威胁情报(Threat Intelligence,TI)是什么?有的人认为情报就是IP、域名等IOC指标(IoC定义后面有介绍)。有的人把情报理解为跟病毒特征库一样的,讲自己的情报库积累了多少年,有多少多少条记录,这些理解存在的一定的误解。 
一、概念
(1)情报的定义
理解威胁情报之前,先来看看啥是情报。现代汉语词典(第5版)是这么定义的:名词,关于某种情况的消息和报告,多带机密性质。如:情报员、军事情报、科学技术情报。
辞海中是这样定义的:
1、以侦察手段或其他方法获取的有关对方的机密情况。如:军事情报、窃取情报。
2、泛指最新的有一定参考价值的情况报道。如:科技情报、商业情报。
这两个定义虽然略有不同,但我们可以从中看出一些相同点:
1、机密性。情报中所包含的内容是有一定的机密性的,需要通过特定手段才可以获得。当然,这里所说的机密也是相对的,只要对使用者来说不知道的都可以说是机密的。
2、有价值。该信息对于某些人来说是有价值的信息。这个价值主要表现在两个方面,一是及时性,二是准确性。情报要及时、要准确才更有价值,过时的情报或者虚假的情报不仅没有价值甚至还会给组织带来负面的影响。
很多人喜欢看谍战类的电视剧,如潜伏、风筝等,应该都能清楚的知道情报的重要性,以及虚假情报的危害性。情报在战争中一直扮演着关键角色,无论是古代还是现代,准确的情报往往能决定战争的胜负。
比如大家都知道击毙本·拉登(人力情报与信号情报结合)的案例。
2011年,美国追踪基地组织头目本·拉登。就是通过审讯囚犯和信号情报锁定本·拉登信使的身份。利用卫星图像和无人机监视确认其藏身地点(巴基斯坦阿伯塔巴德)。 最后美国海豹突击队成功击毙本·拉登。多源情报融合(人力情报HUMINT + 信号情报SIGINT + 图像情报IMINT)是现代反恐行动的核心。
在我国古代,利用情报决定战争胜负的例子也是比比皆是,比如:
诸葛亮,因为掌握了天象情报,才有了借东风火烧战船的经典案例;再比如官渡之战: 当年,曹操两万士兵对阵袁绍十万大军,双方对峙于官渡(今中牟),这时,袁绍谋士许攸投奔曹操,并告诉曹操在距离袁绍大军四十余里的乌巢(今延津东南),存放着袁绍的粮草,守卫的士兵不多,建议曹操轻兵奇袭乌巢,烧其辎重。曹操立即付诸实行,亲自率领步骑五千,冒用袁军旗号,人衔枚马缚口,各带柴草一束,利用暗夜走小路偷袭乌巢。火烧了袁军粮仓,袁军军心浮动,最终歼灭袁军七万余人,创造了中国古代军事史上以少胜多的经典战役。
(2)威胁情报的定义
那么,什么是威胁情报呢?这个概念在2013年5月由Gartner提出。
bash
"Threat intelligence is evidence-based knowledge, including context,
mechanisms, indicators, implications, and actionable advice, about
an existing or emerging menace or hazard to assets that can be used
to inform decisions regarding the subject's response to that menace
or hazard."
------Gartner威胁情报是一种基于证据的知识,包括上下文、机制、指标、含义以及能够执行的建议。威胁情报描述了对资产已有或将出现的威胁或危害,并可用于告知决策者对该威胁或危害做出响应提供信息。
威胁情报是对对手的分析,分析其能力、动机和目标。而网络威胁情报是对对手如何使用网络来实现目标的分析,应用结构化的分析过程,来了解攻击及其背后的对手。
(3)情报与态势感知
一切没有情报支撑的态势感知都是在耍流氓。
举个例子:在内部的日志中发现有一个外部IP试图访问内网,或者内部的一台电脑试图访问外部的一个IP地址。这种情况在我们的网络中非常常见,如果没有情报系统,我们不知道这个IP是好是坏,是正常的访问还是黑客的攻击前的行为,也只能作罢。
但如果有了情报:
• 只包含指标信息的情报:这个IP x.x.x.x是坏的
• 带上下文信息的情报:这个IP x.x.x.x是被白象APT组织使用的
• 深度信息:白象组织是一个来自于xx国家的专门攻击外交机构的一个组织
• 更多信息:这个组织攻击的流程一般是......为了防御这个APT组织,你需要采取如下的措施......。
通过情报,可以准确的对攻击者进行画像,知道是谁实施的攻击,攻击目标、攻击目的、攻击手段、攻击程度、攻击现象、攻击后果以及如何补救。
从严格意义上来讲,威胁情报和漏洞情报是不同的两种安全情报,不应该将它们混淆。从防御者的角度来看,获取漏洞情报是为了知己 ,而获取威胁情报是为了知彼。
二、威胁情报的分类
情报有不同的分类方法。从应用领域分类可以分为,机读情报(MRTI) 、人读情报(PRTI) 、画像情报 和知识情报四类;
按照情报内容可以分为技术情报、战术情报、运营情报和战略情报;
按照情报来源不同,可以分为内部情报和外部情报;
按照威胁种类又可以分为:APT攻击报告、犯罪软件报告、数据足迹报告、漏洞信息报告、虚假信息报告等。
(一)机读、人读、画像和知识情报
(1)机读情报
1)定义:机读情报(简称:MRTI。Machine-Readable Threat Intelligence)顾名思义,即机器可读情报,通过自动化方式从网络收集数据提供给企业,这种情报数据源,我们一般也称之为data feeds。
2)格式:既然是机器读的,目前主要还是结构化标准化的格式,遵循国际通用的一些标准协议(如STIX、TAXII、OPENIOC、MEGA等,定义见本文末说明),常见的格式是:JSON、XML、CSV、TXT等,这样便于阅读、理解和分析,可直接被安全工具(SIEM、EDR、防火墙)自动解析和处理。当然随着人工智能的发展,以后非结构化语言也可以交给机器阅读了。那是后话。
2018年10月10日,我国正式发布威胁情报的国家标准《信息安全技术网络安全威胁信息格式规范Information security technology---Cyber security threat information format》(GB/T 36643-2018)。
打开了一份JSON格式的C2和钓鱼网站机读情报,看到如下的内容:
结合厂商提供的字段说明,可以看到内容清晰,每一行都代表了不同的含义,SIEM平台或其他工具可以直接阅读,从中选择自己需要的字段,导入自己的平台进行使用和分析。
3)内容:机读情报的内容一般包括
-
失陷指标(IoC):IP、域名、哈希、注册表键值等
-
攻击模式(TTPs):MITRE ATT&CK映射
-
机器可操作的规则(如YARA、Snort规则)
注:Indicators of Compromise(IOC),也被称为失陷指标,经常用于取证调查场景,指的是网络攻击或安全漏洞导致的主机受损的证据,比如恶意文件哈希值,恶意软件的特征,恶意的IP地址、URL、域名等被动识别的信标。这些指标是恶意行为者留下的有形线索或痕迹,有助于企业识别、分析、调查和修复网络安全事件,使企业能够迅速做出反应,减轻漏洞造成的影响。
TTPs:是网络安全中的一术语,由战术Tactics, 技术Techniques,和程序Procedures三部分组成,用来描述攻击者的行为,战术是指攻击者采用的策略和方式,技术是指攻击者采用的技术和工具,程序是指攻击者攻击时的步骤和过程。
MITRE ATT&CK:MITRE ATT&CK1框架是一个开放和公开的知识库,其中包含基于真实世界观察的对手战术和技术。ATT&CK是由MITRE公司开发的,这是一个非营利组织,负责管理联邦政府资助的支持美国政府的研发中心。
4)分发方式
-
API接口实时推送,厂商通过API接口和对应的账号密码,实时将你需要的信息推送你的安全设备上,如防火墙。
-
订阅服务(如TI Feed),可通过厂商提供的账号在订阅期间通过TIP(Threat Intelligence Potal)情报平台查询、查阅或下载相应的情报数据。
-
标准化数据包(STIX Bundle),厂商发送标准化的数据包,使用者自行导入本地SIEM平台。类似这样的文本文件。
5)特点
更新频率高:高频更新(分钟/小时级),应对快速变化的威胁(如C2服务器IP更换)
时效性强:强调实时性,用于"热数据"响应(如阻断正在发生的攻击)
下图是某国际著名网络安全公司卡巴**某一天内情报库更新的情况:
从这个图上也可以看出,威胁情报的特点在于其及时性和准确性,因为这些数据每时每刻都在发生变化,比如黑客控制的某C2服务器,一旦黑客发现该地址被大家所知悉,他们就会更换IP,原IP就释放为正常IP了,如果你的情报库不能及时更新,只是一味的积累叠加,看似情报库数量大,但实际应用中就会产生大量的误报,使你的客户对你的设备失去信心。
优势:能够收集足够的数据,能处理海量信息,确保所有主要的威胁能够得到识别,自动筛选无用或重复数据,无需耗费人力,提供当前及历史变量数据威胁,同时将数据进行格式化,便于机器操作,人工也能轻松进行上下文分析、关联及有限排序。
价值:机读情报能够允许SIEM或者其他安全控制设备,根据当前相关威胁形势信息作出安全运营决策。如:SOC系统通过订阅的情报自动更新防火墙黑名单,自动化阻断恶意地址。可以根据SIEM告警实时检测威胁。可以通过IoC匹配历史日志进行全网范围内的威胁狩猎等等。
6)适用对象:
安全厂商:安全厂商通过情报赋能,提升产品应对威胁的能力。如防火墙、DNS网关、上网行为管理、文件摆渡等。可以对流量中的文件哈希、URL、IP等内容进行对比,从而快速发现威胁,消除隐患。
大型企业单位:建有SOC平台的大型企业单位,需要通过情报提升态势感知平台对于未知威胁的响应能力。
政府及行业中心:政府及行业监管中心等数据集中的单位,如大数据局、公安、卫健委、工信等政府行业监管部门,通过情报可以快速发现攻击行为,防患于未然。
(2)人读情报
1)定义:人读情报(People-Readable Threat Intelligence,PRTI),顾名思义,人读情报,就是让人读的情报。一般是一些报告类的内容,是对目标进行高度浓缩和分析后,整理出来的文档,主要解决解决的是信息爆炸的问题,提供针对企业或者用户个性化的情报。同时,人读情报中也会包含机读情报的一些内容,比如IoC指标,TTPs、YaRa规则等。人读情报格式广泛,安全公告、漏洞预警、病毒/APT分析等都属于该类别。
2)格式:既然是人读的,那么其格式就不像机读情报那么严格了,一般都是采用非结构化自然语言(如PDF报告、博客文章、邮件通知)等方式,符合人工阅读的习惯和分析,无法直接进行自动化处理。
3)内容:人读情报的内容比较丰富,比如针对某黑客组织的报告,针对特定区域在特定时间的威胁趋势,针对特定行业的攻击趋势和事件,针对某攻击事件的详细报告,针对某企业的针对性报告等。除了趋势报告之外,人读情报的内容还包括对IoC指标的上下文分析(攻击者背景、动机),攻击者的TTPs,即攻击者所使用的战术、技术和攻击流程,了解攻击事件的时间线、影响范围,让安全人员提前做好防御措施,决策者可以做出战略决策。如:趋势报告:
中国信息安全测评中心:全球APT态势报告
卡巴斯基针对鲑鱼旋转行动的报告(一种针对APAC工业组织的新攻击)
针对企业数字足迹的分析报告
4)分发方式:
-
邮件通知、PDF附件
-
网页文章、社交媒体动态
-
行业会议分享
5)特点:
低频更新(天/周/月/年),人读情报不象机读情报,关注的及时性,对更新频率要求高,而人读的情报多为报告形势,侧重趋势分析与总结,包括事后的复盘,因此对更新速度上没有过高的要求,更是更强调深度。
6)强调深度,用于"冷数据"分析(如攻击活动复盘)。因此为了深入分析,这种报告往往需要几个月的时间进行发布,以便收到更多的信息,进行更深入的分析。
7)优势:
机读情报中,只有攻击者的简单信息,比如攻击者所使用的IP、哈希等指标,并没有具体的描述,防守者只能查有没有受到攻击,而不能了解更多信息,更不能提前做出防御手段。而通过人读情报的分析和总结,可以理解上下文(如"攻击是出于政治还是经济利益"),通过对攻击者的画像,可以了解:6W1H
谁在攻击我(Who)。是哪个组织哪个人?这个组织的情况,如人员组成、攻击手法、常见技术等。
为什么要攻击我(Why)。是出于经济目的还是政治目的?
如何知道受到了攻击(What)。攻击的特征和失陷的特征是什么?如果查找和确定是否受到了攻击。
攻击点会在哪里?(Where)。常见的薄弱点,漏洞、邮件或者其他。
什么时间会攻击我?(when)。黑客一般攻击的时间点。
怎么攻击我(How)。用的什么技术,攻击流程是什么?
8)价值:对于APT组织,你面对的不是恶意程序或者是攻击所用的工具,你面对的是人。 做为人,他们有喜好、特长、模式和弱点。 威胁分析人员研究这些人的这些特点,帮组理解这个APT攻击背后人的因素,包括其攻击通常采用的技术手段、后端的基础架构和流程 (TTP)等帮助理解上下文和溯源的信息,更方便决策者做了防御措施和安全决策。通过报告的学习和培训,让公司员工更好的提升安全意识和能力。
9)适用对象:
政府:政府通过APT报告,了解国家级层面的攻击行为,通过趋势报告提前了解攻击的发展趋势,提前做出针对性的资金倾斜和政策引导。
(3)机读与人读的对比
很多人认为人读情报的重要性不如机读情报,都是一些报告类的东西,没有什么价值,其实这是一种误解,人读情报关注的人一般是企业C字头的高管或者政府等,他们可以通过这些报告,了解未来的趋势,以及投资重点。网络安全攻防的本质是人与人之间的对抗或每一次入侵背后都有一个实体(人或组织),而情报的本质是关于对手的知识。对对手了解越多,在攻防对抗中才能不落下风,古人有云:知己知彼,方能百战不殆。而情报,就是知彼的重要手段。
(4)画像情报:针对单一的威胁、资产、漏洞、事件进行分析,形成相应的知识集,概念上类似于用户画像。
(5)知识情报:基于先验知识的规则模型和算法。这些模型和算法与平台之间高度匹配,可以快速导入平台,结合平台获得的各类数据、信息和情报,实现对某类特定类别的威胁、风险或特定事件的感知、分析、决策和处置。消费对象和应用场景集中于态势感知、SOC/SIEM类分析平台。
其中机读情报应用最广,基本已经被各大安全厂商在设备中集成,多以IoC或者Yara的形式存储。人读情报的格式比较宽泛,包括安全公告、漏洞预警、病毒/APT分析文章都属于这个类别。画像情报则是介于机读和人读情报中的一种,通常用结构化的标签和非结构化的备注来描述,针对单一的威胁、资产、漏洞、事件进行分析形成的知识集,也可以加入场景标注。而知识情报的提法主要是针对态势感知、SOC、SIEM类平台产品的,平台内置的先验规则如关联规则和知识图谱都属于这一类。
(二)开源、闭源情报
根据来源不同,威胁情报分为两类,一种是开源(Open-Source)情报,和闭源(Closed-source)情报。
开源情报(OSINT):利用网络中现存免费的信息威胁信息。包括安全网址,漏洞数据库,新闻媒体,社交媒体、暗网中的一系列信息、公共和私人信息共享中心、文件和代码库以及安全研究组织中获取信息。
有些技术是相当直接的,网络攻击者和企业安全团队都可以使用。例如,攻击者可以通过进行电子邮件收集来制定社会工程攻击的目标名单,他们在网上搜索目标域的有效电子邮件地址,然后使用这些地址来发送网络钓鱼攻击。
闭源情报或Commercial Threat Intelligence:梳理所有这些公开来源的情报可能非常耗时,许多组织根本没有时间来阅读这些数据并挖掘其中的关键情报碎片。整个威胁情报行业已经兴起,有通过使用预测分析的封闭源和专有威胁情报产品来支持这些需要帮助的商业公司。这些产品包括从总结关键安全问题的信息简报到提供参与网络安全威胁活动的IP地址的实时服务。企业可以将这些信息直接发送到防火墙、入侵防御系统和其他安全工具,并利用它们来实时阻止来自可疑IP地址的访问。
一些安全组织甚至在他们的网站上发布实时威胁地图,让你直观地看到他们所检测到的攻击。如下所示:
(三)战略、技术与战术情报
战略情报包括安全调查报告、趋势分析、行业状况等战略层面的情报,可供企业CISO或安全负责人制定安全规划和投资策略,将有限的资源投入到最需要的地方。
技术情报包括各种威胁的丰富化情报,以及相关信息。通过攻击事件相关的IP和域名的详细信息,以及攻击者相关的攻击事件及样本,安全分析师可以对重要安全事件做准确的分析,包括报警确认、攻击影响范围、攻击链以及攻击目的、技战方法等,并进行相应的安全预测和防范。
战术情报包括各种面向安全设备或系统的,易于执行的高可信度威胁IOC (Indicator of Compromise)。安全运营团队利用高质量的威胁IOC可帮忙安全系统自动检测未知威胁,及早产生预警和通知,快速响应恶意攻击,提高企业安全防护能力。
根据数据本身威胁情报可以分为HASH值、IP地址、域名、网络或主机特征、TTPs(Tactics、Techniques & Procedures,工具、技术、过程)等
(1)HASH值:一般指样本、文件的HASH值,比如MD5和SHA系列。由于HASH函数的雪崩效应,文件任何微弱地改变,都会导致产生一个完全不同也不相关的哈希值。这使得在很多情况下,它变得不值得跟踪,所以它带来的防御效果也是最低的。
(2)IP地址:常见的指标之一,通过IP的访问控制可以抵御很多常见的攻击,但是又因为IP数量太大,任何攻击者均可以尝试更改IP地址,以绕过访问控制。
(3)域名:有些攻击类型或攻击手法也或者出于隐藏的目的,攻击者会通过域名连接外部服务器进行间接通信,由于域名需要购买、注册、与服务器绑定等操作使得它的成本相对IP是比较高的,对域名的把控产生的防御效果也是较好的。但是对于高级APT攻击或大规模的团伙攻击,往往会准备大量备用域名,所以它的限制作用也是有限。
(4)网络或主机特征:这里指的特征可以是很多方面,比如攻击者浏览器的User-Agent、登录的用户名、访问的频率等,这些特征就是一种对攻击者的描述,这些情报数据可以很好的将攻击流量从其他的流量中提取出来,就会产生一种较好的防御效果。
(5)攻击工具:这里是指获取或检测到了攻击者使用的工具,这种基于工具的情报数据能够使得一批攻击失效,攻击者不得不进行免杀或重写工具,这就达到了增加攻击成本的目的。
(6)TTPs:Tactics、Techniques & Procedures的缩写,指攻击者所使用的攻击策略、手法等,掌握了些信息就能明白攻击者所利用的具体漏洞,就能够针对性的布防,使得攻击者不得不寻找新的漏洞,所以这也是价值最高的情报数据。
三、威胁情报的评价方法
如何去评判一个威胁情报的好坏,看情报是否符合"ART"原则。符合"ART"原则的才是对企业有用的情报。
Accuracy(准确性):情报是否足够详细和可靠。威胁情报的作用是为安全团队提供相关信息并指导决策,如果情报不准确,不但没有产生价值,反而会对组织的安全决策会造成负面影响。
Relevance(相关性):情报是否可适用于你的业务或行业,不是所有的信息都是适用的,相关性较弱的情报会导致分析人员的繁重任务,并且会导致其他有效情报的时效性失效。
Timeliness(时效性):在利用些情报前,需要确认情报是否已经失效?威胁情报是信息的集合,凡是信息,都具有时效性。往往情报的有效时间会很短,攻击者会为了隐藏自己的踪迹不断的更换一些特征信息,比如说IP地址、手法等等。
四、威胁指标(threat indicator)管理
威胁指标会表示网络威胁的信息。例如,威胁指标可能包括IP地址、恶意文件签名、通信模式或其他标识符,分析人员可以用它们来识别威胁行为者。
威胁信息仅仅在我们互相分享后能够生效,但是如果将信息分享给同行但是又语言不通,这十分困难。因此,专门有几个框架来帮助我们完成这件事情:
(1)Cyber observable eXpression(CybOX),当我们试图向其他人解释这些事件时,CybOX能帮助我们明确可以用什么属性来描述入侵企图、恶意软件和其他可观察的安全事件。
(2)Structured Thread Information eXpression(STIX)即结构化威胁信息表达,是共享威胁情报的行业标准之一,也是由MITRE以协作方式开发的一种用于描述威胁信息的结构化语言和程序化格式。其用作情报描述,能够通过对象和描述关系清晰地表示威胁情报中的多方面特征,比如威胁因素、威胁活动、威胁属性等,易于被共享、存储,并以一致的方式使用,从而驱动自动化和人工辅助分析。
STIX适用场景主要包括威胁分析、威胁特征分类、威胁及安全事件应急处理、威胁情报分享等。是一种标准化的语言。用于在组织的系统之间交流安全信息。STIX采用了CybOX框架的属性,并为我们提供了一种语言,我们可以用它来以结构化的方式描述这些属性。
(3)Trusted Automated eXchange of Indicator Information(TAXII),TAXII即受信任指标信息自动交换,是基于HTTPS交换威胁情报信息的一个应用层协议,主要用于传输数据。TAXII是为支持使用STIX描述的威胁情报交换而设计的,是STIX结构化威胁信息的传输工具。目前常用的是1.0版本和2.1版本。1.0版本采用XML格式,2.1版本采用JSON格式。TAXII是一套在组织的系统之间实际共享安全信息的服务。TAXII提供了一个技术框架,用于交换用STIX语言编写的信息。
(4)OpenIOC(Open Indicator of Compromise)是MANDIANT公司发布的情报共享规范,是一个开源、灵活的框架。它是一个记录、定义以及共享威胁情报的格式,通过借助机器可读的形式实现不同类型威胁情报的快速共享。
STIX、TAXII和CybOX一起工作,CybOX提供了一个模式,可以用它来对不同的威胁进行分类。CybOX被用来定义信息元素,然后可以用STIX语言来表示,最后可以使用TAXII来交换STIX格式的威胁信息。除此之外,OpenIOC也是另一个描述和分享安全威胁信息的框架。
五、情报共享的价值
可以通过上述提到的STIX、TAXII和CybOX在组织的各个系统和同行中共享威胁情报。共享情报的好处主要体现能在如下的部门受益:
1)如负责积极应对安全事件的事件响应团队;
2)必须识别可能导致未来事件的潜在弱点的漏洞管理团队;
3)必须了解网络安全风险大局的风险管理团队;
4)必须设计控制措施以应对新出现的威胁的安全工程团队;
5)以及负责积极监测安全环境的威胁指标的检测和监控团队,如安全运营中心。威胁情报的技术框架允许这些职能部门使用的工具和系统之间自动共享信息。
为了进一步加强情报共享,信息共享和分析中心(Information Sharing and Analysis Centers或ISACs)将来自相互竞争的组织的网络安全团队聚集在一起,帮助以保密的方式共享特定行业的安全信息。ISACs的目标是在不危及匿名的情况下收集和传播威胁情报。这是竞争对手合作的一种安全方式。
六、威胁调查
威胁研究是利用威胁情报来了解攻击者的想法的过程,越了解攻击者的心态,可以更好地了解如何保护我们的组织免受其攻击。
当我们进行威胁研究时,有两种核心技术可以用来识别潜在的威胁:
(1)声誉威胁研究(reputation threat research ): 旨在识别已知在过去从事过恶意活动的行为者。如果我们从自己的防御机制中知道某个特定的IP地址、电子邮件地址或域名在过去对我们进行了攻击,我们就可以利用这一信息来阻止未来来自该来源的连接到系统的尝试。可以为我们所监测的每个对象分配一个信誉,以避免对已经证明不值得信任的源发起重复访问。
(2)行为威胁研究(behavioral threat research): 旨在识别那些以不寻常方式行事的人和系统,这些人和系统与攻击者过去的行为方式相似。即使攻击者使用的是一个全新的IP地址,也可能注意到该IP地址的行为模式与过去攻击者的活动相似。
声誉研究和行为研究都从不同的角度来探讨威胁识别问题,当它们一起使用时,就会形成一个强大的威胁研究计划。
研究来源:
供应商网站、漏洞反馈、网络安全会议、学术期刊、征求意见稿或发布技术规范的RFC文件、当地行业团体、社交媒体、威胁反馈,以及包含攻击者工具、技术和程序(TTP)细节的来源。
七、识别(identifying)威胁
安全专业人员使用威胁建模技术来识别和优先处理威胁,并协助实施安全控制。当识别组织的潜在威胁时,安全专业人员应使用结构化的方法。
让我们来看看一个组织可以使用结构化方法来识别威胁的三种方式:
(一)以资产为重点(Asset Focus)
一个组织可以使用以资产为重点的方法。在这种方法中,分析员使用组织的资产清单作为分析的基础,并逐个资产进行分析,确定对该资产的潜在威胁。例如,当他们到达组织的网络存在时,他们可能会发现切断一条光缆对网站的持续可用性构成威胁。
(二 )以威胁为重点(Threat Focus)
一个组织可以使用以威胁为重点的方法。使用这种方法,组织会想到所有可能存在的威胁,然后思考这些威胁会如何影响不同的组织信息系统。
(三)服务为重点的(Service Focus)
一个组织可以使用一个以服务为重点的方法。这最常用于通过互联网向其他组织提供服务的服务提供商。例如,一个向公众公开API的组织可能会考虑到该API提供的所有接口以及可能影响每个接口的威胁。识别一个组织所面临的所有威胁是威胁建模过程的第一步。
八、威胁情报自动化
威胁情报是自动化能给我们带来巨大的好处。主要体现在如下几个方面:
(一)自动列入黑名单:
将威胁情报服务报告的恶意活动来源的IP地址自动列入黑名单,这些威胁情报服务通常包括一个IP地址的直接反馈,当在其客户的网络中检测到恶意活动时,会实时更新。这些威胁情报的设计是为了与防火墙、入侵防御系统、路由器和其他具有自动拦截流量能力的设备直接整合。
(二)自动整合信息流:
从各种来源收到威胁信息,也可以使用自动化来把从这些信息源收到的信息合并成一个单一的情报流。
(三)自动的事件响应:
通常事件响应都是手工操作,涉及到各种领域的知识、个人经验和直觉的应用。虽然事件响应很可能总是涉及到人工干预的重要组成部分,但一些组织在将其事件响应计划的部分内容自动化方面正在取得成功。
事件响应自动化的最佳起点之一是为人工分析员提供自动化事件响应数据依据,为研判节省调查事件常规细节花费的时间。所有这些行动都可以在检测到事件后立即进行,并附加到跟踪系统中的事件中,供分析人员审查。
机器学习和人工智能开启了一个全新的自动化可能性世界。例如,如果网络安全分析师检测到一种新的恶意软件,他们可以使用自动化的恶意软件签名创建工具来扫描可执行文件,寻找可能用于签名定义文件的独特特征。
九、威胁猎取(Theat hunting)
威胁猎取是一种有组织、有系统的方法,用来寻找网络上的入侵指标。 威胁猎手(Theat hunting)将成熟的安全技术和新的预测分析技术相结合,追踪可疑活动的迹象并开展调查。
当开始威胁猎取工作时,需要将思维模式从以防御为重点转变为以进攻为重点,暨攻击者思考方式。当进行威胁搜索时,需要做的第一件事是建立一个妥协的假设(assumption of compromise),也就是一个攻击者可能进入我们组织的方式。具体假设的建立可以根据对威胁行为者的分析和他们的活动特性,基于威胁反馈,甚至是漏洞咨询或公告。
在某些情况下,可能会进行情报融合,将许多不同的来源结合起来。一旦确定了我们的假设,就会考虑可能与该假设有关的损害指标。这些指标可以是任何不寻常的东西。例如,它们可能包括存储在系统中的不寻常的二进制文件,包括那些已知的恶意内容、未知内容或意外的通知。或者一个指标可能是一个在系统上运行的意外进程,或者一个系统进程对系统资源的异常消耗。或者可能会发现在系统和应用程序中存在意想不到的账户或分配给某些账户的异常权限。
分析方法包括:发现网络流量模式的偏差、无法解释的日志条目或对系统、应用程序和设备进行的配置更改等。可以通过将自己的威胁情报工作与第三方威胁情报产品和SIM收集的数据相结合,来提高威胁检测能力。
一旦发现有迹象表明存在入侵,就可以进入标准的事件响应流程。寻找攻击者如何通过我们的网络进行操纵的迹象,并开展遏制、消除和恢复处理。
参考文献:
https://mp.weixin.qq.com/s/QkBzi3mamLuJqk9XygPT9A
https://blog.csdn.net/tushanpeipei/article/details/120259530