《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 網(wǎng)絡(luò)安全攻防:威脅情報(bào)

網(wǎng)絡(luò)安全攻防:威脅情報(bào)

2021-06-02
來(lái)源:計(jì)算機(jī)與網(wǎng)絡(luò)安全
關(guān)鍵詞: 網(wǎng)絡(luò)空間安全

  微信圖片_20210602124307.jpg

01 什么是威脅情報(bào)

  網(wǎng)絡(luò)空間的安全對(duì)抗日趨激烈,,傳統(tǒng)的安全技術(shù)不能全面滿(mǎn)足安全防護(hù)的需要,。當(dāng)前,,安全業(yè)界普遍認(rèn)同的一個(gè)理念是:僅僅防御是不夠的,,更需要持續(xù)地檢測(cè)與響應(yīng)。然而要做到持續(xù)有效的檢測(cè)與快速的響應(yīng),安全漏洞,、安全情報(bào)必不可少。

  2013年,,Gartner 首次提出關(guān)于威脅情報(bào)的定義:威脅情報(bào)是關(guān)于現(xiàn)有或即將出現(xiàn)的針對(duì)資產(chǎn)有威脅的知識(shí),,包括場(chǎng)景、機(jī)制,、指標(biāo),、啟示和可操作建議等,且這些知識(shí)可為主體提供威脅的應(yīng)對(duì)策略,。簡(jiǎn)單來(lái)講,,威脅情報(bào)就是通過(guò)各種來(lái)源獲取環(huán)境所面臨的威脅的相關(guān)知識(shí),主要描述現(xiàn)存的,、即將出現(xiàn)的針對(duì)資產(chǎn)的威脅或危險(xiǎn),。Forrester 認(rèn)為威脅情報(bào)是針對(duì)內(nèi)部和外部威脅源的動(dòng)機(jī),、意圖和能力的詳細(xì)敘述,可以幫助企業(yè)和組織快速了解到敵對(duì)方對(duì)自己的威脅信息,,從而幫助提前威脅防范,、攻擊檢測(cè)與響應(yīng)、事后攻擊溯源等能力,。

  威脅情報(bào)顛覆了傳統(tǒng)的安全防御思路,,它以威脅情報(bào)為核心,通過(guò)多維度,、全方位的情報(bào)感知,,安全合作、協(xié)同處理的情報(bào)共享,,以及情報(bào)信息的深度挖掘與分析,,幫助信息系統(tǒng)安全管理人員及時(shí)了解系統(tǒng)的安全態(tài)勢(shì),并對(duì)威脅動(dòng)向做出合理的預(yù)判,,從而將傳統(tǒng)的“被動(dòng)防御”轉(zhuǎn)變?yōu)榉e極的“主動(dòng)防御”,,提高信息系統(tǒng)的安全應(yīng)急響應(yīng)能力。如果說(shuō)了解漏洞信息是“知己”,,那么掌握安全威脅則是“知彼”,。

  02 威脅情報(bào)的用途

  1. 安全模式突破和完善

  基于威脅情報(bào)的防御思路是以威脅為中心的,因此,,需要對(duì)關(guān)鍵設(shè)施面臨的威脅做全面的了解,,建立一種新型高效的安全防御體系。這樣的安全防御體系往往需要安全人員對(duì)攻擊戰(zhàn)術(shù),、方法和行為模式等有深入的理解,,全面了解潛在的安全風(fēng)險(xiǎn),并做到有的放矢,。

  2. 應(yīng)急檢測(cè)和主動(dòng)防御

  基于威脅情報(bào)數(shù)據(jù),,可以不斷創(chuàng)建惡意代碼或行為特征的簽名,或者生成NFT(網(wǎng)絡(luò)取證工具),、SIEM/SOC(安全信息與事件管理/安全管理中心),、ETDR(終端威脅檢測(cè)及響應(yīng))等產(chǎn)品的規(guī)則,實(shí)現(xiàn)對(duì)攻擊的應(yīng)急檢測(cè),。如果威脅情報(bào)是 IP,、域名、URL等具體上網(wǎng)屬性信息,,則還可應(yīng)用于各類(lèi)在線安全設(shè)備對(duì)既有攻擊進(jìn)行實(shí)時(shí)的阻截與防御,。

  3. 安全分析和事件響應(yīng)

  安全威脅情報(bào)可以讓安全分析和事件響應(yīng)工作處理變得更簡(jiǎn)單、更高效。例如,,可依賴(lài)威脅情報(bào)區(qū)分不同類(lèi)型的攻擊,,識(shí)別出潛在的APT高危級(jí)別攻擊,從而實(shí)現(xiàn)對(duì)攻擊的及時(shí)響應(yīng),;可利用威脅情報(bào)預(yù)測(cè)既有的攻擊線索可能造成的惡意行為,,從而實(shí)現(xiàn)對(duì)攻擊范圍的快速劃定;可建立威脅情報(bào)的檢索,,從而實(shí)現(xiàn)對(duì)安全線索的精準(zhǔn)挖掘,。

  03 威脅情報(bào)的發(fā)展

  以威脅情報(bào)為中心的信息安全保障框架對(duì)于生活和生產(chǎn)關(guān)鍵基礎(chǔ)設(shè)施的穩(wěn)定運(yùn)行、軍事作戰(zhàn)指揮能力保障及國(guó)際社會(huì)的和平穩(wěn)定具有重大意義,,它受到了來(lái)自各國(guó)政府,、學(xué)術(shù)界以及全球大型互聯(lián)網(wǎng)企業(yè)的高度重視。近幾年,,威脅情報(bào)行業(yè)增長(zhǎng)迅速,,如 CrowdStrike、Flashpoint,、iSight Partners等威脅情報(bào)廠商通過(guò)建立的威脅情報(bào)中心可從網(wǎng)絡(luò)犯罪,、信譽(yù)庫(kù)、漏洞,、惡意軟件等多個(gè)角度滿(mǎn)足不同用戶(hù)的特定需求,。

  隨著網(wǎng)絡(luò)安全態(tài)勢(shì)日趨復(fù)雜化,威脅情報(bào)的研究越顯重要,。參與威脅情報(bào)感知,、共享和分析的各方結(jié)合自身業(yè)務(wù)流程與安全需求,針對(duì)核心資產(chǎn)增強(qiáng)威脅情報(bào)感知能力,,積極融合云計(jì)算,、大數(shù)據(jù)等前沿技術(shù),建立威脅情報(bào)深度分析系統(tǒng),,在深度挖掘與關(guān)聯(lián)融合的基礎(chǔ)上做好安全態(tài)勢(shì)評(píng)估及風(fēng)險(xiǎn)預(yù)警,,動(dòng)態(tài)調(diào)整安全策略,部署快速可行的安全響應(yīng)戰(zhàn)術(shù),,確保關(guān)鍵資產(chǎn)的信息安全,。

  威脅情報(bào)要發(fā)揮價(jià)值,一個(gè)關(guān)鍵問(wèn)題在于實(shí)現(xiàn)情報(bào)信息的共享,。只有建立起一套威脅情報(bào)共享的機(jī)制,讓有價(jià)值的威脅情報(bào)有效流通,,才能真正建立起威脅情報(bào)的生態(tài)系統(tǒng),。當(dāng)然,威脅情報(bào)的生態(tài)系統(tǒng)包括兩個(gè)方面,即威脅情報(bào)的生產(chǎn)和威脅情報(bào)的消費(fèi),。威脅情報(bào)的生產(chǎn)就是通過(guò)對(duì)原始數(shù)據(jù)的采集,、交換、分析,、追蹤等,,產(chǎn)生和共享有價(jià)值的威脅情報(bào)信息的過(guò)程;威脅情報(bào)的消費(fèi)則是指將監(jiān)測(cè)到的安全數(shù)據(jù)與威脅情報(bào)進(jìn)行比對(duì),、驗(yàn)證,、關(guān)聯(lián),并利用威脅情報(bào)進(jìn)行分析的過(guò)程,。

  因此,,一個(gè)先進(jìn)的防御系統(tǒng)應(yīng)本著“和平利用、利益均衡”的原則開(kāi)展安全協(xié)同共享,,努力構(gòu)筑和諧,、健康、成熟的威脅情報(bào)生態(tài)圈,,而威脅情報(bào)的生產(chǎn)和消費(fèi)過(guò)程則可更有利構(gòu)筑一個(gè)安全情報(bào)生態(tài)系統(tǒng)的閉環(huán),。

  04 威脅情報(bào)的數(shù)據(jù)采集

  威脅情報(bào)是從多種渠道獲得用以保護(hù)系統(tǒng)核心資產(chǎn)的安全線索的總和,在大數(shù)據(jù)和“互聯(lián)網(wǎng)+”應(yīng)用背景下,,威脅情報(bào)的采集范疇極大擴(kuò)展,,其獲取來(lái)源、媒體形態(tài),、內(nèi)容類(lèi)型也得到了極大的豐富,,如防火墻、IDS,、IPS等傳統(tǒng)安全設(shè)備產(chǎn)生的與非法接入,、未授權(quán)訪問(wèn)、身份認(rèn)證,、非常規(guī)操作等事件相關(guān)的安全日志等都是威脅情報(bào)的數(shù)據(jù)來(lái)源,,還包括沙盒執(zhí)行、端點(diǎn)偵測(cè),、深度分組檢測(cè)(DPI),、深度流量檢測(cè)(DFI)、惡意代碼檢測(cè),、蜜罐技術(shù)等系統(tǒng)輸出結(jié)果,,及安全服務(wù)廠商(如FireEye)、漏洞發(fā)布平臺(tái)(如 CVE),、威脅情報(bào)專(zhuān)業(yè)機(jī)構(gòu)(如CERT)等提供的安全預(yù)警信息,。

  05 威脅情報(bào)的分析方法

  威脅情報(bào)本來(lái)只是一種客觀存在的數(shù)據(jù)形態(tài),,只有通過(guò)先進(jìn)的智能分析才能被安全防御者感知和利用。關(guān)聯(lián)融合,、時(shí)間序列,、流數(shù)據(jù)技術(shù)等可應(yīng)用于從海量的網(wǎng)絡(luò)信息中提取威脅特征,有助于威脅情報(bào)的橫向和縱向關(guān)聯(lián)分析,;聚類(lèi)分析,、協(xié)同推薦、跨界數(shù)據(jù)融合等技術(shù)可用于深度挖掘多維線索之間隱藏的內(nèi)在聯(lián)系,,進(jìn)而實(shí)現(xiàn)對(duì)系統(tǒng)的整體威脅態(tài)勢(shì)進(jìn)行行為建模與精準(zhǔn)描述,。大數(shù)據(jù)分析、深度學(xué)習(xí),、人工智能 2.0 等新技術(shù)則可用于協(xié)助構(gòu)建威脅情報(bào)的智能研判與綜合預(yù)警平臺(tái),。

  06 威脅情報(bào)的服務(wù)平臺(tái)

  1. IBM-X-Force

  X-Force Exchange能夠?yàn)槿蛱峁?duì)IBM及第三方威脅數(shù)據(jù)資源的訪問(wèn),包括實(shí)時(shí)的攻擊數(shù)據(jù),。它整合了IBM的威脅研究數(shù)據(jù)和技術(shù),,包括Qradar安全情報(bào)平臺(tái)、IBM客戶(hù)安全管理服務(wù)分析平臺(tái),。IBM聲稱(chēng)該平臺(tái)集聚了超過(guò)700 TB的原始數(shù)據(jù),,并在不斷更新。X-Force Exchange的用戶(hù)可以共享利用多種數(shù)據(jù)資源,,包括:世界上最大的漏洞目錄之一,、基于每天150億起安全事件監(jiān)控的威脅情報(bào)、來(lái)自2700萬(wàn)終端網(wǎng)絡(luò)的惡意威脅情報(bào),、基于250億網(wǎng)頁(yè)和圖片的威脅信息,、超過(guò) 800萬(wàn)封垃圾郵件和釣魚(yú)攻擊的深度情報(bào)、接近 100萬(wàn)惡意 IP地址的信譽(yù)數(shù)據(jù)等,。

  X-Force 平臺(tái)還包括幫助整理和注釋內(nèi)容的工具,,以及在平臺(tái)、設(shè)備和應(yīng)用程序之間方便查詢(xún)的API庫(kù),,允許企業(yè)處理威脅情報(bào)并采取行動(dòng),。IBM表示,該平臺(tái)還將提供對(duì)STIX和TAXII的支持,,以及自動(dòng)化威脅情報(bào)共享和安全方案整合新標(biāo)準(zhǔn)的支持,。

  2. 360威脅情報(bào)中心

  360威脅情報(bào)基礎(chǔ)信息查詢(xún)平臺(tái)向業(yè)界開(kāi)放免費(fèi)查詢(xún)服務(wù),這是國(guó)內(nèi)首個(gè)向公眾開(kāi)放的威脅情報(bào)數(shù)據(jù)查詢(xún)服務(wù)平臺(tái),。360威脅情報(bào)基礎(chǔ)信息查詢(xún)平臺(tái)的上線標(biāo)志著國(guó)內(nèi)安全威脅情報(bào)共享進(jìn)入新階段,,所有安全廠商、政企用戶(hù)的安全研究與分析人員在經(jīng)過(guò)線上注冊(cè)審核后,,都可以免費(fèi)進(jìn)行查詢(xún),。

  360威脅情報(bào)中心具有關(guān)聯(lián)分析和海量數(shù)據(jù)兩大特色,。互聯(lián)網(wǎng)安全的數(shù)據(jù)是多種多樣且相互關(guān)聯(lián)的,,但依靠孤立的數(shù)據(jù)無(wú)法進(jìn)行未知威脅的分析和定性,只有將信息關(guān)聯(lián)起來(lái)才能看清整體的威脅態(tài)勢(shì),。平臺(tái)可以將用戶(hù)所提交的查詢(xún)信息關(guān)聯(lián)起來(lái),,協(xié)助用戶(hù)進(jìn)行線索拓展,對(duì)安全分析工作提供有力幫助,。360 公司基于多年的互聯(lián)網(wǎng)安全大數(shù)據(jù)積累,,擁有全球獨(dú)有的安全樣本庫(kù),總樣本量超過(guò)95億,,包括互聯(lián)網(wǎng)域名信息庫(kù)(50億條DNS解析記錄),,還包括眾多第三方海量數(shù)據(jù)源?;谇閳?bào)中心大數(shù)據(jù),,可有效幫助用戶(hù)進(jìn)行多維關(guān)聯(lián)分析,挖掘出在企業(yè)自身或組織內(nèi)部分析中無(wú)法發(fā)現(xiàn)的更多安全隱患線索,。

  3. 阿里云盾態(tài)勢(shì)感知

  阿里云盾態(tài)勢(shì)感知是全球唯一能感知“滲透測(cè)試”的安全威脅服務(wù)平臺(tái),,如可以區(qū)分腳本小子和高級(jí)黑客、識(shí)別零日應(yīng)用攻擊,、捕捉高隱蔽性的入侵行為,、溯源追蹤黑客身份等。云盾平臺(tái)利用大數(shù)據(jù),,可對(duì)高級(jí)攻擊者使用的零日漏洞攻擊進(jìn)行動(dòng)態(tài)防御,,如可以采用新型病毒查殺,并通過(guò)爬取互聯(lián)網(wǎng)泄露的員工信息,,實(shí)時(shí)告警,、杜絕黑客“社工”;能夠?qū)Ω鞣N潛在威脅及時(shí)識(shí)別和匯總分析,;能夠?qū)崿F(xiàn)基于行為特征的Webshell檢測(cè),、基于沙箱的惡意病毒精確查殺等。

  07 威脅情報(bào)的開(kāi)源項(xiàng)目

  1. 安全威脅情報(bào)共享框架OpenIOC

  MANDIANT 公司基于多年的數(shù)字取證技術(shù)積累,,將使用多年的情報(bào)規(guī)范開(kāi)源后形成OpenIOC(Open Indicator of Compromise)框架,,它是一個(gè)開(kāi)放靈活的安全情報(bào)共享框架。利用OpenIOC,,重要的安全情報(bào)可以在多個(gè)組織間迅速傳遞,,極大縮短檢測(cè)到響應(yīng)的時(shí)間延遲,提升緊急安全事件響應(yīng)與安全防范的能力,。OpenIOC本身是一個(gè)記錄,、定義以及共享安全情報(bào)的格式,,以機(jī)器可讀的形式實(shí)現(xiàn)不同類(lèi)型威脅情報(bào)的快速共享。OpenIOC本身是開(kāi)放,、靈活的框架,,因此可以方便添加新的情報(bào),完善威脅情報(bào)指標(biāo)IOC,。

  OpenIOC的工作流程如下,。

  (1)獲取初始證據(jù):根據(jù)主機(jī)或網(wǎng)絡(luò)的異常行為獲取最初的數(shù)據(jù),。

 ?。?)建立IOC:分析初步獲得的數(shù)據(jù),根據(jù)可能的技術(shù)特征建立IOC,。

 ?。?)部署IOC:在企業(yè)的主機(jī)或網(wǎng)絡(luò)中部署IOC,并執(zhí)行檢測(cè),。

 ?。?)檢測(cè)發(fā)現(xiàn)更多的可疑主機(jī)。

 ?。?)IOC優(yōu)化:通過(guò)初步檢測(cè)可獲取的新證據(jù)進(jìn)行分析,,優(yōu)化已有的IOC。

  OpenIOC推出了IOCeditor和Redline兩款工具,。IOCeditor用來(lái)建立IOC,,Redline負(fù)責(zé)將IOC部署到主機(jī)并收集信息進(jìn)行分析。

  2. CIF

  CIF(Collective Intelligence Framework)是一個(gè)網(wǎng)絡(luò)威脅情報(bào)管理系統(tǒng),,它結(jié)合了多個(gè)威脅情報(bào)來(lái)源獲取已知的惡意威脅信息,,如IP地址、域名和網(wǎng)址信息等,,并利用這些信息進(jìn)行事件識(shí)別,、入侵檢測(cè)和路由緩解等。

  3. OSTrICa

  OSTrICa 是一個(gè)免費(fèi)的開(kāi)源框架,,采用基于插架的架構(gòu),。OSTrICa 自身并不依賴(lài)外部的庫(kù),但安裝的插件需要依賴(lài)庫(kù),。OSTrICa可以實(shí)現(xiàn)自動(dòng)從公開(kāi)的,、內(nèi)部的、商業(yè)的數(shù)據(jù)源中收集信息,,并可視化各種類(lèi)型的威脅情報(bào)數(shù)據(jù),,最終由專(zhuān)家來(lái)分析收集的情報(bào),并顯示成圖形格式,,還可基于遠(yuǎn)程連接,、文件名,、mutex等,顯示多個(gè)惡意軟件的關(guān)聯(lián)信息,。

  4. CRITs

  CRITs 也是一個(gè)網(wǎng)絡(luò)威脅數(shù)據(jù)庫(kù),,不僅可作為攻擊和惡意軟件庫(kù)的數(shù)據(jù)分析引擎,還提供了惡意軟件分析能力,。CRITs 采用簡(jiǎn)單實(shí)用的層次結(jié)構(gòu)來(lái)存儲(chǔ)網(wǎng)絡(luò)威脅信息,,這種結(jié)構(gòu)具備分析關(guān)鍵元數(shù)據(jù)的能力,可以發(fā)現(xiàn)未知的惡意內(nèi)容,。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問(wèn)題,,請(qǐng)及時(shí)通過(guò)電子郵件或電話(huà)通知我們,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話(huà):010-82306118;郵箱:aet@chinaaet.com,。