专栏首页网络安全观威胁情报分享是SOC的“回春药”

威胁情报分享是SOC的“回春药”

安全牛点评

在本月初举行的 “奇智威胁情报峰会” 上,包括华泰证券、国家电网、建设银行、国家互联网应急中心的威胁情报负责人指出了安全运营的一个共同痛点:威胁情报分享难!威胁/知识联盟的企业,往往出于知识产权或者竞争原因,不愿意分享内部情报,导致联盟陷入 “三人不抬树” 的纳什均衡怪圈。

如何突破威胁情报分享的博弈困境,增强企业/行业/国家级威胁信息共享和联动指挥,是当下 SOC 安全运维的头号难题。

除了标准化、创新激励机制(例如积分制)和联盟架构设计以外,国家互联网应急中心运行部工程师周昊强调了平台型双边市场(情报集市)的重要性,而开源情报平台,作为一种新兴的分享模式,已经引起了威胁情报业界的极大兴趣。以下我们将结合具体的开源平台 MISP(恶意软件信息共享平台),谈谈 SOC 大规模开展威胁情报工作的必要性、痛点、瓶颈,以及基于开源平台的社区型情报共享方法的优点。

SOC正在失能!

根据 Gartner 预测,由于安全团队无法管理数字风险,到 2020 年 60% 的数字业务将遭受重大服务故障。与此同时,企业安全运营 SOC 也正面临数字化转型的严峻挑战。

安全牛在《安全运营SOC进入更年期》一文曾引用 ESG 的报告观点,指出当今的安全运营中心 (SOC) 已经陷入困境,面临的问题包括数据管理成本、人才短缺以及威胁快速增长等。如今网络威胁日益复杂,并且每天都在快速增长。每秒钟创建的海量业务数据也在制造新的漏洞和攻击媒介。

Ponemon Institute 的一项调查 “提高安全运营中心的效率” 发现,有 53% 的受访者认为他们的 SOC 在收集证据,调查和发现威胁的来源方面无效。为了有效,SOC 必须在正确的时间,正确的上下文中访问正确的数据,以完成其识别和响应威胁的任务。

威胁情报是“激活”SOC的特效药

威胁情报是激活 SOC 的关键,但是威胁情报与 SOC 工具的集成满意度,以及威胁情报自身依然面临数据方面挑战。

根据 Marsh&McLennan 对 1,500 位高管的调查,如今,约有 62% 的全球高管将网络攻击和威胁视为其组织 2020 年最高的风险管理优先事项之一。总体而言,网络安全在数字化转型中的作用点正在 “左移”,从设计过程的早期阶段,以及安全防御的 “预防、预测” 阶段已经提高了安全意识和参与度。

但是威胁情报要真正与 SOC 融合,就需要在检测、警报分类和事件响应环节发挥作用,而不是 “飘在外面” 的黑客攻防小分队。对于习惯于依赖静态防御的安全团队来说,利用威胁情报意味着引入一定程度的敏捷性,但通常来说由于要迁就静态防御,威胁情报的敏捷性往往被浪费了。

事实上,作为提升 SOC 效能的重要补充,网络威胁情报 (CTI) 已成为 SOC 的关键工具。根据 2019 年 SANS 的 “网络威胁情报演变” 调查,有多达 70% 的客户认为威胁情报是安全运营的必要条件。然而,许多组织仍在努力整合各种威胁情报来源,或建立一种有效的共享文化,以联合力量对抗敌人。

但是在 SOC 中集成威胁情报的进展并不顺利,根据 SAN 2019 年威胁情报服务满意度调查,威胁情报与检测响应系统的集成满意度偏低(下图红线)

威胁情报的副作用与痛点

痛苦金字塔的痛感升级

威胁数据越有用,获取并集成到工作流中就越困难(或痛苦)。想象一下由威胁数据值与集成难度级别形成的金字塔:

金字塔顶端是威胁源使用的工具和 TTP 情报。这些是威胁检测和验证最困难最痛苦的指标,但对于了解威胁行为者的背景,其意图以及充分理解威胁以进行响应的方法也最有用。

时间、复杂性、分类和格式

威胁数据是有时效性的。在确定目标之前,组织需要有关攻击中正在使用的漏洞和恶意软件的最新信息。情报源的紧迫性会发生变化,简化优先级排序过程是一项复杂的任务。

过去,安全从业人员共享Word文档,PDF或CSV表和Excel表格之类的简单文件格式记录失陷指标,分类和格式存在差异,而且因时效性和缺乏集成而难以操作。而且,很难以标准化格式描述和共享更复杂的行为指标,例如威胁行为者战术。

数据过多的烦恼

根据 SAN 2019 威胁情报现状调查报告,受访的企业安全人士对 CTI 方案最不满意的地方之一就是 “过期IoC数据的识别与清除(47.6%不满意),仅次于机器学习(55.9%)。

共享和消费

威胁情报社区试图建立一种有效的共享文化,但大多失败了。虽然业界已经创建了威胁情报数据分类法和标准,但没有一个被大规模采用,从而使威胁情报数据的可访问性变得支离破碎。因此,大多数共享都不会超出域范围。即使跨行业的安全分析师具有共同的目标,组织通常也不会这样看,共享和协作对管理是隐藏的。

自动化分析和即时共享威胁情报是解锁威胁情报 (CTI) 能力的关键!

寻找特效成分:最值得分享的威胁情报数据

威胁情报来源很多,主要分为两大类:外部情报和内部情报。外部情报分为开源/社区和商业两大类。首先是开源/社区,例如集体情报框架 (CIF) 和基于部门的信息共享和分析中心 (ISAC);第二种是威胁情报厂商提供的付费商业威胁情报服务(目前市场上比较常见的国际厂商包括 iDefense、Cisco、Team Cymru、Greynoise.io、McAfee、Symantec、Symantec、ATLAS、Farsight 和 Reversing Labs,国内厂商包括奇安信、安恒信息、安天、亚信安全等)。

除了外部开源和商业威胁情报,企业安全运营团队还产生需要在内部共享的内部专有情报。就威胁情报分享而言,恰恰就是这些企业内部威胁情报最具分享价值,但也最难以打破情报分享的 “囚徒困境”。

据华泰证券威胁情报中心主任周正虎介绍,由于攻击者很少会对厂商布置的外网蜜罐进行定向攻击,因此在关键攻防中(例如护网)传统 IOC 基本失效。相比之下企业的自有(内部)情报,有更大概率捕获定向攻击,其分享价值更高。

值得关注的威胁数据开源分享社区模式:MISP

作为解决威胁情报消费和共享难题的实用灵活的方法,MISP(一种开源威胁情报分享平台,侧重恶意软件信息共享)受到业界越来越多的关注。MISP 是一个与供应商无关的开放源代码标准,具有一个由欧盟共同资助的不断发展的社区。MISP 是一个基础结构,可根据用户的喜好在受信任的圈子中或与公众一起使用,收集和共享恶意软件的指标。MISP 具有许多优点:

1. MISP允许用户推送和查询由全球安全从业人员社区收集和共享的已知危害指标。

2. MISP灵活,因为它不执行共享威胁情报的单一方法,并且以多种格式输出信息。

3. MISP通过在CERT,组织,政府和安全供应商之间共享信息,减少了情报界的双重工作。

4. MISP提供一定程度的控制,以确保正确地共享和使用正确的数据。

为了在不增加安全团队负担的情况下大规模运行威胁情报,从业人员应考虑将 MISP 与他们现有的安全信息和事件管理 (SIEM) 解决方案集成。MISP 旨在实现灵活的摄取和提取、快速分析、自动化和共享。SIEM 与 MISP 的集成将威胁数据的使用和共享直接整合到分析人员工作流程中。通过将社区情报与其他多个数据源与 SIEM 相关联,分析人员能比以前更快地发现和共享威胁。

SANS 的调查发现,仅有 33.7% 的企业同时生产和使用威胁情报 (Prosumer),而多达 60.5% 的企业仅仅是威胁情报的 “消费者”。这表面虽然大多数组织都认识到威胁情报的价值,但由于不同的原因拒绝参与共享。

诸如 MISP 之类的开源平台与自动集成到 SIEM 中的结合,可以很好地推动基于社区的情报共享方法。这将使 SOC 能够通过协作分析联合起来,从而将整个行业的安全感知和防御能力推向一个新的高度,突破传统威胁情报分享的闭环。

本文分享自微信公众号 - 网络安全观(SecurityInsights),作者:安全牛

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-01-17

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 技术干货|威胁情报如何在SOC场景中发挥最大价值

    数字化转型是当下企业面临的重要课题。在数字化转型过程中,每个企业都无法回避来自网络攻击的困扰。面对五花八门的安全风险,根据经验构建防御策略、部署产品的传统方式已...

    腾讯安全
  • 如何最大化发挥威胁情报价值?7月22日腾讯安全专家云上开讲

    “应对日益严峻、复杂的网络安全问题,威胁情报能够带来巨大的价值。”这一点已经成为行业共识。越来越多的企业、组织加入威胁情报大军,并急于收集尽可能多的威胁情报,试...

    腾讯安全
  • 精彩速递 | 2018 SOC&EDR应用建设高峰论坛

    7月,蝉鸣的夏季,阳光炽热,我们相遇在“鹏城”,FreeBuf企业安全俱乐部活动首次来到深圳。本次高峰论坛以「聚焦终端响应 智慧安全运营」为主题,聚焦SOC&E...

    FB客服
  • 安全编排自动化与响应 (SOAR) 技术解析

    随着网络安全攻防对抗的日趋激烈,网络安全单纯指望防范和阻止的策略已经失效,必须更加注重检测与响应。企业和组织要在网络已经遭受攻击的假定前提下构建集阻止、检测、响...

    网络安全观
  • XDR即将到来:CISO应该采取的5个步骤

    威胁检测与响应始终是企业安全建设的重点,据调查,83%的组织计划在未来12到18个月内增加威胁检测和响应支出。与之相对的是,尽管企业在安全技术上花费了数百万美元...

    FB客服
  • 产业安全专家谈 | 企业如何进行高效合规的专有云安全管理?

    产业互联网时代的到来,让“云”成为承载企业核心业务和数据的重要载体和输出通道。其中一些企业出于灵活性和业务个性化等方面的考虑,选择了能让业务更加聚焦的专有云。同...

    腾讯安全
  • 为什么大多数公司仍然饱受SOC人员短缺的痛苦

    根据Exabeam的调查,绝大多数人觉得SOC的威胁检测能力很可靠,但组织并没有因为此而变得更安全。技术上向 SOAR 发展,而人员短缺的情况也要得到重视。

    FB客服
  • 精彩速览 | 2018威胁情报&APT攻击技术与趋势高峰论坛(附PPT下载)

    五月的最后一天,伴着淅淅沥沥的小雨,由国内知名互联网安全新媒体FreeBuf 主办的2018威胁情报&APT攻击技术与趋势高峰论坛在上海证大美爵酒店盛大召开。本...

    FB客服
  • Rewterz – 2020年威胁情报报告

    Rewterz已宣布发布年度 2020威胁情报报告。该报告是根据通过我们的安全运营中心和传感器收集的数据编制的。由于Rewterz威胁情报平台利用众多攻击传感器...

    C4rpeDime
  • 现代安全运营十问

    安全运营中心(SOC)是一种自动化的高效平台,已被众多企业所采纳作为其安全运营的得力助手。但是,在SOC平台的运营过程中,却难免会遇见一些难题。前几日,ISAC...

    FB客服
  • 威胁情报的现在与未来:赋能、深入、全面应用

    今年是网络安全大年,也是威胁情报的大年。RSA大会上,威胁情报也上升至热词榜第七位。国内外多家组织机构已经发布各式威胁情报报告,例如全球权威信息化咨询研究机构G...

    FB客服
  • 企业对安全运营中心(SOC)的投入真的有用吗?

    对企业用户而言,是否总会感觉,花了钱和时间搞的安全措施没有达到预期中的效果?这可能是很多企业高层的困扰。不过,至少有一个可能是例外:安全运营中心(SOC)已经在...

    FB客服
  • 专家精品| 从被动响应到主动感知:云原生自动化应急响应实战

    ? 最近参加了Xcon2020安全技术峰会,趁热打铁跟大家聊聊云平台上的原生自动化应急响应。 随着云计算的大规模普及,公有云的应急响应趋势已逐渐从"被动响应"...

    云鼎实验室
  • Cyber​​bit Range培训和模拟平台新功能New

    Cyberbit是以色列最大的国防公司ElbitSystems的子公司,该公司的总部位于以色列,专注于保护关键基础设施和其他高价值资产的解决方案。该公司的技术针...

    时间之外沉浮事
  • 抵御“内鬼”! 腾讯安全中心集成UEBA能力解决内部安全威胁

    日渐频发的网络安全事件,时刻警示着各类企业加强外部安全防线的同时,也不应忽视内部安全威胁。诸如不规范操作、越级权限访问、企业内部网络攻击以及内部人员恶意破坏等...

    腾讯云安全
  • 美国网络安全 | 安全自动化和IACD框架

    安全自动化是安全从业者的梦想。安全主要解决两方面问题:时间问题(速度越来越快)和空间问题(规模越来越大)。安全归根结底是要在时间和空间这两个维度上,提高自动化防...

    网络安全观
  • DOMAINTOOLS:2020年度威胁狩猎报告

    越来越多的组织将威胁狩猎作为安全运营的一部分,主动地狩猎威胁可以降低威胁的风险和影响,提高抵御新威胁的能力。

    FB客服
  • 腾讯安全运营中心集成UEBA能力,助力企业保障内部网络安全

    数字经济时代的到来,也伴随着日益严峻的网络威胁。相对于外部入侵,内部威胁危害性更大,也更加隐蔽,难以防范应对。据2019年调查数据显示,全球企业因信息安全事件损...

    腾讯安全
  • 解读Gartner 2016年十大信息安全技术

    2016年6月13-16日,Gartner安全与风险管理峰会顺利举办,Gartner分析师在会上公布了他们关于2016年十大信息安全技术的研究成果。 Gartn...

    FB客服

扫码关注云+社区

领取腾讯云代金券