威胁情报怎么用?

威胁情报在国内已经火了几年,威胁情报怎么用,具体的使用场景是什么,这方面的话题似乎较少。下面想根据个人所知,谈谈这方面,不完善准确的地方也请大家指正。

有些时候情报和威胁情报很容易被划等号,其实不然。威胁情报(和攻击者相关)、漏洞情报(和脆弱点相关)、资产情报(内部IT业务资产和人的信息),都属于情报的范畴,但作用和生产维护方法都不同,需要明确区分。

它们都是安全分析需要的信息,资产和漏洞在多年前就一直被重视,甚至安全建设就是被认为是围绕着资产和漏洞的。

现实中攻防对抗的不断演进,让我们不得不进入主动安全建设阶段(或者说自适应安全架构ASA),我们需要更多的去关注威胁,让威胁情报去引领安全建设,进一步的完善检测、分析、预测预防的能力,并由此发现防御上的不足,给予针对性的完善。这种动态平衡的安全理念,成为被广泛接受的安全建设指导思路。

言归正传,下面就具体谈谈威胁情报的种类。基于整体应用场景,我们可以将情报分为3类:以自动化检测分析为主的战术情报、以安全响应分析为目的的运营级情报,以及指导整体安全投资策略的战略情报。

战术级情报

战术情报的作用主要是发现威胁事件以及对报警确认或优先级排序。常见的失陷检测情报(CnC 情报)、IP情报就属于这个范畴,它们都是可机读的情报,可以直接被设备使用,自动化的完成上述的安全工作。

失陷检测情报,即攻击者控制被害主机所使用的远程命令与控制服务器情报。

情报的IOC往往是域名、IP、URL形式(有时也会包括SSL证书、HASH等形式),这种IOC可以推送到不同的安全设备中,如NGFW、IPS、SIEM等,进行检测发现甚至实时阻截。这类情报基本上都会提供危害等级、攻击团伙、恶意家族等更丰富的上下文信息,来帮助确定事件优先级并指导后续安全响应活动。使用这类情报是及时发现已经渗透到组织APT团伙、木马蠕虫的最简单、及时、有效的方式。

IP情报是有关访问互联网服务器的IP主机相关属性的信息集合,许多属性是可以帮助服务器防护场景进行攻击防御或者报警确认、优先级排序工作的。

举例

利用持续在互联网上进行扫描的主机IP信息,可以防止企业资产信息被黑客掌握(很多时候黑客对那些主机开放了SMB端口、那些可能有Struts 2 漏洞比企业的网管掌握的更清楚);

利用在互联网进行自动化攻击的IP信息可以用来进行Web攻击的优先级排序;

利用IDC主机或终端用户主机IP信息可以用来进行攻击确认、可疑行为检测或垃圾邮件拦截;

而网关IP、代理IP等也都各自有不同的作用,相关场景很多,就不一一列举了。

运营级情报

运营级情报是给安全分析师或者说安全事件响应人员使用的,目的是对已知的重要安全事件做分析(报警确认、攻击影响范围、攻击链以及攻击目的、技战术方法等)或者利用已知的攻击者技战术手法主动的查找攻击相关线索。

第一类活动属于事件响应活动的一部分,第二类活动更是有一个高大上的名字“安全狩猎”。

事件响应活动中的安全分析需要本地的日志、流量和终端信息,需要企业有关的资产情报信息,也需要运营级威胁情报。

这种情况下情报的具体形式往往是威胁情报平台这样为分析师使用的应用工具。

有一个和攻击事件相关的域名或IP,利用这个平台就有可能找到和攻击者相关更多攻击事件及详情,能够对攻击目的、技战术手法有更多的认识;

通过一个样本,我们能够看到更多的相关样本,也可以对样本的类型、流行程度、样本在主机上的行为特征有更多的了解;

同样的利用这个平台可以持续的跟踪相关的攻击者使用的网络基础设施变化;

发现相关资产是否已经被攻击者所利用,等等。

安全狩猎是一个基于已知技战术手法(TTP:技术、工具、过程)发现未知威胁事件,同时获得进一步黑客技战术相关信息的过程。安全狩猎的过程需要特定的内部日志、流量或终端数据和相应分析工具,还需要掌握有较丰富对手技战术手法的安全分析师。

这类情报往往通过基于安全事件的分析报告,或者特定的技战术手法数据库得到,国际上在这方面已经有较多的进展,包括了各类开源或限定范围的来源可以提供这样的信息,而国内相对较少,并且一些安全事件报告因为这样那样的问题,并不能公开发表最宝贵的TTP层面分析内容。

战略级情报

战略层面的威胁情报是给组织的安全管理者使用的,比如CSO。一个组织在安全上的投入有多少,应该投入到那些方向,往往是需要在最高层达成一致的。

但面临一个问题,如何让对具体攻防技术并不清楚的业务管理者得到足够的信息,来确定相关的安全投资等策略?这时候如果CSO手中有战略层面的情报,就会成为有力的武器。

它包括了什么样的组织会进行攻击,攻击可能造成的危害有哪些,攻击者的战术能力和掌控的资源情况等,当然也会包括具体的攻击实例。有了这样的信息,安全投入上的决策就不再是盲目的、而是更符合组织的业务状况及面临的真实威胁。

小结

威胁情报大体就这三种类型,分别用来支撑安全运维人员、安全分析师和安全管理者。但在一篇短文中是不可能覆盖这些类型的所有使用场景的,并且这也是个创新领域,会不断的涌现出更多的应用场景和方式,希望能听到更多的声音,告诉大家遇到的、想到的。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-04-26

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

勒索软件新威胁:你敢不付赎金,我就敢往你喝的水里投毒

勒索软件已存在数年之久,但在最近两年,勒索软件攻击了世界各地的企业、医院、金融机构和个人电脑,造成重大损失,成为大家的心头之恨。勒索软件的原理,就是通过强大的加...

20050
来自专栏腾讯云安全的专栏

云鼎安全视点:基于腾讯云的安全趋势洞察

17940
来自专栏FreeBuf

2018年我们将面临哪些云数据安全问题?

总部位于密苏里州圣路易斯的TierPoint公司,是一家私人投资支持的主机托管和混合云服务供应商,目前已迅速成为数据中心行业一支不可忽视的力量。TierPoin...

31690
来自专栏云鼎实验室的专栏

云鼎安全视点:基于腾讯云的安全趋势洞察

随着越来越多的企业逐步把自身IT基础设施服务迁移到云上,云上的安全风险趋势到底如何?近期重大勒索事件频频发生,企业该如何去有效提升自身的安全防护能力?

25000
来自专栏云市场·精选汇

案例 | 广东省浙江商会互联网运作模式探究

广东省浙江商会于2005年6月18日在广州正式成立,经广东省民政厅核准注册登记的非营利性服务、中介和协调机构,商会会员分别来自浙江省的各个地区,具有较强的行业代...

20920
来自专栏京东技术

漏洞防御话题BlackHat大会引关注 京东安全推出首款漏洞评估自动化解决方案

日前,网络安全领域的全球最顶级盛会——BlackHat在拉斯维加斯召开。作为网络安全行业公认的最高技术盛会,汇聚了全球最新、最强的安全研究成果,前瞻性议题成为B...

11820
来自专栏大数据文摘

知道创宇发布Sebug漏洞社区百万奖励计划

23180
来自专栏黑白安全

重视GitHub类安全威胁 从企业外部风险监测入手

黑客在黑市出售客户数据的事件时有发生,而GitHub作为主流的面向开源及私有软件项目的托管平台,似乎每逢重大数据泄露事件发生,总能看到它的身影。

14030
来自专栏云资讯小编的专栏

腾讯云鼎实验室Killer:面对“想哭”勒索软件,你不知道的几件事儿

比特币勒索软件究竟为什么会在全球大规模爆发?给我们敲响了什么警钟?国内信息安全专业媒体《嘶吼》对腾讯云鼎实验室负责人Killer(董志强)进行了专访,一起来听听...

82400
来自专栏Zchannel

腾讯发布网络隐私报告:电话诈骗竟然有那么多花样

16950

扫码关注云+社区

领取腾讯云代金券