《孙子兵法·谋攻篇》:知彼知己,百战不殆;不知彼而知己,一胜一负;不知彼不知己,每战必殆。
说到情报,一般人们会想到什么? 1.是James Bond那种吗,中情六处还是CIA来着,太酷了! 问题:公司有必要创建一支安全情报团队吗?
2.不就是收集一下数据和PDF写报告吗,搞得这么高大上。。 问题:信息和情报的区别是什么?
先讲几个大家耳熟能详的例子感受一下:
信息时代的网络安全本质是一场没有硝烟的战争
关于安全领域情报的定义,众说纷纭,但核心思想其实都差不多,即从被动防御到主动防御的转变。 以下为比较流行的定义:
威胁情报是一种基于证据的知识,包括了情境、机制、指标、影响和操作建议。威胁情报描述了现存的、或者是即将出现针对资产的威胁或危险,并可以用于通知主体针对相关威胁或危险采取某种响应。
Security intelligence is the real-time collection, normalization, and analysis of the data generated by users, applications and infrastructure that impacts the IT security and risk posture of an enterprise. The goal of Security Intelligence is to provide actionable and comprehensive insight that reduces risk and operational effort for any size organization.”
虽说亡羊而补牢,未为迟也,可如果压根就不知道已经亡羊了呢? 根据IBM的报告《Cost of a Data Breach in 2018》,“the average cost of a data breach per compromised record was $148, and it took organizations 196 days, on average, to detect a breach.” 很多企业在意识到发生了什么之前,它们的数据可能已经在黑市上贩卖了。 所以与其花费资金在攻击发生之后对漏洞的修补和调查问题上,何不主动出击,提前做好防范措施。
主动防御:情报驱动安全
以往的企业防御和应对机制根据经验构建防御策略、部署产品,无法应对还未发生以及未产生的攻击行为。但是经验无法完整的表达现在和未来的安全状况,而且攻击手法和工具变化多样,防御永远是在攻击发生之后才产生的,而这个时候就需要调整防御策略来提前预知攻击的发生,所以就有了安全情报。通过对安全情报的收集、处理可以实现较为精准的动态防御,在攻击未发生之前就已经做好了防御策略。 某网站列出的5大理由:
先看看攻击者的典型杀链(kill chain)是什么:
1.侦察阶段:“侦察永远不浪费时间”。大多数军事组织承认,在进攻敌人之前,最好尽可能地去了解敌人的一切信息。同样,攻击者在攻击之前也会对目标展开广泛的侦察。事实上据估计,针对渗透测试或攻击,70%的“工作量”是进行侦察!一般来说,可采用两种类型的侦察:
2.交付阶段:选择和开发武器,武器用于完成攻击中的任务。 3.利用(或攻击)阶段:一个特定的漏洞被成功利用的时刻,此时攻击者实现他们的目标。 4.后期利用阶段:
看吧,黑客在策划一场攻击时,首要任务也是搜集情报!
既然黑客可以搜集我们的信息,对应的我们也能搜集他们的信息。 由杀链出发,很自然会得出如下分类
知己:
知彼:
资产管理:
资产收集是非常重要的一步,我们有必要知道哪些资产需要重点防护,哪些闲置资产可下线规避风险。 在拿到资产情报后,对资产进行权重赋值至关重要,犹如建房子先打地基一般,资产等级划分将直接影响到后续的漏洞风险评估、威胁风险评估、漏洞处置优先级等其他信息安全工作的开展。
资产评估:
机密性、完整性和可用性是评价资产的三个安全属性。风险评估中资产的价值不是以资产的经济价值来衡量,而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值,而资产面临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全属性的达成程度产生影响。
脆弱性: 1)最直接的:购买专业的外部漏洞情报服务 2)自己构建漏洞情报系统
脆弱性评估:
可以根据对资产的损害程度、技术实现的难易程度、弱点的流行程度,采用等级方式对已识别的脆弱性的严重程度进行赋值。由于很多弱点反映的是同一方面的问题,或可能造成相似的后果,赋值时应综合考虑这些弱点,以确定这一方面脆弱性的严重程度。 对某个资产,其技术脆弱性的严重程度还受到组织管理脆弱性的影响。因此,资产的脆弱性赋值还应参考技术管理和组织管理脆弱性的严重程度。
威胁态势: 1)最直接的:购买专业的外部威胁情报服务 2)自己构建威胁情报系统: 根据杀链的几个阶段,所以威胁情报要重点勾画这几个阶段的标志。
对于追踪溯源和分析对抗而言,收集whois信息,域名注册备案信息(国内),ipwhois,pdns也很重要。
威胁情报收集的几种来源:
对于收集到的相关信息要持续监控,动态跟踪,以保证数据的及时收集、更新、淘汰,从而使基于情报数据的安全响应更加及时准确。 注明:这里尤其关注一点,品牌信誉也属于资产之一,对于品牌舆情的监控也可能很有必要。
威胁评估:
判断威胁出现的频率是威胁赋值的重要内容,评估者应根据经验和(或)有关的统计数据来进行判断。在评估中,需要综合考虑以下三个方面,以形成在某种评估环境中各种威胁出现的频率:
a)以往安全事件报告中出现过的威胁及其频率的统计; b)实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计; c)近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统计,以及发布的威胁预警。
可以对威胁出现的频率进行等级化处理,不同等级分别代表威胁出现的频率的高低。等级数值越大,威胁出现的频率越高。
事件响应: 1)还是买,CNCERT等应急响应中心服务 2)关注国内外安全论坛、厂商博客、社交账户、暗网等。。
拿到事件情报后,首先确认通报事件是否与自身相关,若无法立即判断相关性,在分发排查的同时,对事件真实性展开调查,确保对事件快速响应。
上文也说了,攻击者同样关心着情报,例如一个新的特高危漏洞曝出,利用细节和代码均已公开,黑客第一时间拿到EXP便可快速实现攻击,若企业在这场时间赛跑中输了,后续的修补将也无法挽回已造成的损失。这种情况下,“过期”的安全情报毫无用处。
安全风险评估三要素:
安全情报要点:
安全情报的难点:
可从两方面解决问题: