威胁情报:随笔

admin 2021年4月25日01:16:21评论32 views字数 2106阅读7分1秒阅读模式


威胁情报:随笔


好久没有更新,上周怀揣着惭愧更新了一篇,今天才想起来忘了推。

----------------------------------


1、威胁情报带来的新气息


如同APT,威胁情报不是一项具体的技术、也不是一种特定的手段,而是一类行动、方法甚至框架的合集。

所以这类事物的出现往往会持续给人们带来新的气息,只要套路或方法更新,就会出现眼前一亮的新玩意。


在过去从迅速升温到逐渐冷静的过程中,威胁情报给对安全有所诉求的人们摆出了三个事实:


  • 不再执着于极致的防御能力


传统防御无论是通过外部的手段去发现问题还是自身对目标进行评估后去修复短板,甚至到后来大家都去用力探寻的深度防御、纵深防御,都是在防御层面追求极致,甚至很多方案中倾向于【绝对的防御能力】 —— 比如,啊算了,不说了 … 自己体会吧。

而威胁情报却是对“攻先于防"这一事实的承认,并通过情报的方式来试图缩短攻防之间的时间窗口。


  • 对规则快速流动能力的渴求


情报不同于规则,但就目前的防护框架来说,最终落地的却也只能是规则。

多数规则是可行且通用的,但环境而导致的规则差异也是存在的,所以情报才需要各种姿势的标准格式来覆盖这种差异。

而基于第一点,这种“规则”的快速流动能力是情报的根本价值之一。


  • 对人员能力的依赖和重定义


原有的对极致防御甚至绝对防御的追求,造就了很多“方案党” —— 他们可以不顾及攻击者视角和防护场景而去直接套用很多高大的标准和复杂的安全框架,这最终使很多方案党流入业内(这就是我之前在【国内安全行业人才的四个阶段】中提到的第三个阶段所带来的后遗症)。

而当重新认清了“攻先于防”、“规则需要流动”这些问题之后,对人才的需求将会出现转变。 


2、带来的套路


孙子兵法作为一部伟大的战术指南,它告诉我们“先知者,不可取于鬼神,不可象于事,不可验于度,必取于人”。

虽然我们一直在强调“人的对抗”,但在威胁情报所带来的攻防关系的定位,才开始让安全越来越贴近于人的对抗,其中的原因与上面所提三点密不可分(也互为印证)。 


人的对抗脱离不了“了解敌人、分析自己” —— 孙子也是这么说的,知己知彼百战百胜。那么,套路就由知己和知彼开始。


从知己知彼两个维度,可以延伸出很多的可用于观测的技术点,简单罗列出:

威胁情报:随笔


仔细观察第三级中的各个技术点,很快就会发现一个问题,知己和知彼实际上有相互作用的。

比如,知彼中的发布(渠道)可能与攻击目标的特性有着相关性,虽然只是弱相关。而对于知彼中的手段则必然与知己中的业务(也可能是资产或暴露)有着强相关。

这些相关性的判断主要来自于两处:空想(历史经验)和持续积累(正在发生的教训)。

比如,历史经验告诉我,近一年来,很多针对操作系统或应用的exp 多发布在几个exp-db或是github上,而最近的教训告诉,如果舍得在某些群里散些红包也可以拿到一些特定场景的一手信息。


3、把套路套在一起


利用空想和积累,把上面的mind持续拆分、细化并关联起来。

威胁情报:随笔

(胡乱画的,看个意思)


当看到这里,就又会出现了新的问题 —— 我们知道了谁、用什么、以什么方式来打我们的什么东西、甚至清楚达到什么结果。但图中所能体现的,也仅此而已。

所以 …… 我发现我选错了工具,接下来,抽条线用excel来表达一下。


4、如何【知】己和【知】彼


简单来说,上面只是看起来做到了“知己知彼”,但实际上忽略了“知”的过程。

也就是说,只是摆出来了结果,而没有说明,是通过什么样的方式来达到“知”。

威胁情报:随笔

这是一个很粗糙的说明示例。但却能说明问题,也就是说,把对手的各种流转环节都记录下来、而这些流转过程中或最终达到我处的目标、伤害梳理清楚(按威胁分类梳理),就可以推理出使用什么样的手段去监控 —— 没错,虽然是横向的一张表,但却是蕴含逻辑的:敌人的动作、映射到我这里是什么、所以应该如何做。


而这些过程中的难点并不在于监控本身,这些监控的套路都已经相当的成熟。实际上难处在于识别那个环节 —— 识别本身并不限于特征的识别,更多的是对捕获到信息的识别,什么样的信息是有价值的信息、什么样的信息可以转为情报。其实,每每出现漏洞时,在朋友圈静静观察一两个小时的撕逼情况,就可以判断漏洞的价值、是否需要转换以及转换的思路。而这些,也并不是不能通过自动化的监控来实现,只是需要更细化的场景需求和相对丰富一些的想象力才能完成。


在最后的表格里也不难发现,我把“敌”写在了前面、“我”写在了后面,而更前面则是以“敌”的视角所构建的场景,这实际上已经摆明了主角的位置。

在全网的监控能力已经如此成熟的今天,如果能够为每一类威胁构建这样一条流,就可以梳理出这条流所需的每一个监控点。而威胁的类别拆解越细,所能匹配到的监控点就越细致,最终所能够二次拆解出来的场景也就更细致。这样对“我”自身的识别与抑制能力也就越到位。


5、尾


说了半天,原来只是一张表。

但放眼看去,在监控手段丰富到不可想象的今天,我们拿到这些爬虫、机器人、蜜罐 … 等等监控工具的结果时会产生一个疑问 —— 这些数据该如何使用?

其实本质并非是不知道该如何使用这些数据,而是在于最初并没有想好为什么去获取这些数据。


----- 我是正文与付款二维码的分割线 -----

威胁情报:随笔


本文始发于微信公众号(Piz0n):威胁情报:随笔

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年4月25日01:16:21
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   威胁情报:随笔https://cn-sec.com/archives/347054.html

发表评论

匿名网友 填写信息