威脅情報——認(rèn)識情報
其實威脅情報這個概念早些年就已經(jīng)產(chǎn)生了,但近年來,隨著安全領(lǐng)域的重視和快速發(fā)展,“威脅情報”一詞迅速出現(xiàn)在這個領(lǐng)域,如今,許多安全企業(yè)都在提供威脅情報服務(wù),眾多企業(yè)的安全應(yīng)急響應(yīng)中心也開始接收威脅情報,并且越來越重視。
在這里,之所以說是結(jié)合個人理解與看法給情報一個概念而不是定義,是因為目前我們對威脅情報沒有一致定義,許多企業(yè)與機構(gòu)對情報概念進行過表述,但目前我們常用的定義是2014年Gartner在《安全威脅情報服務(wù)市場指南》(Market Guide for Security Threat Intelligence Service)中提出,即:
威脅情報是一種基于證據(jù)的知識,包括了情境、機制、指標(biāo)、影響和操作建議。威脅情報描述了現(xiàn)存的、或者是即將出現(xiàn)針對資產(chǎn)的威脅或危險,并可以用于通知主體針對相關(guān)威脅或危險采取某種響應(yīng)。
我們同時也可以參考2015年Jon Friedman和Mark Bouchard在《網(wǎng)絡(luò)威脅情報權(quán)威指南》(Definitive Guide to Cyber Threat Intelligence)中所下的定義:
對敵方的情報,及其動機、企圖和方法進行收集、分析和傳播,幫助各個層面的安全和業(yè)務(wù)成員保護企業(yè)關(guān)鍵資產(chǎn)。
在我認(rèn)為,威脅情報就是對企業(yè)產(chǎn)生潛在與非潛在危害的信息的集合。這些信息通常會幫助企業(yè)判斷當(dāng)前發(fā)展現(xiàn)狀與趨勢,并可得出所面對的機遇和威脅,再提供相應(yīng)的決策服務(wù)。簡而言之,對企業(yè)產(chǎn)生危害或者利益損失的信息,就可以稱之為威脅情報。
威脅是什么?威脅可能潛在地?fù)p害一個公司的運轉(zhuǎn)和持續(xù)發(fā)展。
威脅有三個核心要素構(gòu)成:
意向:一種渴望達到的目的
能力:用來支持意向的資源
機會:適時地技術(shù)、手段和工具
通常來講,公司無法辨別威脅。企業(yè)經(jīng)?;ㄙM太多錢在攻擊發(fā)生之后對漏洞的修補和調(diào)查問題上,而不打算在攻擊出現(xiàn)之前就修復(fù)它。
威脅情報是一種基于數(shù)據(jù)的,對組織即將面臨的攻擊進行預(yù)測的行動。預(yù)測(基于數(shù)據(jù))將要來臨的的攻擊。威脅情報利用公開的可用資源,預(yù)測潛在的威脅,可以幫助你在防御方面做出更好的決策,威脅情報的利用可以得到以下好處:
采取積極地措施,而不是只能采取被動地措施,可以建立計劃來打擊當(dāng)前和未來的威脅;
形成并組織一個安全預(yù)警機制,在攻擊到達前就已經(jīng)知曉;
情報幫助提供更完善的安全事件響應(yīng)方案;
使用網(wǎng)絡(luò)情報源來得到安全技術(shù)的最新進展,以阻止新出現(xiàn)的威脅;
對相關(guān)的危險進行調(diào)查,擁有更好的風(fēng)險投資和收益分析;
尋找惡意IP地址、域名/網(wǎng)站、惡意軟件hash值、受害領(lǐng)域。
以往的企業(yè)防御和應(yīng)對機制根據(jù)經(jīng)驗構(gòu)建防御策略、部署產(chǎn)品,無法應(yīng)對還未發(fā)生以及未產(chǎn)生的攻擊行為。但是經(jīng)驗無法完整的表達現(xiàn)在和未來的安全狀況,而且攻擊手法和工具變化多樣,防御永遠(yuǎn)是在攻擊發(fā)生之后才產(chǎn)生的,而這個時候就需要調(diào)整防御策略來提前預(yù)知攻擊的發(fā)生,所以就有了威脅情報。通過對威脅情報的收集、處理可以實現(xiàn)較為精準(zhǔn)的動態(tài)防御,在攻擊未發(fā)生之前就已經(jīng)做好了防御策略。
2018年10月10日,我國正式發(fā)布威脅情報的國家標(biāo)準(zhǔn)——《信息安全技術(shù)網(wǎng)絡(luò)安全威脅信息格式規(guī)范Information security technology — Cyber security threat information format》(GB/T 36643-2018) ,成為國內(nèi)第一個有關(guān)于威脅情報的標(biāo)準(zhǔn)。
然而國外的威脅信息共享標(biāo)準(zhǔn)已經(jīng)有成熟且廣泛的應(yīng)用。其中,美國聯(lián)邦系統(tǒng)安全控制建議(NIST 800-53)、美國聯(lián)邦網(wǎng)絡(luò)威脅信息共享指南(NIST 800-150)、STIX 結(jié)構(gòu)化威脅表達式、CyboX 網(wǎng)絡(luò)可觀察表達式以及指標(biāo)信息的可信自動化交換 TAXII 等都為國際間威脅情報的交流和分享題攻克可靠參考。而 STIX 和 TAXII 作為兩大標(biāo)準(zhǔn),不僅得到了包括 IBM、思科、戴爾、大型金融機構(gòu)以及美國國防部、國家安全局等主要安全行業(yè)機構(gòu)的支持,還積累了大量實踐經(jīng)驗,在實踐中不斷優(yōu)化。在這里先對幾種常見的標(biāo)準(zhǔn)與規(guī)范進行簡單介紹,后面的文章我會針對這幾種規(guī)范進行詳細(xì)介紹。
結(jié)構(gòu)化威脅信息表達式(Structured Threat Information eXpression,STIX)提供了基于標(biāo)準(zhǔn)XML的語法描述威脅情報的細(xì)節(jié)和威脅內(nèi)容的方法。它支持使用CybOX格式去描述大部分其語法本身就能描述的內(nèi)容,當(dāng)然,它還支持其他格式。標(biāo)準(zhǔn)化將使安全研究人員交換威脅情報的效率和準(zhǔn)確率大大提升,大大減少溝通中的誤解,還能自動化處理某些威脅情報。實踐證明,STIX規(guī)范可以描述威脅情報中多方面的特征,包括威脅因素,威脅活動,安全事故等。它極大程度利用DHS規(guī)范來指定各個STIX實體中包含的數(shù)據(jù)項的格式。
指標(biāo)信息的可信自動化交換(Trusted Automated eXchange of Indicator Information,TAXII)提供安全的傳輸和威脅情報信息的交換。TAXII不只能傳輸TAXII格式的數(shù)據(jù),實際上它還支持多種格式傳輸數(shù)據(jù)。當(dāng)前的通常做法是用其來傳輸數(shù)據(jù),用STIX來作情報描述。TAXII在標(biāo)準(zhǔn)化服務(wù)和信息交換的條款中定義了交換協(xié)議,可以支持多種共享模型,包括hub-and-spoke,peer-to-peer,subscription。它在提供了安全傳輸?shù)耐瑫r,還無需考慮拓樸結(jié)構(gòu)、信任問題、授權(quán)管理等策略,留給更高級別的協(xié)議和約定去考慮。
網(wǎng)絡(luò)可觀察表達式(Cyber Observable eXpression,CybOX)規(guī)范定義了一個表征計算機可觀察對象與網(wǎng)絡(luò)動態(tài)和實體的方法??捎^察對象包括文件,HTTP會話,X509證書,系統(tǒng)配置項等。這個規(guī)范提供了一套標(biāo)準(zhǔn)且支持?jǐn)U展的語法,用來描述所有我們可以從計算系統(tǒng)和操作上觀察到的內(nèi)容。在某些情況下,可觀察的對象可以作為判斷威脅的指標(biāo),比如Windows的RegistryKey。這種可觀察對象由于具有某個特定值,往往作為判斷威脅存在與否的指標(biāo)。
標(biāo)準(zhǔn)從可觀測數(shù)據(jù)、攻擊指標(biāo)、安全事件、攻擊活動、威脅主體、攻擊目標(biāo)、攻擊方法、應(yīng)對措施等八個組件進行描述,并將這些組件劃分為對象、方法和事件三個域,最終構(gòu)建出一個完整的網(wǎng)絡(luò)安全威脅信息表達模型。其中:
威脅主體和攻擊目標(biāo)構(gòu)成攻擊者與受害者的關(guān)系,歸為對象域;
攻擊活動、安全事件、攻擊指標(biāo)和可觀測數(shù)據(jù)則構(gòu)成了完整的攻擊事件流程,歸為事件域;即有特定的經(jīng)濟或政治目的、對信息系統(tǒng)進行滲透入侵,實現(xiàn)攻擊活動、造成安全事件;而防御方則使用網(wǎng)絡(luò)中可以觀測或測量到的數(shù)據(jù)或事件作為攻擊指標(biāo),識別出特定攻擊方法;
在攻擊事件中,攻擊方所使用的方法、技術(shù)和過程(TTP)構(gòu)成攻擊方法,而防御方所采取的防護、檢測、響應(yīng)、回復(fù)等行動構(gòu)成了應(yīng)對措施;二者一起歸為方法域。
如今,我們談?wù)摳嗟氖?/span>STIX,TAXII,CybOX這三個標(biāo)準(zhǔn),其余的還有CPE、CCE、CCSS、CWE、CAPEC、MAEC、OVAL等等規(guī)范。所有這些標(biāo)準(zhǔn)規(guī)范的目標(biāo)都是覆蓋更全面的安全通信領(lǐng)域,并使之成為一種標(biāo)準(zhǔn)化的東西。到目前為止沒有一個相關(guān)標(biāo)準(zhǔn)在國際上通用,但是其標(biāo)準(zhǔn)的制定推動威脅情報的發(fā)展,也希望我國發(fā)布的標(biāo)準(zhǔn)能盡快成為國內(nèi)通用的規(guī)范。
在這里,引用綠盟科技博客中各個安全情報廠商的情報平臺白皮書的關(guān)鍵詞??梢钥吹饺缦氯壌笤~,其中信息為出現(xiàn)最多的大詞。
一級大詞:信息
二級大詞:情報、關(guān)聯(lián)、域名、IP和文件
三級大詞:查詢、惡意和威脅
對于威脅情報的分類,無論是國內(nèi)國外,業(yè)界也有眾多定義,最為廣泛傳播是Gartner定義的,按照使用場景進行分類:以自動化檢測分析為主的戰(zhàn)術(shù)級情報、以安全響應(yīng)分析為目的的運營級情報,以及指導(dǎo)整體安全投資策略的戰(zhàn)略級情報。關(guān)于分類,在這里簡單介紹企業(yè)間通用的幾個大類,后面會有文章單獨介紹從白帽子的角度,威脅情報可以有哪些類型。
運營級情報是給安全分析師或者說安全事件響應(yīng)人員使用的,目的是對已知的重要安全事件做分析(報警確認(rèn)、攻擊影響范圍、攻擊鏈以及攻擊目的、技戰(zhàn)術(shù)方法等)或者利用已知的攻擊者技戰(zhàn)術(shù)手法主動的查找攻擊相關(guān)線索。在運營級情報中,有最為常用的四種情報分類:基礎(chǔ)情報、威脅對象情報、IOC情報和事件情報。
簡而言之,基礎(chǔ)情報就是這個網(wǎng)絡(luò)對象(IP/Domain/email/SSL/文件)是什么,誰在使用它。具體到基礎(chǔ)數(shù)據(jù)則包含開放端口/服務(wù)、WHOIS/ASN、HASH、地理位置信息等。
威脅對象情報,相對于比較容易理解。此類情報指的是提供和威脅相關(guān)的對象信息,比如說IP地址、域名等等,簡單地說,就是提供犯罪分子的犯罪證據(jù)和記錄。
Indicator of compromise,意為威脅指示器,通常指的是在檢測或取證中,具有高置信度的威脅對象或特征信息。
事件情報則是綜合各種信息,結(jié)合相關(guān)描述,告訴運營者外部威脅概況和安全事件詳情,進而讓安全運營者對當(dāng)前安全事件進行針對性防護。
戰(zhàn)術(shù)情報的作用主要是發(fā)現(xiàn)威脅事件以及對報警確認(rèn)或優(yōu)先級排序。常見的失陷檢測情報(CnC情報,即攻擊者控制被害主機所使用的遠(yuǎn)程命令與控制服務(wù)器情報)、IP情報就屬于這個范疇,它們都是可機讀的情報,可以直接被設(shè)備使用,自動化的完成上述的安全工作。
戰(zhàn)略層面的威脅情報是給組織的安全管理者使用的,比如CSO。它能夠幫助決策者把握當(dāng)前的安全態(tài)勢,在安全決策上更加有理有據(jù)。包括了什么樣的組織會進行攻擊,攻擊可能造成的危害有哪些,攻擊者的戰(zhàn)術(shù)能力和掌控的資源情況等,當(dāng)然也會包括具體的攻擊實例。
情報不是越多越好,適合的情報才是實用的。
威脅數(shù)據(jù)和威脅信息有很多,準(zhǔn)確無誤的才能稱作為威脅情報。數(shù)據(jù)是對客觀事物的數(shù)量、屬性、位置及其相互關(guān)系的抽象表示。信息是具有時效性的、有一定含義的、有邏輯的,有價值的數(shù)據(jù)集合。情報是運用相關(guān)知識對大量信息進行分析后產(chǎn)出的分析結(jié)果,可以用于判斷發(fā)展現(xiàn)狀與趨勢,并可進一步得出機遇和威脅,提供決策服務(wù)。
威脅情報的作用是為安全團隊提供相關(guān)信息并指導(dǎo)決策,如果情報不準(zhǔn)確,不但沒有產(chǎn)生價值,反而會對組織的安全決策會造成負(fù)面影響。
舉例:前段時間華住酒店集團數(shù)據(jù)泄露并且售賣一事,紫豹科技第一時間發(fā)現(xiàn)了該動向,隨后警方介入調(diào)查,并成功在數(shù)據(jù)未成功售出之前抓捕嫌疑人。這里面,情報來源準(zhǔn)確,才能促使威脅活動迅速結(jié)束蔓延。
威脅情報種類雜,應(yīng)用場景復(fù)雜,不同的情報可能位于攻擊鏈的不同階段,不同的場景側(cè)重的是不同的攻擊者,不是所有的信息都是適用的,相關(guān)性較弱的情報會導(dǎo)致分析人員的繁重任務(wù),并且會導(dǎo)致其他有效情報的時效性失效。
比如說,根據(jù)情報消息顯示,有黑客要對醫(yī)藥企業(yè)進行大面積攻擊,以獲取藥品研發(fā)數(shù)據(jù)來謀取利益。金融企業(yè)聽聞有黑客要大面積入侵并不知曉只是針對醫(yī)藥企業(yè)之后,立馬投入大量人力物力去研究分析情報,后來發(fā)現(xiàn)與自己毫無聯(lián)系。
在獲取情報之后,首先要了解針對行業(yè)或者業(yè)務(wù)范圍,盲目的去做不必要的事情,導(dǎo)致的是大量的損失,且耽擱了其余相關(guān)情報的分析。
威脅情報是信息的集合,凡是信息,都具有時效性。往往情報的有效時間會很短,攻擊者會為了隱藏自己的蹤跡不斷的更換一些特征信息,比如說IP地址、手法等等。
比如,某企業(yè)服務(wù)器一直被大量的cc攻擊,調(diào)取服務(wù)器日志,并且成功溯源到IP之后,企業(yè)發(fā)現(xiàn)無損失并未做處理。等企業(yè)發(fā)現(xiàn)有機密信息被竊取后再去處理,發(fā)現(xiàn)追蹤到的IP已經(jīng)無效,這就錯過了情報的最佳時期。
多:威脅情報數(shù)據(jù)來源多,范圍廣。每天產(chǎn)生的情報數(shù)據(jù)可能就足夠讓分析人員疲憊不堪。所以找到有效的需要一個快速的處理過程。
雜:威脅情報種類繁瑣雜亂,應(yīng)用場景復(fù)雜,不同的情報可能位于攻擊過程的不同階段,不同的場景側(cè)重的也可能是不同的攻擊者。
快:互聯(lián)網(wǎng)時代,信息產(chǎn)生速度快,相對于威脅情報更新快,如果沒有合適的自動處理模型,會導(dǎo)致前兩個問題,這就需要企業(yè)擁有快速處理情報的能力。
分析威脅時,我們可以從這樣的角度去分析:
發(fā)生哪種攻擊行為并且最壞的結(jié)果是什么?
如何預(yù)知和檢測攻擊行為?
如何識別與區(qū)分這些攻擊行為?
如何防御這些攻擊行為?
誰組織了攻擊行為?
想達到什么樣的目的?
用TTP三要素來衡量,能力是什么?
他們最可能針對什么進行攻擊?
過去他們的攻擊行為有哪些?
通過分析,可以更明確威脅活動的發(fā)生與經(jīng)過,并及時進行調(diào)整防御策略,進行事件響應(yīng)。
威脅情報標(biāo)準(zhǔn)的制定帶來了重大意義。有了通用模型做參考,業(yè)內(nèi)對網(wǎng)絡(luò)安全威脅信息的描述就可以達到一致,進而提升威脅信息共享的效率和整體的網(wǎng)絡(luò)威脅態(tài)勢感知能力。
威脅情報為安全團隊提供了及時識別和應(yīng)對攻擊的能力,提供了快速提高運營效率的手段。情報是可供決策的信息,實用化的威脅情報為安全決策提供了有價值的信息,獲得實用化情報固然重要,但一個高水平的安全團隊對于利用好這些情報,作出正確的決策是更重要的。威脅情報的出現(xiàn),讓企業(yè)擁有了快速應(yīng)對和響應(yīng)安全事件的能力。情報即為信息,信息不一定是情報。把握好情報的利用,會對企業(yè)的業(yè)務(wù)與行業(yè)安全產(chǎn)生極大的推進作用。
威脅情報的出現(xiàn)和利用,使得防御者能比攻擊者更快地找到反擊措施,并且使攻擊者的入侵成本將會急劇上升。總而言之,威脅情報的價值很多,但相關(guān)性才是最有價值的。