洞见RSAC 2024｜情报上下文是关键——威胁情报应用的最佳实践

Stanczyk和Wikoff的分享从SEC（US Security and Exchange Commission，美国证券交易委员会）的新规定开始。2023年12月，SEC提出了一项关于网络安全事件披露的规定。按照规定，当出现重大网络安全事件时，组织机构需要在4个工作日内提交关于该事件的详细信息，以及事件可能造成的重大影响。但是在规定中并未明确定义重大事件的标准。因此，两位分享者提出，在这一环节可以使用威胁情报来对事件的重要性进行评估。

Stanczyk使用金字塔模型将威胁情报分为三个层次，分别是战术性（Tactical）、运营性（Operational）和战略性（Strategic）情报。战术性的威胁情报关注威胁主体指标和其他数据细节，帮助预测或尽早识别攻击行为；运营性的威胁情报侧重于记录威胁主体的攻击方法（TTPs），帮助全面了解攻击活动的实施方式，并制定应对策略；而战略性的威胁情报则涉及威胁主体的行为、动机，以及下一步可能的行为。

通过对大量零散信息进行串联，以上三个层级的情报贯穿了事件分析的整个流程，为响应人员提供了五个方面的信息，包括：攻击或事件的性质、威胁主体的特征、受影响范围、攻击与响应时间线、潜在影响与未来趋势。利用这五类信息，响应人员能够迅速摸清网络安全事件的来龙去脉。

Stanczyk表示，在一个公司或组织中，威胁情报的价值可以体现在许多环节。包括在事件处理过程前后的威胁管理、优先级排序、分析、关联等方面，以及其他的日常监控、检测、安全架构设计、决策制定等过程中。三个层级的威胁情报能够给从安全响应人员到决策者之间的所有角色提供有价值的信息。

接着，两位分享者使用5个案例，展示了威胁情报在分析研判网络安全事件重要性方面的价值。

如果一家公司有员工收到了钓鱼邮件，邮件中附有恶意链接或附件。面对这一情况，该如何判断这一事件的重要性？该采取哪种措施来应对？

不借助威胁情报，这家公司只能够根据自身收到钓鱼邮件的范围、是否有人点击了恶意链接或打开了恶意附件等信息来进行判断。可供分析的信息较少，难以进行准确决策。实际上，这可能是一次涉及多家公司的大规模钓鱼事件，可能造成严重后果。借助威胁情报就能够将此类信息串联，从而及时处置与上报。

如果在某公司的系统中发现了内网渗透工具的痕迹，还发现了一些奇怪的定时任务，如何判断该公司当前是否受到攻击？应采取哪种处置策略？这一事件是否属于需要上报的重大事件？ 

在上图中展示了一次典型的勒索攻击流程。在攻击发生前，受害者只能在图中很少的环节中发现蛛丝马迹。根据这些少量信息，很难作出全局的判断。实际上，这可能是来源于一个臭名昭著的黑客组织的勒索攻击，当前已有多家公司遭受到勒索，产生了巨额损失。该公司的网络已经遭到了入侵，成为了黑客组织的下一个勒索目标。借助威胁情报，能够将已知的线索与黑客组织偏好的攻击工具进行关联，从而及时发现并处置。

除了上述两个场景，分享者还列举了其他三个典型场景，包括APT攻击、借助AI的身份盗用、暗网数据泄露。威胁情报在这些典型问题的应对处置中都能够起到很大的帮助。

接着，Stanczyk分享了如何建立威胁情报能力基础，主要包括五个步骤：组建威胁情报团队，建立密切的内部交流，赋予合适的内部权限，设置情报优先级，并获取丰富的外部情报源。

最后，Wikoff总结，事件的上下文（Context）是事件处置过程中的关键，而威胁情报则是提供上下文的重要角色。

随着网络攻击复杂性的增加，单一组织机构在处置应对网络安全事件时常常势单力薄、力不从心。威胁情报通过聚合多方来源的海量信息，在事件处置中提供上下文，从而将多种线索串联起来，帮助受害者摆脱“盲人摸象”的窘境。这不仅可以体现在Stanczyk和Wikoff两位分享的事件重要性研判的过程中，还能够很大程度上帮助组织机构采取更主动的防御策略。以上文提到的钓鱼攻击场景为例，在收到钓鱼邮件后，根据威胁情报对恶意链接和样本进行关联和检索，配合网络空间测绘，能够进行批量封堵，实现“一网打尽”，使防御方处于更加积极主动的位置。

绿盟威胁情报平台的热点情报，对当前网络安全事件监测的热点，提供专项情报数据，包括APT、挖矿、反诈、勒索、暗网、失陷情报等，实现情报驱动对重点网络安全事件的监测，提升主动防御能力。