威脅情報(bào)在國(guó)內(nèi)已經(jīng)火了幾年,威脅情報(bào)怎么用,具體的使用場(chǎng)景是什么,這方面的話題似乎較少。下面想根據(jù)個(gè)人所知,談?wù)勥@方面,不完善準(zhǔn)確的地方也請(qǐng)大家指正。
有些時(shí)候情報(bào)和威脅情報(bào)很容易被劃等號(hào),其實(shí)不然。威脅情報(bào)(和攻擊者相關(guān))、漏洞情報(bào)(和脆弱點(diǎn)相關(guān))、資產(chǎn)情報(bào)(內(nèi)部IT業(yè)務(wù)資產(chǎn)和人的信息),都屬于情報(bào)的范疇,但作用和生產(chǎn)維護(hù)方法都不同,需要明確區(qū)分。它們都是安全分析需要的信息,資產(chǎn)和漏洞在多年前就一直被重視,甚至安全建設(shè)就是被認(rèn)為是圍繞著資產(chǎn)和漏洞的?,F(xiàn)實(shí)中攻防對(duì)抗的不斷演進(jìn),讓我們不得不進(jìn)入主動(dòng)安全建設(shè)階段(或者說(shuō)自適應(yīng)安全架構(gòu)ASA),我們需要更多的去關(guān)注威脅,讓威脅情報(bào)去引領(lǐng)安全建設(shè),進(jìn)一步的完善檢測(cè)、分析、預(yù)測(cè)預(yù)防的能力,并由此發(fā)現(xiàn)防御上的不足,給予針對(duì)性的完善。這種動(dòng)態(tài)平衡的安全理念,成為被廣泛接受的安全建設(shè)指導(dǎo)思路。
言歸正傳,下面就具體談?wù)勍{情報(bào)的種類?;谡w應(yīng)用場(chǎng)景,我們可以將情報(bào)分為3類:以自動(dòng)化檢測(cè)分析為主的戰(zhàn)術(shù)情報(bào)、以安全響應(yīng)分析為目的的運(yùn)營(yíng)級(jí)情報(bào),以及指導(dǎo)整體安全投資策略的戰(zhàn)略情報(bào)。
戰(zhàn)術(shù)情報(bào)的作用主要是發(fā)現(xiàn)威脅事件以及對(duì)報(bào)警確認(rèn)或優(yōu)先級(jí)排序。常見(jiàn)的失陷檢測(cè)情報(bào)(CnC 情報(bào))、IP情報(bào)就屬于這個(gè)范疇,它們都是可機(jī)讀的情報(bào),可以直接被設(shè)備使用,自動(dòng)化的完成上述的安全工作。
失陷檢測(cè)情報(bào),即攻擊者控制被害主機(jī)所使用的遠(yuǎn)程命令與控制服務(wù)器情報(bào)。情報(bào)的IOC往往是域名、IP、URL形式(有時(shí)也會(huì)包括SSL證書、HASH等形式),這種IOC可以推送到不同的安全設(shè)備中,如NGFW、IPS、SIEM等,進(jìn)行檢測(cè)發(fā)現(xiàn)甚至實(shí)時(shí)阻截。這類情報(bào)基本上都會(huì)提供危害等級(jí)、攻擊團(tuán)伙、惡意家族等更豐富的上下文信息,來(lái)幫助確定事件優(yōu)先級(jí)并指導(dǎo)后續(xù)安全響應(yīng)活動(dòng)。使用這類情報(bào)是及時(shí)發(fā)現(xiàn)已經(jīng)滲透到組織APT團(tuán)伙、木馬蠕蟲的最簡(jiǎn)單、及時(shí)、有效的方式。
IP情報(bào)是有關(guān)訪問(wèn)互聯(lián)網(wǎng)服務(wù)器的IP主機(jī)相關(guān)屬性的信息集合,許多屬性是可以幫助服務(wù)器防護(hù)場(chǎng)景進(jìn)行攻擊防御或者報(bào)警確認(rèn)、優(yōu)先級(jí)排序工作的。譬如:利用持續(xù)在互聯(lián)網(wǎng)上進(jìn)行掃描的主機(jī)IP信息,可以防止企業(yè)資產(chǎn)信息被黑客掌握(很多時(shí)候黑客對(duì)那些主機(jī)開(kāi)放了SMB端口、那些可能有Struts 2 漏洞比企業(yè)的網(wǎng)管掌握的更清楚);利用在互聯(lián)網(wǎng)進(jìn)行自動(dòng)化攻擊的IP信息可以用來(lái)進(jìn)行Web攻擊的優(yōu)先級(jí)排序;利用IDC主機(jī)或終端用戶主機(jī)IP信息可以用來(lái)進(jìn)行攻擊確認(rèn)、可疑行為檢測(cè)或垃圾郵件攔截;而網(wǎng)關(guān)IP、代理IP等也都各自有不同的作用,相關(guān)場(chǎng)景很多,就不一一列舉了。
運(yùn)營(yíng)級(jí)情報(bào)是給安全分析師或者說(shuō)安全事件響應(yīng)人員使用的,目的是對(duì)已知的重要安全事件做分析(報(bào)警確認(rèn)、攻擊影響范圍、攻擊鏈以及攻擊目的、技戰(zhàn)術(shù)方法等)或者利用已知的攻擊者技戰(zhàn)術(shù)手法主動(dòng)的查找攻擊相關(guān)線索。第一類活動(dòng)屬于事件響應(yīng)活動(dòng)的一部分,第二類活動(dòng)更是有一個(gè)高大上的名字“安全狩獵”。
事件響應(yīng)活動(dòng)中的安全分析需要本地的日志、流量和終端信息,需要企業(yè)有關(guān)的資產(chǎn)情報(bào)信息,也需要運(yùn)營(yíng)級(jí)威脅情報(bào)。這種情況下情報(bào)的具體形式往往是威脅情報(bào)平臺(tái)這樣為分析師使用的應(yīng)用工具。有一個(gè)和攻擊事件相關(guān)的域名或IP,利用這個(gè)平臺(tái)就有可能找到和攻擊者相關(guān)更多攻擊事件及詳情,能夠?qū)裟康?、技?zhàn)術(shù)手法有更多的認(rèn)識(shí);通過(guò)一個(gè)樣本,我們能夠看到更多的相關(guān)樣本,也可以對(duì)樣本的類型、流行程度、樣本在主機(jī)上的行為特征有更多的了解;同樣的利用這個(gè)平臺(tái)可以持續(xù)的跟蹤相關(guān)的攻擊者使用的網(wǎng)絡(luò)基礎(chǔ)設(shè)施變化;發(fā)現(xiàn)相關(guān)資產(chǎn)是否已經(jīng)被攻擊者所利用,等等。
安全狩獵是一個(gè)基于已知技戰(zhàn)術(shù)手法(TTP:技術(shù)、工具、過(guò)程)發(fā)現(xiàn)未知威脅事件,同時(shí)獲得進(jìn)一步黑客技戰(zhàn)術(shù)相關(guān)信息的過(guò)程。安全狩獵的過(guò)程需要特定的內(nèi)部日志、流量或終端數(shù)據(jù)和相應(yīng)分析工具,還需要掌握有較豐富對(duì)手技戰(zhàn)術(shù)手法的安全分析師。這類情報(bào)往往通過(guò)基于安全事件的分析報(bào)告,或者特定的技戰(zhàn)術(shù)手法數(shù)據(jù)庫(kù)得到,國(guó)際上在這方面已經(jīng)有較多的進(jìn)展,包括了各類開(kāi)源或限定范圍的來(lái)源可以提供這樣的信息,而國(guó)內(nèi)相對(duì)較少,并且一些安全事件報(bào)告因?yàn)檫@樣那樣的問(wèn)題,并不能公開(kāi)發(fā)表最寶貴的TTP層面分析內(nèi)容。
戰(zhàn)略層面的威脅情報(bào)是給組織的安全管理者使用的,比如CSO。一個(gè)組織在安全上的投入有多少,應(yīng)該投入到那些方向,往往是需要在最高層達(dá)成一致的。但面臨一個(gè)問(wèn)題,如何讓對(duì)具體攻防技術(shù)并不清楚的業(yè)務(wù)管理者得到足夠的信息,來(lái)確定相關(guān)的安全投資等策略?這時(shí)候如果CSO手中有戰(zhàn)略層面的情報(bào),就會(huì)成為有力的武器。它包括了什么樣的組織會(huì)進(jìn)行攻擊,攻擊可能造成的危害有哪些,攻擊者的戰(zhàn)術(shù)能力和掌控的資源情況等,當(dāng)然也會(huì)包括具體的攻擊實(shí)例。有了這樣的信息,安全投入上的決策就不再是盲目的、而是更符合組織的業(yè)務(wù)狀況及面臨的真實(shí)威脅。
威脅情報(bào)大體就這三種類型,分別用來(lái)支撐安全運(yùn)維人員、安全分析師和安全管理者。但在一篇短文中是不可能覆蓋這些類型的所有使用場(chǎng)景的,并且這也是個(gè)創(chuàng)新領(lǐng)域,會(huì)不斷的涌現(xiàn)出更多的應(yīng)用場(chǎng)景和方式,希望能聽(tīng)到更多的聲音,告訴大家遇到的、想到的。