进行攻击的信息,能够帮助安全响应人员针对当前情况采取相应的防御战术。技术情报是指安全人员或安全设备可以直接操作或读取的情报,如具体的远程控制域名、恶意IP地址、恶意样本散列值等。
2.基于应用场景的分类方法
基于不同的应用场景,可以将威胁情报分成归属情报、检测情报、指向情报、预测情报四类。归属情报用于根据行为证据指向特定攻击者,解答威胁行为人是“谁”的问题。检测情报用于识别在主机和网络上观察到的安全事件,解答威胁行为是“什么”的问题。指向情报帮助预测哪些用户、设施或者网络实体可能成为定向攻击的目标,解答威胁行为针对“谁”的问题。预测情报通过行为模式预测威胁事件发生的可能性,解答威胁行为接下来会“怎样”的问题,与态势感知密切相关。
3.基于数据类型与价值密度的分类方法
基于数据类型与价值密度,可以将威胁情报分成情报数据、情报信息、情报知识三类。情报数据包括样本、IP指纹、域名解析记录、Whois信息、数字证书等,特点是数量巨大、更新频率相对较低。情报信息包括样本、IP地址、域名、URL、邮箱等网络资源的黑白类信誉及C&C远程控制信息,特点是在系统对其进行分析研判后具有较强的时效性。情报知识包括安全事件报告、攻击手法TTP、黑客组织画像等,特点是数据量少、价值高,主要表现为非结构化数据,是通过人工分析挖掘生成的。
技术对抗挂图作战
威胁情报挂图作战业务与要素如图所示。
图示 威胁情报挂图作战业务与要素
网络安全威胁情报相关要素可分为战略型、运营型、战术型和技术型,进一步可细分为与攻击主体有关的国家、攻击组织、攻击者、虚拟身份,与攻击运营有关的攻击活动、攻击行为、通联动作,与攻击行为有关的攻击方法、攻击工具、攻击策略,与攻击资源有关的IP地址、域名、邮箱、漏洞、工具、样本、URL、网络账号,与被攻击客体有关的被攻击目标、被控制利用目标、保护目标、行业、省市、单位、部门、系统、网络、数据、资产,等等。上述要素互相关联,构成了错综复杂的关系。要素之间的关系就是威胁情报关联分析的重点。
网络安全威胁情报业务的负责人、指挥官在业务开展过程中关心的问题如下。
-
当前发生的哪些活动或行为值得进一步关注或分析?
-
网络安全威胁情报获取数量变化趋势如何,向其他业务分发的情况如何,共享交换情况如何,有没有异常情况发生?
-
有没有与国家、组织有关的深层次、行动性情报线索需要进一步分析挖掘?
-
有没有针对重点单位、重要信息系统、关键信息基础设施的精准威胁情报?
-
根据当前威胁情报线索,需要作出怎样的网络安全决策?
-
针对威胁情报提供方的考核情况如何?
小结
理事服务 | 会员服务
请联系:13810321968(微信同号)
商务合作 | 开白转载 | 媒体交流 | 文章投稿
请联系:13810321968(微信同号)
原文始发于微信公众号(关键信息基础设施安全保护联盟):网络安全挂图作战之威胁情报挂图作战
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论