過去我們所了解的威脅情報就是“威脅資料→siem(安全資訊與事件管理)→安全保障”,而這個過程中隻有少數東西需要分析。rick hollan在2012年的一篇部落格《我的威脅情報可以完虐你的威脅情報》中就曾提醒我們“這是一條錯誤的軌道”,他寫道:
“隻有當你的機構具有自我開發的能力時,才稱得上具有真正的威脅情報。”
現階段,我們可以利用很多已有的威脅情報,并掌握我們如何在内網中更好的利用威脅情報。而這要求我們具備一個對威脅情報的基礎了解,以及他們究竟是如何在安全操作環境起作用的。本文旨在幫助對威脅情報感興趣的人,了解威脅情報和情報分析基礎。
威脅情報水準的安全操作:爬取
在決定将威脅情報整合到安全操作之前,公司最好先建構一個以不同方式有效利用威脅情報的架構。
傳統中的情報水準即戰争中的政策、運作及戰術。産生這樣對應關系的原因如下:它有助于識别各個層次的決策者;它能識别情報的目的,無論是既定政策、計劃中或是檢測、組織一次攻擊活動;它能夠在獲得情報後幫助決策者拟定适當的行動。
在所有情報級别中,關鍵是針對組織進行專門的價值評估。請回答一個問題:“這些資訊要如何添加到我們的安全項目中?這些資訊對我們做決定有什麼幫助?”
戰略情報(strategic intelligence)
戰略情報指的是告知董事會與業務部門的情報。這能幫助他們更好地了解他們所面臨的趨勢,并達成有益發展的政策。戰略情報來自更為長期項目的趨勢分析,常常采用了例如dbir和crs(國會研究服務)的報告形式。戰略情報幫助決策者洞悉哪種威脅對業務及公司未來産生最大影響,以及他們應當采取何種措施緩解這些威脅。
運用戰略情報的關鍵是将這些情報融入公司的優先級、資料以及攻擊表面中。沒有任何商業或年度趨勢報告能夠告訴你什麼是最重要的、某種威脅趨勢可能會影響到你。
戰略情報和所有其他情報一樣,是一個工具,有助于進行未來決策,但無法幫你直接作出決定。
作戰情報(operational intelligence)
作戰情報提供的是針對一個組織特定攻擊的相關情報。它源于軍事行動的概念——即一系列發生于不同時間或地點的計劃、活動,卻具有相同的攻擊目标。是以它能概括出攻擊活動的目标是整個部門,或是黑客針對某個特定機構進行的攻擊。
作戰情報是面向更為進階的安全人員,而與戰略情報不同的是,它需要在短期或者中期内采取必要行動,而非長期。它會在一下情況中發揮作用:
1、 是否增加安全意識教育訓練;
2、 在一次明确的“作戰”過程中,如何配置設定soc員工;
3、遭遇特殊情況時,是否可以臨時拒絕防火牆的請求。
作戰情報資訊共享是一個非常好的選擇。如果你發現一些近期内會影響他人的“東西”,請及時共享出這些資訊。它能夠幫助其他公司決定是否采取必要行動。
隻有當情報擷取者有權變更政策或者采取措施應對威脅時,作戰情報才真正有用。
戰術情報(tactical intelligence)
戰術情報主要是面向活躍監測周圍環境的安全人員,他們收集來自員工報告的異常活動或社會工程嘗試等資訊。戰術情報也可以用于尋找攻擊活動,我們試圖從普通使用者行為中區分出攻擊者。這種情報類型需要更多先進的資源,例如廣泛的日志記錄、使用者行為分析、端點可見性以及訓練有素的分析師。由于一些名額可能在第一次出現時沒有被員工捕獲或警告,是以具備安全意識的員工同樣很重要。通常你擁有的員工數量要比攻擊感應器多……是以,聽從你的員工、訓練他們、收集他們提供的資訊,分析之後就采取行動吧。
戰術情報提供了特定但是易逝的資訊,安全人員仍可采取應對行動。
了解威脅情報在不同層面上的運作,有助于公司進行決策,同時幫助公司決定如何處理未來的情報。從你組織内部搜集的情報永遠是可執行性最強的情報。
廚子、裁縫、士兵、間諜:情報利用分為多種類型
正如前文中詳細提到的,情報出現在不同的操作層,企業可以利用不同類型的情報有效應對面臨的威脅。
不要笑——對于“情報”解釋得最出色的便是“cia兒童區”(美國中央情報局針對六至十二年級少年的官方科普網站)。
他們将情報細分為一下幾種類型:
科學和技術:提供關于對手技術和能力的資訊;
動态:關注日常事件及其影響;
警示:對于緊急事件給予注意,并釋出通知;
估測:關注可能發生的事情;
研究:為某事件提供了一個深入的研究。
雖然大多數機構并不會同時使用所有類型的情報,除非你和cia一樣(但是請别告訴我你做了什麼),那麼了解這些不同類型的情報以及他們提供的内容很有必要。不同類型的情報需要多樣的人員分析和時間差異。例如技術情報很容易實作自動化,是以可以随節奏而産生。然而像威脅趨勢研究,則非常依賴于人的分析。
技術情報
在資訊安全操作中,通過技術情報來探查對手的能力和技術。它包括一些例如ip和c&c;位址及域名、惡意檔案名稱和hash值在内的許多細節,以及一些ttp細節,像是針對某個特殊目标的漏洞或者一個用于指引植入的特定回調模式。
技術情報最常用于“機器對抗機器”的行動中,隻是因為需要機器處理盡可能多的資訊。機器通常并不關心人在意的内容,是以在許多情況下,技術情報并不涵蓋太多内容。防火牆并不用清楚封鎖某個惡意域名的原因,它隻要去照做就行了。而在防火牆另一端的人或許想要知道,是以可能觸發大量警報。企業必須在消費之前進行技術情報分析,否則最多也隻是擷取資料或者資訊,而非情報!想了解更多,可以去閱讀robert lee的文章《資料vs資訊vs情報》。
如果你并不使用自己生成的技術情報,那麼你必須清楚技術情報的來源以及如何将它們運用于分析,特别是自動化分析。此刻,我感到自己獨自在這裡亂言:通過“機器對機器”的自動化方式生成威脅情報……先不要說我錯了,做些分析再說吧!
動态情報
動态情報處理的是每天可能需要立刻做出反應的事件和情況。我曾聽人這麼說,“新聞才不是情報”,這的确是真的;然而,當需要對你的特定機構、網絡或者活動進行分析時,公共領域新聞就成了威脅情報。
舉個動态情報的例子,報道說一個開發工具三天前內建了一個新的漏洞利用工具。通常按照30天更新檔的周期而言,你在27天内可能遭遇攻擊。知曉這一威脅會如何影響你的組織、如何進行檢測并封鎖惡意活動便是一種動态情報。動态情報也可以從組織網站的資訊中擷取。分析一次入侵或者針對高管的釣魚攻擊同樣也能産生動态情報,這點則急需立即執行。
當你的網絡生成動态情報時,要記錄下它們!這可以用于後續的情報趨勢及威脅環境分析研究。同時,還能與其他組織共享這份情報。
威脅趨勢(估測)
在戰術層面(技術情報、動态情報)收集到的所有情報都可以分析進而生成威脅趨勢。威脅趨勢的擷取需要時間,你需要随着時間進行模式分析,觀察事物如何變化或者保持原狀的。威脅趨勢能夠是某種反複影響網絡的特定威脅分析,也可以是對一個組織或惡意軟體家族的分析。與威脅趨勢更直接相關的其實是你的網絡或者組織,這點對你而言更有幫助。
威脅趨勢讓我們避免從一個分析中得出錯誤的預測或未來威脅的誤報。
威脅形勢研究
說起趨勢,威脅分析長期重視時效性,動态情報需要通過長期的戰略研究進行積累。與戰術情報資源相比,社群中我們擁有多少戰略層、技術性ioc(輸入/輸出控制器)。又存在多少新項目專注于提供“實時情報”和“深入分析”。原因當然包括沒有足夠的分析師進行這些工作,而他們通常關注于對時間比較敏感的時間。此外,我們常常沒有足夠正确的資料進行戰略層的分析,同樣是因為我們并不習慣從自己的網絡中搜集資料,而大多數人不願意分享戰略型威脅,隻願意分享那些威脅對他們實際造成影響的資訊。
我們需要改變這樣的局面,因為你不能也不應該在未來安全項目中忽略戰略的重要性,你也不能在沒有了解其背後的邏輯時匆忙制定安全政策。威脅形勢研究是指在環境中進行長期威脅分析——他們的攻擊是什麼、他們如何進行攻擊、你又該如何對這些威脅進行相應——這些都影響着你的政策。你從網絡中收集的戰略層資訊并進行基于網絡日常活動進行的分析都歸屬為威脅形勢研究。你以及公共領域資訊的動态情報都可以服務于威脅形勢研究。brid建立了一個用于捕獲和分析這些資訊的架構叫做veris(事件記錄與共享表單)。記住一點,這類情報分析需要大量時間和精力,但是一切都是值得的。
資訊共享
目前共享ioc及其他技術資訊變得尤為重要,然而在本文中我們所探讨過任一類型的情報都很适合分享,以最佳實踐和流程進行資訊共享會有意想不到的收獲。
在一個組織的網絡中共享資訊不失為了解新威脅的一種好方式,同時還有益于提升态勢感覺能力。資訊共享本質上就是産生具有威脅警示作用的情報。當資訊共享越來越自動化,這也就意味着掌握的資訊更海量。想要了解更多,可以觀看alex pinto最近在威脅情報有效性測量方面的研究。
即使現在你仍對從你自身環境中收集情報的價值存有疑慮,威脅情報的消化仍然需要你去分析、去了解它為何與你有關、你又該采取哪些行動。對于不同類型情報的了解及使用方式可以指導你進行分析和決定。
安全操作中的情報分析
在本系列的前兩個部分中,我們介紹了情報的架構:情報的分級(戰略情報、行動情報、戰術情報)和情報的類型(技術情報、趨勢情報、長期情報等)。不論情報的等級、類型如何,對情報分析的需求是不變的。
分析是情報最為重要的部分,它調用資料然後将其轉化成為我們決策提供依據的情報。
分析:失落的碎片
我們十分擅長情報收集、處理及傳播工作,卻容易遺漏情報周期中大量的重要部分,導緻警報未觸發、錯誤預警過多,誤導使用者。
說起來容易,但是真正開展情報分析工作卻是一件困難的事情,尤其在諸如網絡威脅情報等新興領域尤為如此。模型和方式可以幫助我們了解情報分析的過程,但即便是确定模型的種類也絕非易事。存在很多相似模型,它們在不同場合發揮了不同的作用。
那麼問題來了:什麼是分析?
情報分析的目的是為了減少不确定性、提供威脅預警以及為決策提供支撐的資訊評估和解讀。美國前國務卿鮑威爾對“情報”給出了最精簡的概括,即“讓我知道你掌握的,讓我了解你不知道的,告訴我你在想什麼。對這三者保持清楚的區分”。
借助自己或他人收集的資訊,分析師通過這些已知材料進一步區分出哪部分需要繼續采集,而哪些可以作為參考,然後決定他們運用資訊的方式。
在你展開分析之前,你應當明确情報分析的目标是什麼。理論上需求取決于上司、客戶或者其他類型的使用者,但是在在很多情況中客戶對自己的需求并不非常清楚。是以,了解公司對于威脅情報的需求非常關鍵,第一步就是要搞清楚問題所在或值得探讨的地方。
分析模型
一旦了解情報分析需要解決的問題,就着手從不同分析模型中選擇出最佳模型進行分析。這裡列出了一些比較有用的資源,可以幫你了解那些常見的威脅情報模型。
不同的模型可以為不同的目的服務。swot方法更适合于實施更進階别的分析,通過與對手的比較發現自身存在的優勢和不足。f3ead、diamond model(鑽石模型)、kill chains模型都可以用于分析的具體指令或不同僚件與指令之間的關聯。target centric intelligence是一種比較少為人知的模型,但它不僅能幫助我們了解某一事件,還能加強情報決策者、收集者、分析者等相關部門的協作,進而避免在情報處理的過程中重複、資訊不共享或常見的誤傳等情況。
· swot (strengths, weaknesses,opportunities, threats)
· find, fix, finish, exploit, analyze,disseminate by @sroberts
· target centricintelligence
· diamond modelfor intrusion analysis
· analysis ofadversary campaigns and intrusion kill chains
關于情報收集,還要注意這些
通常情報分析結果取決于初始資訊的品質。通過訓練,情報分析員有能力對資訊來源進行評估,以便掌握該資訊是否因為主觀因素而影響了可靠性。在開展網絡威脅情報分析工作時,我們還是主要依賴于其他管道收集的資料而非第一手資訊。這也是為什麼要在自有網絡中進行資訊分析的重要原因之一。
此外,作為團隊成員要確定資訊的透明,以便其他人進行情報分析。這樣或許暴露了消源或獲得手段,但我們仍然需要在保護信源和情報得到充分利用之間取得平衡。
原文釋出時間為:2016-04-05
本文來自雲栖社群合作夥伴“大資料文摘”,了解相關資訊可以關注“bigdatadigest”微信公衆号