文章前言
2013年Gartner率先提出威胁情报并给予了其初始定义,随后威胁情报便在国内外迅速发展并一度成为国内外安全领域关注的热点,威胁情报因其在安全检测与防御的实践应用中的重要作用使得很多中大型企业都逐渐的建立了自己的威胁情报运营中心或者将威胁情报数据加入了年度采购预算之中,威胁情报备受重视~
安全情报
安全情报从情报类型上可以划分为如下几个方面:
- 资产情报:主要用于确认企业自身的资产
- 事件情报: 对于已经发生的安全事件的报道
- 漏洞情报:软硬件的各种已知或未知的漏洞情报
- 威胁情报:OSINT(Open source intelligence ,公开资源情报)、 未公开数据(黑产群、社区等)
威胁情报
威胁情报是一种基于证据的知识,包括情境、机制、指标、影响和操作建议等方面,威胁情报描述了已发现或将来会出现的威胁或危险,并可以用于通知主体针对相关威胁或危险采取的某种响应,广义上的威胁情报内容比较宽泛,包括但不限于狭义的漏洞情报、安全事件情报以及基础信息知识情报等方面内容,在当前的网络安全行业内大多数情况下所说的威胁情报主要指的是狭义的威胁情报,主要是攻击者相关的信息、动机、目标、攻击技战术、IOC(失陷标识: Indicators of Compromise)等
情报分类
威胁情报旨在为面临威胁的资产主体(通常为资产所属企业或机构)提供全面的、准确的、与其相关的、并且能够执行和决策的知识和信息,威胁情报按照使用场景可以分为以下几类:
- 战略威胁情报(Strategic Threat Intelligence):战略威胁情报是给组织的安全管理者使用的(比如:CSO),它能够帮助决策者把握当前的安全态势,在安全决策上更加有理有据,战略威胁情报主要涵盖诸如网络攻击活动的财务影响、网络攻击趋势以及可能影响高层商业决策的领域
- 运营威胁情报(Operational Threat Intelligence):运营威胁情报是给安全分析师或者安全事件响应人员使用的,目的是通过对已知的重要安全事件做分析(告警确认、影响范围、攻击链、攻击目的、技战术等)查找攻击相关线索
- 战术威胁情报(Tactical Threat Intelligence):战术威胁情报关注于攻击者的TTPs,其与针对特定行业或地理区域范围的攻击者使用的特定攻击向量有关并且由类似应急响应人员确保面对此类威胁攻击准备好相应的响应和行动策略
- 技术威胁情报(Technical Threat Intelligence):技术威胁情报主要是失陷标识,可以自动识别和阻断恶意攻击行为,当前业内更广泛应用的威胁情报主要还是在技术威胁情报层面
威胁情报根据数据本身可以分为HASH值、IP地址、域名、网络或主机特征、TTPs(Tactics、Techniques & Procedures):
上图中左侧是能够利用的情报,右侧是这些情报给攻击者造成的困难程度,威胁情报中价值最低的是Hash值、IP地址和域名,其次是网络/主机特征、攻击工具特征,对攻击者影响最大的是TTPs(战术、技术和行为模式)类型的威胁情报:
- HASH值:指样本、文件的HASH值,比如:MD5和SHA系列,由于HASH函数的雪崩效应使得文件任何微弱地改变都会导致产生一个完全不同也不相关的哈希值,这使得在很多情况下它变得不值得跟踪,所以它带来的防御效果也是最低的
- IP地址:通过IP的访问控制可以抵御很多常见的攻击,同时因为IP数量太大导致任何攻击者均可以尝试更改IP地址以绕过访问控制
- 域名:有些攻击类型或攻击手法出于隐藏的目的,攻击者会通过域名连接外部服务器进行间接通信,由于域名需要购买、注册、与服务器绑定等操作使得它的成本相对IP是比较高的,对域名的把控产生的防御效果也是较好的,但是对于高级APT攻击或大规模的团伙攻击,往往会准备大量备用域名,所以它的限制作用也是有限
- 网络/主机特征:这里指的特征可以是很多方面,比如:攻击者浏览器的User-Agent、登录的用户名、访问的频率等,这些特征就是一种对攻击者的描述,这些情报数据可以很好的将攻击流量从其他的流量中提取出来,就会产生一种较好的防御效果
- 攻击工具:指获取或检测到了攻击者使用的工具,这种基于工具的情报数据能够使得一批攻击失效,攻击者不得不进行免杀或者重写工具,从而达到增加攻击成本的目的
- TTPs:Tactics、Techniques、Procedures的缩写,这里指攻击者所使用的攻击策略、攻击手法等,掌握了些信息就能明白攻击者所利用的具体漏洞并能够针对性的进行安全布防,使得攻击者不得不寻找新的漏洞,这类情报数据属于价值最高的情报数据
生命周期
威胁情报生命周期是一个循环的过程,其主要包含以下阶段:
- 情报计划:情报计划包括威胁情报对应的安全风险点(包括业务安全、IT资产安全等)、对应情报大类(包括战术情报、战略情报、运营情报、技术情报)、情报小类(包括但不限于pDNS情报、Whois情报、钓鱼网站情报、黑产情报)以及闭环跟进流程,完整的情报计划可以达到指导现有安全体系建设和改进方向的作用
- 情报收集:情报收集是对所有相关安全情报的收集,可以从多种开放或封闭的源收集数据
- 情报处理:情报处理是对原始情报信息进行预处理并进行可靠性评估,确定适用的范围和目标
- 情报分析:情报分析是按照情报计划,分析处理之后的数据,生产最终的情报(也就是所谓的FINTEL)
- 情报传递:情报传递是将FINTEL输送至客户(即安全运营团队)并使用情报,在情报传输阶段需要考虑情报的输送类型(YARA规则、MD5、IPtable...)、情报的面向目标(中间件、数据库等)、情报的传送的及时性等问题
- 情报反馈:情报反馈是通过对输送的情报进行分类归纳和整理后对未来的情报计划进行动态调整和优化并制定新一轮次的情报计划,确定我们需要交付何种类型的情报
主要用途
企业威胁情报的主要用途有以下几个方面:
- 安全检测与主动防御:基于威胁情报数据可以不断的创建针对恶意代码或行为特征的签名,或者生成NFT(网络取证工具)、SIEM/SOC(安全信息与事件管理/安全管理中心)、ETDR(终端威胁检测及响应)等产品的规则,实现对攻击的应急检测,如果威胁情报是IP、域名、URL等具体上网属性信息则可应用于各类在线安全设备对既有攻击进行实时的阻截与防御
- 安全分析与事件响应:基于威胁情报可以让安全分析和事件响应工作处理变得更简单、更高效,例如:可依赖威胁情报区分不同类型的攻击并识别出潜在的APT高危级别攻击,从而实现对攻击的及时响应,同时通过利用威胁情报可预测既有的攻击线索可能造成的恶意行为,从而实现对攻击范围的快速划定,通过建立威胁情报的检索实现对安全线索的精准挖掘
- 安全建设与风险感知:基于威胁情报企业可以对自身安全能力进行评估并对不足之处进行强化从而纵深提升企业安全能力,同时也为企业整体网络风险感知提供了指南
参考链接
https://www.secrss.com/articles/6599 https://www.attackiq.com/glossary/pyramid-of-pain/ http://detect-respond.blogspot.com/2013/03/the-pyramid-of-pain.html http://www.changyuan.net.cn/index.php?m=home&c=View&a=index&aid=19 https://www.slideshare.net/JeremyLi10/discover-advanced-threats-with-threat-intelligence-jeremy-li https://baike.baidu.com/item/威胁情报/23311172?fr=aladdin