书接上回,上回书《也来聊聊威胁情报(一)》,我们讲到了威胁情报的定义,以及什么是机读情报,今天我们接着往下讲。
定义:人读情报(People-Readable Threat Intelligence,PRTI),顾名思义,人读情报,就是让人读的情报。一般是一些报告类的内容,是对目标进行高度浓缩和分析后,整理出来的文档,主要解决解决的是信息爆炸的问题,提供针对企业或者用户个性化的情报。同时,人读情报中也会包含机读情报的一些内容,比如IoC指标,TTPs、YaRa规则等。人读情报格式广泛,安全公告、漏洞预警、病毒/APT分析等都属于该类别。
格式:既然是人读的,那么其格式就不像机读情报那么严格了,一般都是采用非结构化自然语言(如PDF报告、博客文章、邮件通知)等方式,符合人工阅读的习惯和分析,无法直接进行自动化处理。
内容:人读情报的内容比较丰富,比如针对某黑客组织的报告,针对特定区域在特定时间的威胁趋势,针对特定行业的攻击趋势和事件,针对某攻击事件的详细报告,针对某企业的针对性报告等。除了趋势报告之外,人读情报的内容还包括对IoC指标的上下文分析(攻击者背景、动机),攻击者的TTPs,即攻击者所使用的战术、技术和攻击流程,了解攻击事件的时间线、影响范围,让安全人员提前做好防御措施,决策者可以做出战略决策。如:
卡巴斯基针对鲑鱼旋转行动的报告(一种针对APAC工业组织的新攻击)
- 邮件通知、PDF附件
- 网页文章、社交媒体动态
- 行业会议分享
低频更新(天/周/月/年),人读情报不象机读情报,关注的及时性,对更新频率要求高,而人读的情报多为报告形势,侧重趋势分析与总结,包括事后的复盘,因此对更新速度上没有过高的要求,更是更强调深度。
强调深度,用于“冷数据”分析(如攻击活动复盘)。因此为了深入分析,这种报告往往需要几个月的时间进行发布,以便收到更多的信息,进行更深入的分析。
机读情报中,只有攻击者的简单信息,比如攻击者所使用的IP、哈希等指标,并没有具体的描述,防守者只能查有没有受到攻击,而不能了解更多信息,更不能提前做出防御手段。而通过人读情报的分析和总结,可以理解上下文(如“攻击是出于政治还是经济利益”),通过对攻击者的画像,可以了解:
谁在攻击我(Who)。是哪个组织哪个人?这个组织的情况,如人员组成、攻击手法、常见技术等。
为什么要攻击我(Why)。是出于经济目的还是政治目的?
如何知道受到了攻击(What)。攻击的特征和失陷的特征是什么?如果查找和确定是否受到了攻击。
攻击点会在哪里?(Where)。常见的薄弱点,漏洞、邮件或者其他。
什么时间会攻击我?(when)。黑客一般攻击的时间点。
怎么攻击我(How)。用的什么技术,攻击流程是什么?
对于APT组织,你面对的不是恶意程序或者是攻击所用的工具,你面对的是人。 做为人,他们有喜好、特长、模式和弱点。 威胁分析人员研究这些人的这些特点,帮组理解这个APT攻击背后人的因素,包括其攻击通常采用的技术手段、后端的基础架构和流程 (TTP)等帮助理解上下文和溯源的信息,更方便决策者做了防御措施和安全决策。通过报告的学习和培训,让公司员工更好的提升安全意识和能力。
政府:政府通过APT报告,了解国家级层面的攻击行为,通过趋势报告提前了解攻击的发展趋势,提前做出针对性的资金倾斜和政策引导。
行业监管部门:及时了解本行业内的威胁情况,做到防患于未然。
企业高管:了解本单位在外网的暴露情报,了解有些试图对本公司或本行业发起的针对性攻击。了解本行业的安全动态和趋势等。
技术分析人员:通过分析报告了解某些攻击的详细信息,如攻击步骤、攻击都常的攻击方法等,便于技术人员进行分析并做出应对措施。
很多人认为人读情报的重要性不如机读情报,都是一些报告类的东西,没有什么价值,其实这是一种误解,人读情报关注的人一般是企业C字头的高管或者政府等,他们可以通过这些报告,了解未来的趋势,以及投资重点。网络安全攻防的本质是人与人之间的对抗或每一次入侵背后都有一个实体(人或组织),而情报的本质是关于对手的知识。对对手了解越多,在攻防对抗中才能不落下风,古人有云:知己知彼,方能百战不殆。而情报,就是知彼的重要手段。
上面讲的是按照阅读主体,分为机读情报(MRTI)和人读情报(PRTI)。如果按照情报的内容又可以分为:技术情报、战术情报、运营情报和战略情报。
原文始发于微信公众号(大兵说安全):也来聊聊威胁情报(二)
评论