论文说明开源情报在计算机安全事件中的应用越来越普遍,但也存在缺乏标准和规范及系统化的应用。关键是该论文中有一些受访者常用的开源情报和免费的工具。
摘要
各个国家和组织在各级建立了计算机安全事件反应小组,以协调对计算机安全事件的反应。众所周知,许多计算机安全事件反应小组(CSIRT),包括国家计算机安全事件反应小组(CSIRT),在工作中经常使用公共数据、开源情报(OSINT)和免费工具。然而,目前的文献没有研究国家计算机安全事件反应小组(CSIRT)工作人员在运作实践中如何使用和看待这些数据和工具。为填补这一研究空白,对来自亚洲、欧洲、加勒比和北美的13个国家计算机安全事件反应小组的工作人员进行了在线调查和12次后续半结构化访谈。目的是了解国家计算机安全事件反应小组(CSIRT)工作人员如何使用和了解这些数据和工具。
这项研究分两个阶段进行:首先与MyCERT(马来西亚的国家 CSIRT)取得一些初步结果,然后与另外12个国家计算机安全事件反应小组(CSIRT)扩大第一阶段的结果。来自MyCERT的13名参与者完成了调查,其中7名参与者参加了半结构化访谈;来自另外11个国家计算机安全事件反应小组的12名参与者参加了调查,5个国家计算机安全事件反应小组的5名参与者接受了访谈。
调查结果和访谈得出了三个主要结论。
首先,国家计算机安全事故反应小组(CSIRT)工作人员积极使用公共数据、开源情报和免费工具,得到确认,例如,所有25名参与者都使用公共数据开展事件调查。
第二,除两名(即25人中的23名,92%)的参与者外,所有人都认为公共数据、开源情报和免费工具有助于他们的业务实践。
第三,在使用公共数据、开源情报和免费工具方面存在一些操作挑战。特别是,对于如何在不同的国家计算机安全事故反应小组(CSIRT)中使用这些数据和工具,缺乏标准和系统的方法。还缺乏用于验证这些数据和工具的标准和系统程序。这些发现要求进一步研究和制定指导方针,以帮助计算机安全事件反应小组(CSIRT)更有效地使用这些数据和工具。
关键词:CSIRT、计算机安全事件反应小组、国家CSIRT、计算机应急反应小组、工作人员、感知、网络事件、公共数据、开源情报、免费工具
导言
如今,计算机和网络安全事件频繁发生,影响到组织、公民和关键信息基础设施。虽然预防措施——例如应用安全更新、执行备份和定期网络安全检查——是重要的,但仅仅依靠这些措施是不够的。相反,有效处理计算机安全事件同样重要。这意味着必须创建和维护专门的网络安全分析员小组,以发现、减轻和帮助组织从计算机安全事件中恢复。
为此,广泛建立了计算机安全事件反应小组。它们是在不同类型的组织中形成的,例如政府、军事、关键基础设施、学术和商业部门。他们的服务包括:反应式服务、事件管理、主动式服务,如监测、易损性处理语言以及团队内部的信息共享。“在所有计算机安全事件反应小组中,国家计算机安全事件反应小组(CSIRT)可在保护国家基础设施免受网络攻击方面发挥关键作用(通过计算机安全事件处理)。
2016年,欧洲议会和欧洲理事会通过了欧盟国家创新系统指令,其中要求欧盟成员国拥有运作良好的计算机安全事件反应小组(CSIRTs)“遵守基本要求,确保有效和兼容的能力来处理事件和风险,并确保欧盟一级的有效合作”。此外,欧洲理事会(欧盟)NIS指令第12条还规定欧洲理事会(欧盟)成员国之间开展跨境合作,包括泛欧盟计算机安全事件反应小组(CSIRTs)网络。
全世界,由于越来越多的国家和地区已经成立了其国家计算机安全事件反应小组(CSIRTs),联合国国际电信联盟(ITU)正积极帮助各国建立国家计算机安全事件反应小组,或在支持其运作时,计算机安全事件反应小组(CSIRT)通常能够获得各种封闭来源来源的数据和调查工具。这包括受害人(包括组织和公民)、执法机构(LEAs)以及合作计算机安全事件反应小组(CSIRTs)等可信伙伴的自报事件数据或证据;然而,这些封闭源数据和工具往往不足以让计算机安全事件反应小组的工作人员有效开展调查。
例如,本文第一作者——马来西亚计算机安全事件反应小组(MyCERT)的一名工作人员——指出,国家计算机安全事件反应小组(CSIRT)提供的封闭来源数据和商业调查工具有限。因此,计算机安全事故反应小组(CSIRT)通常需要利用公共数据、开源情报和互联网上可用的免费工具,提供额外的情报来支持事故反应。一些计算机安全事故反应小组(CSIRT)还积极开发自己的工具,支持事故反应,甚至提倡在互联网上免费使用和分享。
关于公共数据、开源情报和免费工具如何用于国家计算机安全事件反应小组(CSIRT)的操作的系统性公开讨论,在目前的研究文献中缺乏。此外,第一作者在MyCERT中的观察表明,在操作中没有系统地使用公共数据,开源情报和免费工具。因此,本研究旨在探讨公共数据、开源情报和免费工具在国家计算机安全事件反应小组(CSIRT)运作中如何被工作人员使用和感知,以调查这一已查明的研究差距。
术语
在本文中,以下术语用于更精确地定义研究的范围:
• “公共数据”:公众可在互联网上免费获得的数据;
• “封闭源数据”:属于举报网络事件或向计算机安全事件反应小组(CSIRT)提供信息的受害者和组织的非公开(即私人或机密)数据;
• 开源情报工具:专门用于从开源(即公共)数据中促进和提取网络威胁情报(CTI)的软件工具和在线服务;
“免费工具”:免费提供的软件工具和在线服务(免费软件或开源软件),以帮助调查网络 事件;
• “计算机安全事件反应小组(CSIRT)工作人员”:国家计算机安全事件反应小组(CSIRT)雇员,他们参与日常处理行动中的事件,包括分析员、团队领导以及了解如何在行动中反应事件的管理人员;
• “网络事件”:“任何对网络和信息系统安全产生实际不利影响的事件”(欧洲理事会(欧盟)NIS指令27第4条中的定义)。
研究问题
这项研究的两个主要研究问题是:
• RQ1:国家计算机安全事件反应小组(CSIRT)在使用公共数据,开源情报和免费工具方面的现有操作实践是什么?
• RQ2:国家计算机安全事件反应小组(CSIRT)的工作人员如何看待公共数据、开源情报和免费工具在其业务实践中的用处?
贡献
这项研究的主要贡献是:
1. 详细了解公共数据、开源情报和免费工具如何在不同的国家计算机安全事件反应小组(CSIRT)的操作实践中使用;
2. 经验证据证实,国家计算机安全事件反应小组(CSIRT)工作人员认为公共数据、开源情报和免费工具有助于调查事件;
3. 国家计算机安全事故反应小组(CSIRT)面临若干查明的业务挑战,这方面的知识有助于指导该领域的未来研究和发展。
本文其余部分安排如下。
第二部分概述了以前在计算机安全事件响应小组(CSIRT)操作中使用公共数据、开源情报和免费工具的工作。接下来的一节解释了研究中使用的方法,其中包括在线调查和一些半结构化访谈。随后是研究结果和研究结果,并讨论了总体研究结果。最后对今后的研究提出了一些建议。
有关工作
Jaatun等人在挪威石油计算机安全事件反应小组(CSIRT)的框架内进行了一次调查和半结构化访谈,以研究应对石油工业内部安全事件的能力问题。他们的研究发现,参与者对自己的计算机安全事件反应小组(CSIRT)的能力相对满意,但他们认为,可以通过计算机安全事件反应小组(CSIRT)工作人员和业界其他关键人员之间更好的沟通以及通过建立专门的信息共享平台来改善这种能力。
Werlinger人等利用半结构化访谈调查了学术界、政府和私营部门的事件应对做法。他们发现,事故应对是一项高度协作的工作,往往需要从业人员开发内部工具,用于诊断和发现事故任务。此外,发现事件很复杂,需要工作人员提供专门知识,需要利用可用和可靠的安全工具提供有效的支助。尽管该研究不完全是关于国家计算机安全事故反应小组(CSIRT)的行动,但它对一般事故反应做法和可能遇到的常见问题提供了一些见解。
Mana 和 Friligkos调查了欧洲管制空中交通管理公司的计算机应急反应小组(EUROCONTR/EATM-CERT)的事件处理做法。他们发现,事件反应所需的威胁数据和其他威胁信息在EATM-CERT内部计算机安全事件反应小组(CSIRT)和欧洲几个国家计算机安全事件反应小组(CSIRT)之间积极共享,受益于使用诸如恶意软件信息共享平台(MISP)等自动化工具。
Grispos等人就全球财富500强组织内计算机安全事件反应小组(CSIRT)的实践进行了实证研究,重点是事件学习。该研究侧重于事后学习所需的数据质量,但没有深入探讨有效调查所需的数据类型,这可能也牵涉到学习过程的五起事件。
Lineet等人进行的一项研究调查了若干工业管制系统组织的事件反应小组,发现参与研究的组织并不存在支持有效事件管理进程所需的书面计划、政策和程序。与会者主要依靠他们的隐性知识对事件作出反应;他们认为,只要事件期间有负责处理事件的工作人员,就足够了。
Kijewski和Kozakiewicz强调了威胁检测工具、蜜网、分类和封闭源数据对于计算机安全事件反应小组(CSIRT)的重要性,以便更有效和及时地处理和检测网络威胁。然而,他们没有强调公共数据、开源情报或免费工具已经或可以用于改进在计算机安全事件响应小组(CSIRT)操作中的检测和响应。
Tondelet等人对各组织的事件应对做法进行了系统的文献审查,发现从文献中查明的事件应对过程符合ISO/IEC27035:2011标准中定义的事件管理阶段。(请注意,ISO/IEC27035:201136已经由ISO/IEC 27035-1:201637和ISO/IEC 27035-2:2016.38修订)他们强调了工具支持调查的重要性和实践中自动化的需要,但没有进一步详细说明事故应对工作人员如何看待这些工具的有用性。
长期以来,公共数据一直被用于丰富许多应用中的封闭源数据,如协助执法机构(LEAs)进行犯罪调查,以获得及时、可靠和可采取行动的情报以便进行有效的商业决策,增加产品销售,并监测病毒在医疗情况下的传播。数字取证情报使用公共数据获取情报,因为它“快速、灵活、动态、可通信、可分享、伙伴形成攻击”的情报。他们甚至可以用来检查对关键基础设施的威胁,用来模拟网络犯罪分子将如何进行网络攻击——对此的理解将有助于减轻这种威胁,用来改进组织中的网络安全态势,用来改进搜索与谷歌搜索相结合的新信息,在招聘时进行背景调查,用来验证学生任务的真实性,用来跟踪网络犯罪分子的早期活动。
本文的主要论点是,当前文献中的大部分研究都集中在组织而非国家计算机安全事故反应小组(CSIRT)的计算机安全事故反应小组(CSIRT)的实践上。此外,这些研究主要在2017年前发表,因此,它们没有反映当前威胁状况和行动挑战的最新情况。这些研究中有一半以上是关于信息共享、协调网络事件和计算机安全事件反应小组的管理实践。关于如何利用公共数据、开源情报和免费工具调查事件的工作很少。其他研究人员也观察到,计算机安全事故反应小组(CSIRT)的议题在学术研究中仍然代表性不足,因为该课题本身新颖,建议需要在该领域进行更多的实证研究,以获得更多洞察力并探索该课题中的许多领域,以便更全面地了解计算机安全事故反应做法。因此,缺乏对公共数据的研究,开源情报CSIRT,即国家计算机安全反应小组使用的免费工具。他们面临的挑战,特别是在公共数据,开源情报和免费工具如何帮助应对这些挑战。
方法
本研究采用了混合方法,包括在线调查和一些半结构化访谈,类似于以前的一些研究。这项研究得到了提交人机构道德委员会的赞成意见,参考编号0621920。与会者同意,只要不披露个人信息,就将其直接引文列入研究出版物和报告。
参与者的征聘
这项研究的预定参与者是应对事件的工作人员和了解如何在国家计算机安全事故应对小组应对事件的工作人员。在第一阶段,来自MyCERT的16名参与者是通过电子邮件招募,将研究的重点放在单个国家计算机安全事故反应小组(CSIRT)的业务上。之所以选择MyCERT,是因为论文的第一作者是MyCERT的雇员,因此能够直接接触工作人员,从而使招聘更加容易。13名与会者同意参加调查,其中7名与会者同意参加半结构化访谈。在第二阶段,通过第一作者与美国卡内基梅隆大学的CERT/CC的接触,招募了其他国家计算机安全事件反应小组(CSIRT)的参与者。目的是扩大和验证第一阶段的调查结果。共有11个国家计算机安全事故反应小组的12名雇员参加了在线调查,另外5个国家计算机安全事故反应小组各一名参加了后续访谈。第二阶段允许从一个更加多样化的国家计算机安全事件反应小组(CSIRT)收集观点和观点,以避免从单个计算机安全事件反应小组(CSIRT)(MyCERT)观察到的偏见。这两个阶段和两种数据收集方法以及它们所属的国家计算机安全事件反应小组的参加者人数列于表1。
网上调查
这项调查使用Typeform,一个基于订阅的在线调查平台。调查问卷分为三个部分,共23个问题:
• A节询问参与者的工作经验和工作范围,以帮助根据具体情况回答其他问题,以及他们在后续面试中所说的话;
• B节是关于在工作实践中使用的数据类型和开源情报工具,以及这些工具在工作人员眼中的效用;
• C节试图在国家计算机安全事件反应小组(CSIRT)收集关于使用公共数据和开源情报工具的操作挑战的信息。
有些问题有多种选择,但通常有一个“其他”选项和一个开放式文本框,供参与者提供进一步的细节。其他一些问题是完全开放的,因此参与者可以填写他们认为合适的内容。调查所用的问题列于附录A。
半结构化访谈
本研究采用半结构化访谈,通过互动讨论,从计算机安全事件反应小组(CSIRT)工作人员中汲取更详细的见解。访谈日程包括25个一般性问题,涉及参与者的基本信息、公共数据开源情报和免费工具如何被计算机安全事件反应小组(CSIRT)工作人员使用,以及参与者在工作中面临的挑战(见附录B)。每次面试要花一个小时才能完成。面试问题和题目的顺序是灵活的,允许受访者强调任何其他相关的新题目。所有采访几乎都在参与者选择的在线视频会议平台上进行:六个在WhatsApp上,四个在Zoom上,一个在GoogleMeet上,一个在微软团队上。所有面谈均经参加者允许录音,面谈者(第一作者)也在面谈中记下要点。
数据分析
调查数据的分析主要采用定量方法,基于描述性统计分析,将数据归纳和分类为数字形式和百分比。还通过综合所有参与者的总体反应进行了一些定性分析。
在线调查的结果被用于对访谈数据进行定性分析,从中得出主要结论。
在半结构化访谈中,12份访谈记录被手工转录,每份记录都标有相应的计算机安全事件反应小组(CSIRT)的名字(而不是参与者的名字),以尊重他们的隐私。通过与受访者的成员核对,验证了记录稿的可信度和准确性。转录本被加载到名为Atlas.Ti的定性分析软件系统中,用于随后的软件辅助编码。采用自下而上的"定性方法"进行专题分析,以捕捉从访谈数据中出现的重要主题或模式。
表1:不同国家计算机安全事故反应小组(CSIRT)的参与人数及其分两个阶段和两种数据收集方法
|
阶段 |
国家计算机安全事故反应小组 |
网站 |
与会者人数 |
|
|
调查 |
访谈 |
|||
|
1 |
MyCERT(马来西亚) |
https://www.mycert.org.my/ |
13 |
7 |
|
2 |
CERT.at(奥地利) |
https://www.cert.at/ |
1 |
1 |
|
BGD e-GOV计算机事件反应小组(孟加拉国) |
https://www.cirt.gov.bd/ |
1 |
0 |
|
|
CSIRT-RD(多米尼加共和国) |
https://cncs.gob.do/ |
1 |
0 |
|
|
CERT-FR(法国) |
https://www.cert.ssi.gouv.fr/ |
0 |
1 |
|
|
JPCERT/CC(日本) |
https://www.jpcert.org.jp/ |
1 |
0 |
|
|
CERT-PH(菲律宾) |
https://www.enstrt.gov.ph/ |
1 |
1 |
|
|
斯里兰卡 CERT/CC(斯里兰卡) |
https://www.cert.gov.lk/ |
1 |
1 |
|
|
INCIBE-CERT(西班牙) |
https://www.incibe-cert.es/ |
1 |
0 |
|
|
SWITCH-CERT(瑞士) |
https://www.switch.ch/ |
1 |
1 |
|
|
TwCERT/CC(台湾) |
https://www.twcert.org.tw/ |
1 |
0 |
|
|
美国-CERT(美国) |
https://us-cert.cisa.gov/ |
1 |
0 |
|
|
一个匿名的国家计算机安全事件反应小组 |
2 |
0 |
||
|
共计 |
25 |
12 |
||
整个编码过程使用描述性聚焦编码方案。首先,使用Atlas.Ti从采访数据中突出重要的引文或摘录,然后从引文中提取重要的代码。这些代码通过捕捉受访者的观点或观点来描述数据,而无需受访者(第一作者)发表意见,同时牢记研究问题它们的语义相似性,最终被用来确定重要的主题。
共从面谈数据中提取了344个回答,从回答中获得了44个代码。44个代码被分类为18个代码组和四个主题。此外,所有受访者都被要求提供关于其国家计算机安全事故反应小组的一般背景资料。由于信息简单,这些信息没有被编码,而是直接从面试脚本中总结出来。参与的国家计算机安全事件反应小组(CSIRT)的四个主题和一般背景在“备忘录”(memoing)中详细描述,这是在定性数据分析中编码过程中的一个有用步骤,在分析阶段也采用了这一步骤。
结果和结论
本节介绍了在线调查和访谈的分析结果。首先介绍基于MyCERT数据的结果,然后介绍基于其他国家计算机安全事故反应小组(CSIRT)的数据的结果。
网上调查结果
如上所述,调查数据是根据描述性统计和一些定性综合分析得出的。这些结果在下面的不同方面显示。
参与者统计
MyCERT的13名参与者和其他国家计算机安全事故反应小组的12名参与者参加了在线调查。25名参与者还包括四名团队领导人和两名高管。请注意,团队领导也是分析师,但通常拥有丰富的经验。高管不是分析师,而是支持分析师的人。详细分布如图1所示。所有参与者都有足够的经验在国家计算机安全事故反应小组(CSIRT)工作,如图2所示。
事件调查方法
一个调查问题问与会者,他们的国家计算机安全事件反应小组(CSIRT)是如何调查事件的。这可以是手动的、半自动的、自动化的或三种基本方法的不同组合。如图3所示,半自动化方法是最流行的,大多数参与者部分或全部依赖这些方法。没有参与者报告他们单独使用(完全)自动化方法,因此这个选项没有显示在图3中。MyCERT参与者的结果与其他国家计算机安全事件反应小组(CSIRT)参与者的结果基本一致。
参加者在公共数据方面的经验
调查结果显示,调查的所有25名参与者都使用公共数据调查事件。指示如下:公共数据在国家科技的业务实践中发挥着非常重要的作用。
与会者使用了许多不同类型的公共数据。例子包括公开共享的恶意软件样本,例如来自病毒总数、67个公开公开的恶意互联网协议(IP)地址和网络钓鱼网站的统一资源定位器(URL)、公共域名服务(DNS)记录、来自搜索引擎(例如Google Search)的数据、来自其他国家计算机安全事件响应小组(CSIRT)的公共信息、来自蜜罐的公共数据、特设公共数据馈送和数据集(例如Shodan)、68个GoogleHasys Datasys Databases Public Twitter和Cent Report)一些与会者还提到了公共应用程序编程接口(API)、部署在多个网络网关和域注册表数据库中的传感器,以及黑暗的网络,但没有解释他们所指的确切内容。
值得注意的是,所有25名参与者都报告说,他们总是在使用公共数据在国家CSIRT进行网络事件调查之前对其进行验证。他们报告为此使用了一系列工具和方法,包括运行验证实验、与可信外部组织(如其他国家计算机安全事件反应小组(CSIRT))和人(如独立的网络安全专家和研究人员)交叉检查数据,使用第三方验证工具来检查数据,并使用其他平台进行交叉检查。
参加者使用封闭源数据的经验
为了将公共数据的使用置于正确的背景之下,调查还对国家计算机安全事故反应小组(CSIRTs)使用封闭源数据提出了问题。除非MyCERT国家计算机安全事件反应小组(CSIRT)的一名参与者外,所有参与者都报告说,他们使用了封闭源数据。这些数据来自受害者和组织,他们报告事件并与国家计算机安全事件反应小组分享信息。所使用的封闭源数据包括来自受损系统的不同类型的文物,例如系统日志、恶意软件样本、数字取证图像、电子邮件头、钓鱼网站的统一资源定位器(URL)、恶意互联网协议(IP)地址和域名、污损网页和关于威胁的封闭源情报。
MyCERT和其他国家计算机安全事故反应小组的所有参与者都报告了在分析封闭源数据方面的挑战。据他们称,这些挑战包括:缺乏关于正在调查的攻击的详细信息;缺乏完整的背景,如事件的完整历史;不兼容的数据格式和需要定制解析工具的非结构化数据;以及太多需要人类专家解释数据的信息。一些报告的挑战已在文献中报告;例如Grispos指出,系统日志往往缺乏足够的信息来进行调查。
参加者使用软件工具的经验
调查还向参与者询问了他们用于事件调查的不同类型的软件工具(包括在线服务)。与会者提到了开源情报和非OSINT工具。
他们提到,这些工具的选择取决于事件类型、参与者的作用和专门知识。参与者使用的大多数开源情报工具是免费的,还有一些是商业工具,用于非常具体的调查领域,例如数字取证。与会者提到的免费工具列于表2。由于担心国家计算机安全事故反应小组(CSIRT)过度披露操作做法,一些与会者不愿披露他们使用的工具,特别是商业工具,因此该清单是国家计算机安全事故反应小组(CSIRT)工作人员使用的不完整的工具清单。请注意,有些工具也被认为是公共数据源,因为它们的功能包括或正在提供公共数据(如GoogleHackingDatabase)
参与者提到的工具
|
工具 |
URL |
简要说明 |
|
病毒工具 |
https://www.virustotal.com/ |
开源情报,FOS,恶意软件情报和分析 |
|
谷歌黑客数据库 |
https://www.exploit-db.com/ google-hacking-database |
开源情报,FOS,谷歌共享的在线情报 |
|
AlienVault OTX |
https://otx.alienvault.com/ |
开源情报,FOS,在线威胁指标 |
|
MISP |
https://www.misp-project.org/ |
开源情报,操作系统(OS),用于获取、共享和共同关联妥协指标 |
|
马耳他社区版 |
https://www.maltego.com/ |
开源情报,FW,用于分析威胁角色 |
|
Shodan |
https://www.shodan.io/ |
开源情报,FOS,用于搜索lot |
|
开源情报框架 |
https://osintframew.com |
开源情报,操作系统(OS),FOS,免费工具和资源信息的在线收集器 |
|
IntelMQ |
https://intelmq.readdos.io |
开源情报,操作系统(OS),用于收集和处理安全提要 |
|
Taranis |
https://github.com/NCSC-NI_/taranis3 |
开源情报,操作系统(OS),用于监视和分析新闻项目并编写安全建议 |
|
Censys搜索 |
https://search.censys.io/ |
开源情报,FOS,用于发现、监视和分析互联网连接的设备 |
|
混合分析 |
https://www.hybrid-analysis.com/ |
FOS,恶意软件分析 |
|
REMnux |
https://remnux.org/ |
FW,恶意软件分析 |
|
Windows进程 监视器 |
https://docs.microsoft.com/en-us/ sysinternals/downloads/procmon |
用于监视Windows上的运行进程 |
|
MobSF |
https://github.com/MobSF/ Mobile-Security-Framework-MobSF |
操作系统(OS),用于移动设备抑制和恶意软件分析 |
|
Wireshark |
https://www.wireshark.org/ |
操作系统(OS)、网络协议分析器 |
|
安全问题 |
https://securityonionsolutions.com |
操作系统(OS)、网络协议分析器 |
|
Windows系统套件 |
https://docs.microsoft.com/en-us/sysiinternals/down load/sysinernals-suite |
用于故障排除的Windows工具集 |
|
乔沙箱 |
https://www.joesandbox.com/ |
操作系统(OS)、FOS、恶意软件分析 |
|
PE iDentifier |
htt ps://www.aldeid.com/wi ki/P Ei D |
用于检测封隔器、密码器和编译器的FW、PE文件分析 |
|
Hxd |
https://mh-nexus.de/ |
FW+OS,十六进制编辑器 |
|
网络知识系统 |
https://tools.netsa.cert.org/six/ |
操作系统(OS)、网络流收集和存储基础设施 |
|
nfdump |
https://github.com/phaag/nfdump |
操作系统(OS),用于收集和处理网络流和sflow数据 |
|
Nfsen |
http://nfsen.sourceforge.net/ |
操作系统,nfdump的图形前端 |
|
DomainToolsWHOI |
https://whois.domaintools.com |
FOS、域名和IP地址查找 |
|
杜谷鸟沙箱 |
http://cuckoosandbox.org/ |
操作系统(OS)、恶意软件分析沙箱 |
|
阿帕奇脉冲星 |
https://pulsar.apache.org/ |
用于网络流分析的操作系统 |
|
ApacheFlink |
https://flink.apache.org/ |
用于网络流分析的操作系统 |
参与者如何感知公共数据和开源情报工具的有用性
调查询问参与者,他们是如何看待公共数据和开源情报工具在五个维度上的效用的。除一名来自MyCERT的参与者外,所有人都同意或强烈同意公共数据和开源情报工具在计算机安全事件响应小组(CSIRT)操作中是有用的。其他国家计算机安全事故反应小组(CSIRT)的参与者也观察到同样的情况:12名参与者中有11人同意或强烈同意公共数据和开源情报工具的用途。详细细目统计如图4所示。
关于合并公共数据和封闭源数据的另一个问题,来自MyCERT的大多数与会者(13, 62%中有8人)同意或强烈同意,通过将公共数据和封闭源数据合并,他们往往可以在分析工作中取得更好的结果。在其他国家计算机安全事件反应小组(CSIRT)的参与者中观察到类似的趋势:12个参与者中有9个(75%)同意或强烈同意同样的看法。
半结构化访谈结果
在线调查的结果导致一些有趣的发现,例如,所有参与者使用公共数据,并且大多数参与者认为开源情报工具有用。半结构化访谈进一步巩固和扩大了这些调查结果。如表1所示,来自6个国家计算机安全事件反应小组(CSIRT)的12名受访者参加了一次访谈,包括7个MyCERT和一个国家计算机安全事件反应小组(CSIRT)。根据文件后述的主题分析方法,将围绕四个确定的主题讨论访谈结果:
• 1:国家计算机安全事件反应小组(CSIRT)如何使用公共数据,开源情报和免费工具;
• 2:计算机安全事件反应小组(CSIRT)工作人员如何感知公共数据,开源情报和免费工具;
• 3:网络事件信息的报告和共享;
• 4:国家计算机安全事故反应小组(CSIRT)所面临的操作挑战。
在提出上述四个主题的结果之前,将给出一般性背景(源于与受访者的早期讨论)以提供背景。
在所有访谈开始时,受访者被要求介绍其国家计算机安全事故反应小组(CSIRT)及其对国家计算机安全事故反应小组(CSIRT)操作做法的一般理解。
大多数国家计算机安全事件反应小组(CSIRT)主要通过使用服务台或票务系统来管理和处理安全事件。网络事件是根据国家标准和技术研究所(NIST)计算机安全事件处理指南和 SANS 研究所的 6 个事件处理步骤所定义的程序来应对的。来自MyCERT的受访者解释说,MyCERT管理事件响应,遵循三级流程,根据三级复杂性处理事件。SWITCH-CERT的一名受访者报告了类似的情况,SWITCH-CERT是瑞士国家计算机安全事件反应小组(CSIRT)中的两个小组之一,专门处理复杂的恶意软件事件。CERT-FR(法国国家计算机安全事件反应小组)的一名与会者报告说:
CERT-FR拥有一个专注于数据采集和分析的专门团队。来自其他国家计算机安全事件反应小组的受访者说,他们的计算机安全事件反应小组没有类似的层次结构,但已制定计划,在其行动中发展这种层次。
受访者被要求谈论他们的计算机安全事件反应小组(CSIRT)如何对事件进行分类。之所以讨论这个问题,是因为计算机安全事件反应小组(CSIRT)经常使用预先定义的事件分类法,通常将网络事件分为两类:技术事件(如恶意代码、垃圾邮件、漏洞处理、入侵和入侵尝试以及拒绝服务攻击)和非技术事件(如骚扰、内容相关和欺诈)。受访者的答复显示,并非所有国家计算机安全事故反应小组都采用单一的事故分类办法。在六个国家计算机安全事件反应小组中,三个只处理技术事件,另外三个处理技术和非技术事件。
主题1:国家CSIRTS如何使用公共数据,开源情报和免费工具这个主题侧重于讨论公共数据的使用,开源情报和国家计算机安全事件反应小组(CSIRT)内的免费工具。这些采访与在线调查不同,在线调查没有明确询问关于免费工具的问题,以避免不必要的混乱。在采访中,开源情报工具和免费工具之间的微妙关系被涵盖了。
考虑到在线调查的结果,看到MyCERT的所有七位受访者都再次确认在其日常事件反应工作中使用了公共数据,这并不奇怪。MyCERT的所有参与者都表示,公共数据主要用于获取更丰富的(上下文)信息和对特定事件的更多洞察力。受访者表示,除了协助调查外,公共数据还被用作制作关于安全咨询和警报的投入
新的威胁(作为公众安全意识活动的一部分)
类似地,关于开源情报工具的使用,来自MyCERT的受访者中,刚刚超过一半的人(七分之四)在事件调查工作中使用开源情报工具,而所有受访者都使用免费工具(开源情报和非OSINT工具)。
MyCERT受访者的调查结果得到了其他国家计算机安全事件反应小组的受访者的确认。所有五个受访者在工作中使用了公共数据、开源情报和免费工具。此外,他们使用它们的理由和目的非常相似。
其他国家计算机安全事件反应小组(CSIRT)调查参与者提到的大多数工具在采访中得到进一步确认,如CERT.at、SWITCH-CERT和CERT-FR的采访者提到表2中所列的IntelMQ。一些受访者还提到了一些额外的免费工具,见表3。一位受访者还提到了由奥地利国家计算机安全事件反应小组(CSIRT)开发的工具,该小组的GitHub portal8'列出了许多工具,如IntelMQ。
受访者提到的其他工具
|
工具 |
URL |
简要说明 |
|
IDA Pro Free版本 |
https://hex-rays.com/ida-free/ |
FW,恶意软件分析 |
|
Splunk免费版本81 |
https://www.splunk.com/en_us/download.html |
FW,测试分析 |
|
记事本++ |
https://notepad-plus.org/ |
操作系统,日志分析通用文件编辑器 |
|
Kali Linux |
https://www.kali.org/ |
FW+OS,安全性增强的Linux发行版,有很多有用的工具 |
|
N地图 |
https://nmap.org |
用于网络发现和安全审计的操作系统(OS) |
|
OpenCTI |
https://www.openci.io/ |
用于存储、组织、可视化和分享网络威胁知识的操作系统 |
|
微小RSS |
https://tt-rss.org |
操作系统、网络新闻阅读器和聚合器 |
尽管在线调查和半结构化访谈都显示,公共数据和开源情报以及免费工具在运作中大量使用,但据指出,这些数据和工具通常都是临时使用的,没有系统的方法。从两个受访者的以下引文可以看出这个问题:
“不,它是临时完成的。”(受访者,CERT at)
“不幸的是,我们没有程序。还没有。实际上,我们正在慢慢地构建这个程序,这个还没有。(受访者,CERT-PH)
以上这些评论表明,目前的做法存在差距。因此,建议进一步研究如何以更加系统的方法改进国家计算机安全事故反应小组(CSIRT)内的现行做法。
主题2:计算机安全事件反应小组(CSIRT)工作人员如何感知公共数据,开源情报和免费工具
该主题侧重于受访者对公共数据、开源情报和免费工具的感知,包括优点(特别是它们是否被认为在计算机安全事件响应小组(CSIRT)操作中有用)和一些缺点(包括有效、真实性和可用性的问题)。总的来说,来自MyCERT和其他国家计算机安全事件反应小组(CSIRT)的所有受访者认为公共数据,开源情报和免费工具是有用的。
如MyCERT的一名受访者所提到的,受访者认为公共数据对于从不同角度观看网络事件是有用的,并且它们可以作为其他有用信息的支点:
“我们可以从不同的角度看待提供给我们的数据,从不同的角度看待不同的观点,从不同的附加角度看待不同的观点,无论是来自其他数据的新信息,还是相关的信息。”(MyCERT)
一些受访者还提到,他们偏爱公共数据,因为它往往更及时(这是及时应对事件所必需的)。一位受访者表示,公共数据可以帮助节省时间,因为公共数据中通常容易获得诸如分析新型恶意软件之类的有用发现。这可以直接用于加强调查。MyCERT和其他国家计算机安全事件反应小组(CSIRT)的所有受访者都响应在线调查的结果,再次确认,公共数据与封闭源数据一起使用时,往往会导致更好的调查结果。
关于免费工具,来自几个国家计算机安全事件反应小组(CSIRT)的五名受访者谈到了它们的作用。例如,MyCERT的一名受访者断言免费工具可产生与商业工具可比的结果:
“我们使用免费版本IDA Pro来检查二进制文件的网络行为,并查看恶意二进制文件正在对操作系统(OS)做什么。静态分析的结果即使是免费的,也可能是有限的。其他人使用[ANONYMISED](商业工具)。结果是一样的,只是格式不同。(MyCERT)
来自斯里兰卡的另一位受访者CERT/CC提到,一个免费的工具如何帮助他们成功地识别了涉及事件的指挥和控制(C&C)服务器,这使他们能够通知相关的LEA撤下服务器。
来自SWITCHCERT的第三位受访者认为,免费工具的主要优势在于其可用性。他们还提到,开源工具在定制和围绕它们的活跃社区方面具有优势:
“好处是,免费工具是免费的,如果你有开源工具,你可以随意添加或修改源代码。如果你在社区中有开源,社区就会为社区进一步发展(受访者,SWITCH-CERT)
然而,受访者还报告了关于使用公共数据、开源情报和免费工具的问题,涉及公共数据的可靠性和真实性、可用性以及缺乏有效的开源情报和免费工具。因此,建议进一步研究如何评估这些数据和工具,以支持国家计算机安全事故反应小组(CSIRTs),了解使用哪些数据和工具。
详细细目统计如图5所示。
主题3:报告和分享关于网络事件的信息
访谈数据还显示,受害者与非CSIRT组织之间与国家CSIRT82报告并分享关于网络事件的信息的趋势以及这种趋势背后的原因。来自MyCERT的关注因公布所报事件而可能造成的声誉损害。还提到以下五个其他原因(每个受访者一个):
1)一些组织对数据隐私和信息披露采取严格的内部政策;
2)一些受害者和组织认为自己可以处理网络事件;
3)组织可以雇用第三方专家应对网络事件;
4)家庭用户由于隐私关切和其他个人原因而不报告事件;
5)可能无法获得报告事件所需的数据。
一名受访者还提到,一些组织报告了网络事件,但没有关于事件的详细信息,因为他们只想从MyCERT获取更多相关信息。
MyCERT受访者披露的事件报告趋势得到了其他国家计算机安全事件反应小组的受访者的证实。四名受访者提到,很难让受害者和非CSIRT组织向国家计算机安全事件反应小组报告网络事件。一位CERT的受访者提到,奥地利有一项条例,规定在奥地利报告网络事件。
非MyCERT受访者还提到导致缺乏报告的一些与MyCERT受访者建议的不同。来自CERT-PH(菲律宾国家计算机安全事件反应小组)的一名受访者指出了缺乏报告的两个主要原因:缺乏对国家计算机安全事件反应小组(CSIRT)的信任,特别是私营部门缺乏对国家计算机安全事件反应小组(CSIRT)的了解(CERT-PH在面试时只服务了三年)。SWITCHCERT受访者提到的第三个原因是,受害者可能害怕被指责为事件:
“这不仅仅是客户信任的问题。这更像是有些事情发生时害怕被责备。我想他们害怕有人会责备你,你身上发生了什么,怎么可能。(受访者SWITCH-CERT)
总体而言,受害者和非科技委组织缺乏事件报告和事件数据共享,就国家计算机安全事件反应小组(科技委)工作人员为何经常认为封闭源数据不足以进行事件调查提出了一些建议(见主题4)。这一意见还部分回答了国家计算机安全事件反应小组(CSIRT)工作人员为什么需要从公共数据(如主题1所指出的)获取更多信息。
受访者还谈到了国家计算机安全事故反应小组面临的挑战。这些挑战可分为三个领域:1)公共数据;2)开源情报和免费工具;3)资源(见表4)。请注意,一些受访者还提到因信息不准确而缺乏相关性的挑战或挑战,例如关于封闭源数据和购买商业工具的预算不足的问题,以及基于对开源工具的错误声称的问题。这些无关紧要和有问题的“挑战”被排除在本文的讨论之外。一些挑战代表了一个或几个受访者的孤立或非常主观的意见,这些意见也被排除在外。这种选择性综合确保了这里讨论的挑战,是所有国家计算机安全事故反应小组(CSIRT)的共同和具有代表性的挑战。
这些挑战基本上不言自明。它们还反映了政府、工业和安全研究人员重点关注的主要领域,以帮助国家计算机安全事故反应小组的工作。在所有挑战中,验证公共数据和工具是两个最重要的挑战。
进一步的讨论
在线调查和半结构化访谈的结果为回答第一部分提到的两个研究问题提供了充分的证据。对于RQ1,很明显,公共数据、开源情报和免费工具的使用在大多数(如果不是全部的话)国家计算机安全事件响应小组(CSIRT)中很流行,而与区域、大小、文化背景和成熟程度等属性无关。
尽管调查和访谈没有给出一套完整的公共数据源,开源情报和免费工具,但参与者的答复显示,国家计算机安全事件反应小组(CSIRT)工作人员使用了各种各样的数据源和工具。人们普遍认为,封闭源数据不足以支持国家计算机安全事件反应小组(CSIRT)内的事件调查。这意味着确实需要高质量的公共数据。国家计算机安全事故反应小组(CSIRT)工作人员在使用公共数据之前验证公共数据是通常的做法。关于第二季度,大多数国家计算机安全事件反应小组(CSIRT)工作人员参加了这项研究,他们认为,公共数据作为额外的信息来源非常有用,以提供更丰富的信息和情报,特别是当与封闭源数据结合时。公共数据的需要和已证明的有用性证明在国家计算机安全事故反应小组(CSIRT)工作人员中广泛使用开源情报工具是合理的。此外,国家计算机安全事件反应小组(CSIRT)工作人员使用的许多工具都是免费的,用于开源情报和非OSINT目的。一些免费工具的效用被认为是可以在不依赖(昂贵的)商业工具的情况下服务国家计算机安全事件响应小组(CSIRT)。
除了上文概述的积极调查结果外,该研究的参与者还评论了与使用公共数据、开源情报和免费工具相关的问题和操作挑战。在所有挑战中,有两个特别重要。
首先,公共数据、开源情报和免费工具仍然以非常特殊的方式使用;还需要建立更加标准化和系统的方法。
第二,即使国家计算机安全事件反应小组(CSIRT)工作人员在使用公共数据之前确实对其进行了验证,验证过程也大多是临时进行的,没有普遍接受的标准程序。因此,有必要进一步研究建立标准流程和准则,以支持国家计算机安全事件反应小组(CSIRT)工作人员更有效地使用公共数据,开源情报和免费工具。
与信息安全领域的其他相关实证研究类似,本研究也有一些局限性。首先,参与人数(25人)和全国计算机安全事件反应小组(13人,包括两名匿名参与人的国家计算机安全事件反应小组(CSIRT))都相对较低,这可能会影响所报告结果的通用性。第二,由于隐私和保密方面的考虑,一些与会者不愿透露其国家计算机安全事件反应小组(CSIRT)的一些业务做法信息,这限制了通过研究收集的信息的完整性,并可能降低某些结果的代表性。
考虑到两个事实,这两个限制都不应成为主要问题:1)参与者的反应基本上在所有关键方面相互一致;2)主要结论合乎逻辑,并且符合第一作者作为MyCERT雇员20多年的经验。这项研究呼吁安全界开展进一步研究,交叉验证这些发现。
结论
网络安全事件的盛行使得协调努力有效地处理这些事件成为当务之急。这是计算机安全事件反应小组的关键作用之一,特别是在国家一级。本文研究的主要目的是更好地了解国家计算机安全事件反应小组(CSIRT)如何利用公共数据、开源情报和免费工具,以及工作人员如何看待其有用性——这是研究文献中研究较少的话题。
通过对13个国家计算机安全事故反应小组(CSIRT)的25名参与者进行在线调查和一些后续半结构化访谈,这项研究得出了三个主要结论。
首先,确认在国家计算机安全事故反应小组(CSIRT)积极使用公共数据、开源情报和免费工具。
其次,国家计算机安全事件反应小组(CSIRT)的工作人员认为公共数据、开源情报和免费工具是有用的。
第三,该研究还揭示了一些操作上的挑战,特别涉及:
1)临时使用公共数据、开源情报和免费工具;
2)此类数据和工具的验证过程的临时性。调查结果表明,需要更多的研究,以帮助支持更有效地利用公共数据、开源情报(OSINT)和免费工具;创建更有用的公共数据源;开发更有用的开源情报(OSINT)和免费工具;开发更加标准化和系统的流程,以及评价和推荐公共数据源、开源情报(OSINT)和免费工具的适当框架。
作者简介:
1、Sharifah Roziah Binti Mohd Kassim
英国肯特大学博士生
Sharifah Roziah Binti Mohd Kassim是英国肯特大学计算学院计算机科学博士二年级学生,主要研究网络安全领域。Sharifah还是马来西亚计算机应急响应小组(MyCERT)的专家,在马来西亚注册和半政府实体马来西亚网络安全组织的保护下。她的研究兴趣主要是计算机安全事件反应和网络威胁情报。在攻读博士学位之前,Sharifah已经撰写了4篇论文,并共同撰写了一篇关于网络安全主题的论文。
肯特大学凯恩斯学院网络安全促进社会研究所和计算学院,
英国坎特伯雷CT2 7NP
电话:+44 1227 827754;电子邮件:[email protected]
2、李树君
英国肯特大学网络安全教授
李树淑君是英国肯特大学计算机学院的网络安全教授。他是网络安全促进社会研究所(iCSS)主任,该研究所代表肯特大学作为19个英国政府认可的网络安全研究优秀学术中心(ACES-CSR)之一。他的研究兴趣主要集中在网络安全和隐私、人类因素、数字取证和网络犯罪、社交媒体分析和人工智能等多学科领域。他在国际期刊和会议上发表了100多篇研究论文,并获得了三项最佳论文奖(IIEEK IEVC2012、HAS 2017和HICSS 2021)和一项荣誉奖(ICWSM 2020)。他出版了一本关于认知建模的专著(Springer 2020),并合编了四本书,包括《多媒体数据和设备数字取证手册》(JohnWiley&Sons, Inc.和IEEE Press 2015)。2012年,他因担任MPEG RVC(可重构视频编码)标准的第二版ISO/IEC23001-4:2011的主编而获得ISO/IEC赞赏证书。他目前担任若干国际期刊的编辑委员会,并担任100多个国际会议和讲习班的组织或技术方案委员会的成员。他是BCS的研究员,IEEE高级成员,ACM成员。他是英国华人教授协会副会长兼创始联合主任。更多关于他的研究和专业活动可以在他的个人网站http://www.hooklee.com/上找到。
网络安全促进社会研究所(iCSS)&英国坎特伯雷CT27NP肯特大学凯恩斯学院计算机学院
电话:+44 1227 823821;电子邮件:[email protected]
3、Budi Arief
英国肯特大学高级讲师
BudiArief是英国肯特大学计算机学院的高级讲师,也是网络安全促进社会研究所(iCSS)的创新领导者。他的研究兴趣是网络犯罪、基于计算机的系统的安全性和可靠性、勒索软件和物联网,具有很强的跨学科研究的总体要素。到目前为止,他已经发表了50多篇研究论文,涉及计算机安全(特别是勒索软件、物联网和人为因素)、可靠性和智能运输系统,1300+谷歌学者引文h索引为15。
网络安全促进社会研究所(iCSS)&英国坎特伯雷CT27NP肯特大学凯恩斯学院计算机学院
电话:+44 1227 816797;电子邮件:[email protected]
原文PDF及机器翻译已上传小编知识星球
长按识别下面的二维码可加入星球
里面已有近千篇资料可供下载
越早加入越便宜
续费五折优惠
原文始发于微信公众号(丁爸 情报分析师的工具箱):【资料】国家计算机安全事件反应小组(CSIRT)如何利用公共数据、开源情报和操作实践中的免费工具:实证研究
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论