您好、欢迎来到现金彩票网!
当前位置:老k棋牌 > 战略情报 >

浅析威胁情报

发布时间:2019-08-10 09:05 来源:未知 编辑:admin

  过去的一段时间对威胁情报做了一些相关的调研,本文包含了现有的一些研究成果(如侵权可联系删除)和个人见解。其实,威胁情报早在几年前就被提出,国内外也慢慢的有了一定的发展,许多安全厂商也开始建立自己的威胁情报平台,一时间好像不做些和威胁情报相关的事情,就会变得过时。尤其从WannaCry事件之后,人们对于现有防御体系开始出现不断地质疑,而威胁情报被给予了厚望。本文试图对威胁情报做一个全面的概述,让更多的人能够了解参与。

  目前无论是工业界还是学术界对威胁情报都还没有一个统一的定义,许多机构或论文都对威胁情报的概念进行过阐述,目前接受范围较广的是Gartner在2014年发表的《安全威胁情报服务市场指南》(Market Guide for Security Threat Intelligence Service)中提出的定义,即:

  威胁情报是关于IT或信息资产所面临的现有或潜在威胁的循证知识,包括情境、机制、指标、推论与可行建议,这些知识可为威胁响应提供决策依据。

  按照不同标准威胁情报有多种不同的分类方式,首先根据数据本身威胁情报可以分为HASH值、IP地址、域名、网络或主机特征、TTPs(Tactics、Techniques & Procedures)这几种,其源于David J. Bianco在《The Pyramid of Pain》一文中提出的威胁情报相关指标(单一的信息或数据一般算不上威胁情报,经过分析处理过的有价值的信息才称得上威胁情报)的金字塔模型。

  左侧是能够利用的情报,右侧是这些情报给攻击者造成的困难程度。一般来说情报中价值最低的是Hash值、IP地址和域名(也就是常说的信誉库),其次是网络/主机特征、攻击工具特征,对攻击者影响最大的是TTPs(战术、技术和行为模式)类型的威胁情报。这里分别做个简单介绍:

  HASH值:一般指样本、文件的HASH值,比如MD5和SHA系列。由于HASH函数的雪崩效应,文件任何微弱地改变,都会导致产生一个完全不同也不相关的哈希值。这使得在很多情况下,它变得不值得跟踪,所以它带来的防御效果也是最低的。

  IP地址:常见的指标之一,通过IP的访问控制可以抵御很多常见的攻击,但是又因为IP数量太大,任何攻击者均可以尝试更改IP地址,以绕过访问控制。

  域名:有些攻击类型或攻击手法也或者出于隐藏的目的,攻击者会通过域名连接外部服务器进行间接通信,由于域名需要购买、注册、与服务器绑定等操作使得它的成本相对IP是比较高的,对域名的把控产生的防御效果也是较好的。但是对于高级APT攻击或大规模的团伙攻击,往往会准备大量备用域名,所以它的限制作用也是有限。

  网络或主机特征:这里指的特征可以是很多方面,比如攻击者浏览器的User-Agent、登录的用户名、访问的频率等,这些特征就是一种对攻击者的描述,这些情报数据可以很好的将攻击流量从其他的流量中提取出来,就会产生一种较好的防御效果。

  攻击工具:这里是指获取或检测到了攻击者使用的工具,这种基于工具的情报数据能够使得一批攻击失效,攻击者不得不进行免杀或重写工具,这就达到了增加攻击成本的目的。

  TTPs:Tactics、Techniques & Procedures的缩写,这里是指攻击者所使用的攻击策略、手法等,掌握了些信息就能明白攻击者所利用的具体漏洞,就能够针对性的布防,使得攻击者不得不寻找新的漏洞,所以这也是价值最高的情报数据。

  另一种分类方法是按使用场景,可以将情报分为3类:以自动化检测分析为主的战术情报、以安全响应分析为目的的运营级情报,以及指导整体安全投资策略的战略情报。

  战术级情报:战术情报的作用主要是发现威胁事件以及对报警确认或优先级排序。常见的失陷检测情报(CnC 情报,即攻击者控制被害主机所使用的远程命令与控制服务器情报)、IP情报就属于这个范畴,它们都是可机读的情报,可以直接被设备使用,自动化的完成上述的安全工作。

  运营级情报:运营级情报是给安全分析师或者说安全事件响应人员使用的,目的是对已知的重要安全事件做分析(报警确认、攻击影响范围、攻击链以及攻击目的、技战术方法等)或者利用已知的攻击者技战术手法主动的查找攻击相关线索。

  战略级情报:战略层面的威胁情报是给组织的安全管理者使用的,比如CSO。它能够帮助决策者把握当前的安全态势,在安全决策上更加有理有据。包括了什么样的组织会进行攻击,攻击可能造成的危害有哪些,攻击者的战术能力和掌控的资源情况等,当然也会包括具体的攻击实例。

  Gartner认为,情报是过程的产物,而非独立数据点的合集。Gartner刻画了威胁情报的生命周期:

  传统的防御机制根据以往的“经验”构建防御策略、部署安全产品,难以应对未知攻击;即使是基于机器学习的检测算法也是在过往“经验”(训练集)的基础寻找最佳的一般表达式,以求覆盖所有可能的情况,实现对未知攻击的检测。但是过往经验无法完整的表达现在和未来的安全状况,而且攻击手法变化多样,防御技术的发展速度本质上落后与攻击技术的发展速度。所以需要一种能够根据过去和当前网络安全状况动态调整防御策略的手段,威胁情报应运而生。通过对威胁情报的收集、处理可以直接将相应的结果分发到安全人员(认读)和安全设备(机读),实现精准的动态防御,达到“未攻先防”的效果。

  Cyber Observable eXpression (CybOX)规范定义了一个表征计算机可观察对象与网络动态和实体的方法。可观察对象包括文件,HTTP会线证书,系统配置项等。CybOX 规范提供了一套标准且支持扩展的语法,用来描述所有我们可以从计算系统和操作上观察到的内容。在某些情况下,可观察的对象可以作为判断威胁的指标,比如Windows的RegistryKey。这种可观察对象由于具有某个特定值,往往作为判断威胁存在与否的指标。IP地址也是一种可观察的对象,通常作为判断恶意企图的指标。

  Structured Threat Information eXpression (STIX)提供了基于标准XML的语法描述威胁情报的细节和威胁内容的方法。STIX支持使用CybOX格式去描述大部分STIX语法本身就能描述的内容,当然,STIX还支持其他格式。标准化将使安全研究人员交换威胁情报的效率和准确率大大提升,大大减少沟通中的误解,还能自动化处理某些威胁情报。实践证明,STIX规范可以描述威胁情报中多方面的特征,包括威胁因素,威胁活动,安全事故等。它极大程度利用DHS规范来指定各个STIX实体中包含的数据项的格式。

  Trusted Automated eXchange of Indicator Information (TAXII)提供安全的传输和威胁情报信息的交换。很多文章让人误以为TAXII只能传输TAXII格式的数据,但实际上它支持多种格式传输数据。当前的通常做法是用TAXII来传输数据,用STIX来作情报描述。TAXII在标准化服务和信息交换的条款中定义了交换协议,可以支持多种共享模型,包括hub-and-spoke,peer-to-peer,subscription。TAXII在提供了安全传输的同时,还无需考虑拓朴结构、信任问题、授权管理等策略,留给更高级别的协议和约定去考虑。

  Managed Incident Lightweight Exchange封装的标准涵盖了与DHS系列规范大致相同的的内容,特别是CybOX,STIX和TAXII。MILE标准为指标和事件定义了一个数据格式。该封装还包含了Incident Object Description and Exchange Format(事件对象描述和交换格式,简称IODEF)。IODEF合并了许多DHS系列规范的数据格式,并提供了一种交换那些可操作的统计性事件信息的格式,且支持自动处理。它还包含了IODEF for Structured Cybersecurity Information(结构化网络安全信息,简称IODEF-SCI)扩展和Realtime Internetwork Defense(实时网络防御,简称RID),支持自动共享情报和事件。

  到目前为止没有一个威胁情报相关的标准在国际上通用,但是相关标准的制定无疑直接推动了威胁情报的发展,尤其是为不同厂家的威胁情报产品能够进行协同联动、信息共享打下了基础,也期待着国内的标准制定工作能够快速进行。

  国内做的最好的应该是微步在线,微步不仅仅只有一个搜索功能,还建立了相应的社区进行情报共享,并实现了威胁情报的产品化。

  Threatcrowd是alienvault旗下的一款威胁情报搜索引擎,并建立了相应的威胁情报社区

  除此之外还有很多没有提及,以上威胁情报平台一般都以一个“搜索引擎”作为入口,输入IP、域名、文件HASH等信息输出查询的结果,包括杀毒引擎检测率、Whois、PDNS、关系图谱等。有的也会提供API接口,或者提供情报推送服务,并作为一种盈利方式。

  基于威胁情报数据,可以创建IDPs或者AV产品的签名,或者生成NFT(网络取证工具)、SIEM、ETDR(终端威胁检测及响应)等产品的规则,用于攻击检测。比如IP、域名、URL等作为机读情报IOC(国际上通行的机读威胁情报标准有多种,包括:STIX、OpenIOC、IODEF、CIF、OTX等),直接导入设备,进行进出口流量的访问控制。这个方面做的比较好的厂商是Fireeye,其核心产品都可以使用威胁情报数据来增强检测和防御能力。而其他大部分厂商的产品依然无法直接使用威胁情报,这也是阻碍威胁情报落地的困难之一。

  乍一看这跟传统的黑白名单似乎没有区别,但实际上IOC具有更好的时效性,情报厂商不断的产生新的IOC,使用者可以不断地获取与自身相关的情报,使得在防护设备中始终保持一份“最新的热名单”,始终保持着对新型攻击的防护能力。一个比较好的例子:

  安全分析及事件响应中攻击溯源是重要的工作内容之一,同样可以依赖威胁情报来更简单、高效的进行处理。在攻击范围确定中可以利用预测类型的指标,预测已发现攻击线索之前或之后可能的恶意活动,来更快速的明确攻击范围;同时可以将前期的工作成果作为威胁情报,输入SIEM类型的设备,进行历史性索引,更全面的得到可能受影响的资产清单或者其它线索。尤其是借助现有的威胁情报平台可以很好的对一些关键信息紧缩检索,比如在设备日志中发现了一些可以的ip,那么就可以根据ip进行威胁情报搜索,通过ip的历史通信记录、是否与恶意样本存在过关联、PDNS、反向域名解析结果等判断ip的性质,若为恶意ip也可以根据结果顺藤摸瓜进一步查询。

  态势感知也是一个说了很多年的比较大的概念,在很多人看来好像也没起到多大的防护效果。这里我们可以换一个更接地气的名字:安全运营。现在一个稍大一点的企业都会招募自己的安全团队吗,建立自己的安全运营中心SOC(Security Operations Center)。SOC的作用一般负责应急响应、安全监测及制定整体的安全策略等工作,随着威胁情报的兴起,情报驱动的安全运营中心ISOC(Intelligence-Driven Security Operations Center )开始被提出来。ISOC具有融合分析大数据的能力,可以产生与企业相关本的自身情报,形成对自身的感知能力(知己);也可以调用外部开源或付费的威胁情报接口,获取最新的外部咨询,形成对外的感知能力(知彼),由此产生一定的态势感知能力。

  构建威胁情报体系,协同联动,扭转攻防失衡的局面。什么是攻防失衡呢?以下图示例(国外某数据公司发布的攻防时间对比图)。第一行是攻击初始化阶段,大部分操作在分钟级就可以完成;第二行是数据获取阶段,在分钟级、时级或者天级可以完成大部分操作;第三行是发现阶段,要在月级才能完成大部分操作;第四行是数据恢复和防御阶段,要在天级以上才能完成。通过对时间的对比就可以看出攻防两端实际上是不对称的,这就是为什么这么多年的安全建设依然无法防御网络上形形色色的威胁。

  0x00前言    威胁情报是指:基于一定知识的证据,已经存在或正在形成的潜在威胁,比如,上下文、机制、指标、意义以及可实施的建议,利用这些,可以帮助当事人形成应对这些危险的决策。0x01目的    ...博文来自:煜铭2011

  内网威胁情报中心,突破了传统被动防御的安全理念,采用应用服务伪装技术,有效解决了现有安全产品误报率搞,无法准确发现内网攻击行为等问题。结合日志审计、流量审计等产品,可为内网多源日志的关系分析提供高可信...博文来自:tiasec的博客

  原文:点击打开链接一、溯源案例两则(一)白象组织溯源​        首先,我们来看溯源白象事件[1]的整体过程。此事件的主要点在样本侧。因为安天在这方面有一定储备,在一千个样本中提取PDB开发路径,...博文来自:xumesang的专栏

  最近在整理一些CTF题,觉得很有意思,觉得有必要一下!CTF对题目说明很重要,请务必重视!1.Robot熟悉web的人,看到题目应该想起robots协议,也被称为爬虫协议、机器人协议,网站通过robo...博文来自:土豆回锅的博客

  将公开的威胁情报数据采集做数据分析和内网安全问题排查。情报获取只要可以提供全量数据的接口情报一:踩坑:critica...博文来自:yib0y的博客

  安全是一场攻防战,那么,如今这样的攻防战发展到了什么level了呢?日前,安全领域的大神们进行了一场闭门研讨。大神们表示,如今要想保证自己的安全,你不仅需要武器,还需要侦察兵,需要一份威胁情报。   ...博文来自:stonesharp的专栏

  本文系装载:转载地址什么是威胁情报,其实安全圈一直在使用着它们,漏洞库、指纹库、IP信誉库,它们都是威胁情报...博文来自:错误集中营

  以下内容仅仅是个人的一些认识,仅仅是我所说的事件情报与此相关,但是希望能构建一个大的MRTI平台吧。情报威胁,概念炒了这么多年,有人说2015,2016是情报威胁新的纪元。安全情报包括威胁情报、漏洞情...博文来自:chenyulancn的专栏

  我们为什么需要威胁情报?0x00前言最近被谈论的异常火热的一个术语就是威胁情报,那么威胁情报到底是什么意思,它是一种什么概念或者机制呢?本文中我们就来亲密接触一下威胁情报,并了解它所具有的功能,然后给...博文来自:AoChengKaos Blog

  当前,网络空间的广度和深度不断拓展、安全对抗日趋激烈,传统的安全思维模式和安全技术已经无法有效满足政企客户安全防护的需要,新的安全理念、新的安全技术不断涌现,当前的网络安全正处在一个转型升级的上升期。...博文来自:weixin_33695082的博客

  目前,SOC给我的感觉就是投入与产出严重不成正比,投入的资金多、设备多、人员多、时间多,相应的造成功能多、告警多、争议多、运维多,最后用户获取到有意义的内容少、价值少、保障少、积累少。      我相...博文来自:甘焕的博客

  互联网的规模是巨大的,其中拥有你能想到的所有最重要的数据,不仅仅局限于搜索人或者公司的相关信息,而可能利用这些数据来预测未来将会发生什么。为了完成“预测”,你需要对数据进行处理,一个专业的威胁情报分析...博文来自:不急不躁

  来源:一、简介威胁情报数据对于监控安全目的的过程至关重要。总有数据将通过事件响应过程被发现,而数...博文来自:weixin_34255793的博客

  APT持续破坏的能力与欲望积极地推动我们从传统的威胁响应方式快速迁移至网络空间安全解决方案。在网络被入侵后进行响应,代价一般会非常昂贵,无论是在消除不良影响方面,还是在清除攻击者遗留的据点方面(如木马...博文来自:甘焕的博客

  STIXWhitepater官网地址:概要:本文基因个人理解对网络威胁情报交换标准格式S...博文来自:Delphinidae

  由于注册criticalstack后无法在collections中添加feeds,导致无法使用其开源的威胁情报库,咨询其网站也没有相关回应,因此采用Alienvault-OTX开源情报数据。1、注册获...博文来自:weixin_33795806的博客

  点击蓝字关注我们奇技指南本篇从安全分析角度,介绍了威胁情报如何产出,并且提供了工程化的方案。01何为威胁情报我将威胁情报定义为:经过研判过的安全信息。这里有三个实体:研判......博文来自:qihoo_tech的博客

  周四的时候去参加了首届威胁情报生态大会,还是很有收获的,不过也还是一直拖到今天才写下自己的一些感受和理解。起初听完后感觉全程都是在听甲方公司谈需求,乙方安全公司聊自家产品,但细细思考生态大会也正是一个...博文来自:weixin_34261415的博客

  CAC安全中心威胁情报——一种新型钓鱼邮件威胁与应对策略1、钓鱼邮件威胁情报2018年9月7日,CoremailCAC安全中心发现有一种新型的钓鱼邮件正在呈现扩散趋势,由于该钓鱼邮件的伪装程度较高,部...博文来自:Coremail论客

  防护体系落后与技术发展,防护体系的新要求:发现攻击事件APT定点攻击组织间的内部协同产品和产家的跨平台协同威胁情报:网络安全=风险管理。目的:知彼内容:威胁源,攻击目的,攻击手法,利用漏洞,COA应用...博文来自:Hi,你好

  一、情报+安全运营:数据为王近几年,安全圈除了AI之外,比较火的概念大概是:Threat Intelligence(威胁情报)和Threat Hunting(威胁狩猎)了。除了PR和安全厂商自我驱动的...博文来自:omnispace的博客

  威胁情报从哪儿来,你知道吗?发布时间:2019-06-2711:00:12威胁情报是什么?看看官方的一些解释,引用百度百科的内容:根据Gartner对威胁情报的定义,威胁情报是某种基于证据的知识,包括...博文来自:makaisghr的专栏

  过去我们所理解的威胁情报就是“威胁数据→SIEM(安全信息与事件管理)→安全保障”,而这个过程中只有少数东西需要分析。RickHollan在2012年的一篇博客《我的威胁情报可以完虐你的威胁情报》中就...博文来自:Fly_鹏程万里

  前言:其实威胁情报这个概念早些年就已经产生了,但近年来,随着安全领域的重视和快速发展,“威胁情报”一词迅速出现在这个领域,如今,许多安全企业都在提供威胁情报服务,众多企业的安全应急响应中心也开始接收威...博文来自:bluebubble的专栏

  真搞不懂,一些团队由于某些原因居然认为他们可以建立一个安全数据湖和/或他们自己的大数据安全分析工具。让我来告诉你们会发生什么——失败。提示一下数据沼泽笑话。想想数据浮渣。讨论一下在数据池里撒尿。结果是...博文来自:外星人TAKI

  一、编译PROJ4    PROJ4的最新版本是4.8,官网地址为:。从官网下载PROJ4的源代码,解压到文件夹中,如F:\Work\3rdPar...博文来自:晴树的专栏

http://theenigmaco.com/zhanlueqingbao/482.html
锟斤拷锟斤拷锟斤拷QQ微锟斤拷锟斤拷锟斤拷锟斤拷锟斤拷锟斤拷微锟斤拷
关于我们|联系我们|版权声明|网站地图|
Copyright © 2002-2019 现金彩票 版权所有