威脅情報是指企業(yè)組織可能面臨的潛在攻擊以及如何檢測和阻止這些攻擊行為的信息,。威脅情報可以幫助企業(yè)或組織快速地了解到敵對方對自己的威脅信息,從而提前做好威脅防范,,并更高效地進(jìn)行攻擊檢測與響應(yīng),。
在實際應(yīng)用中,研究機構(gòu)Gartner將威脅情報分為了以下三類:戰(zhàn)略威脅情報,、戰(zhàn)術(shù)威脅情報和運營威脅情報,。基于這種分類,,每個安全運營團(tuán)隊和運維人員可以根據(jù)需要選擇最相關(guān)的情報信息,,更有效地進(jìn)行風(fēng)險識別和防范,并了解攻擊者的作案動機,。本文將對其中的運營威脅情報相關(guān)概念,、獲取方式、應(yīng)用價值等進(jìn)行重點介紹,。
01 什么是運營威脅情報,?
運營威脅情報主要描述攻擊者使用的戰(zhàn)術(shù)、技術(shù)和程序 (TTP),,可以為安全分析師提供安全事件的背景,,重點關(guān)注惡意軟件、木馬和網(wǎng)絡(luò)釣魚等攻擊是如何執(zhí)行的,,攻擊的足跡是什么,,以及攻擊過程中的哪些環(huán)節(jié)受到了影響等,,使防御者對網(wǎng)絡(luò)犯罪分子的作案手法有準(zhǔn)確而深刻的認(rèn)知,并尋找尚未被發(fā)現(xiàn)的惡意行為,,從而加快對可疑行為的調(diào)查,。
由于運營威脅情報可以深入了解所涉及攻擊者(團(tuán)體)的起源和組織結(jié)構(gòu),并幫助響應(yīng)者理解特定攻擊的類型,、意圖和時間框架,,目前已經(jīng)成為保障企業(yè)網(wǎng)絡(luò)安全彈性的關(guān)鍵工具。高質(zhì)量的運營威脅情報甚至能夠讓防御者有機會提前實施控制措施并挫敗攻擊,,這也使其在許多方面成為網(wǎng)絡(luò)安全實踐的黃金標(biāo)準(zhǔn),。即便是并不完整的運營威脅情報也可能為即將發(fā)生的攻擊提供重要線索,例如,,在攻擊被利用之前找出潛在的資產(chǎn)暴露面和攻擊途徑,。
運營威脅情報一般包括以下內(nèi)容:
特定威脅分組資源(后門家族、共享基礎(chǔ)設(shè)施),;
與特定危險組相關(guān)的TTP(標(biāo)準(zhǔn)文件名,、端口、臨時目錄,、協(xié)議,、首選文件類型等);
未來可能會出現(xiàn)的TTP(包含持久性,、可利用性和網(wǎng)絡(luò)釣魚等的新攻擊策略),。
從事件響應(yīng)的角度來看,如果企業(yè)正在處理一起入侵事件,,就需要全面了解攻擊者如何進(jìn)行數(shù)據(jù)盜竊,、橫向移動或特權(quán)升級等攻擊行為,并通過查找某些行為來搜索未知但可能會發(fā)生的惡意活動,。各類網(wǎng)絡(luò)安全專家,,例如應(yīng)急響應(yīng)人員、惡意軟件分析人員,、網(wǎng)絡(luò)防御團(tuán)隊,、安全管理者、行動執(zhí)行者等都可以使用運營威脅情報,。運營威脅情報威脅識別并非只限于內(nèi)部運營環(huán)節(jié),,與客戶、友商,、合作伙伴,、分支機構(gòu)相關(guān)的安全缺陷也都需要被審查記錄。
02 運營威脅情報如何獲???
由于運營威脅情報與特定的威脅策略相關(guān),,所以獲得運營威脅情報的方法有兩種:
可通過招募或策反的方式,在活躍的威脅團(tuán)體中培養(yǎng)情報線人,;
通過滲透和監(jiān)視等技術(shù)手段,,截取威脅團(tuán)體間的通信。
總的來說,,運營威脅情報最有可能從封閉渠道收集,。雖然一些不太成熟的威脅組織滿足于通過相對開放性的渠道來討論他們的戰(zhàn)略,但更嚴(yán)謹(jǐn)?shù)姆缸锘顒痈锌赡懿扇‰[蔽措施,。這就引出了一個重要的問題:由于運營威脅情報涉及特定人員和群體的行動和通信,,因此收集這些情報會引發(fā)一些法律和倫理方面的爭議。
運營威脅情報是一種全面的信息數(shù)據(jù)集,,它提供解決安全威脅所需的各種信息。因此,,運營威脅情報的采集是個系統(tǒng)化的過程,,從規(guī)劃開始到評估數(shù)據(jù)的可用性,整個收集過程包含了多個階段,。
1,、需求研究
在開始尋找足數(shù)據(jù)之前,企業(yè)必須清楚地了解自己需要了解什么,。研究人員應(yīng)該知道誰會使用這些知識以及為什么,。網(wǎng)絡(luò)威脅情報應(yīng)該與公司或行業(yè)相關(guān),并清楚地說明它將如何提供幫助,。此外,,還應(yīng)該考慮使用者的具體需求特點(技術(shù)專家、董事會成員或首席執(zhí)行官等),。
2,、數(shù)據(jù)收集
運營威脅情報的數(shù)據(jù)收集工作需要在企業(yè)內(nèi)部和外部同時開展。通過各種安全設(shè)備的日志數(shù)據(jù),,可以采集到完善的內(nèi)部數(shù)據(jù),,同時,還應(yīng)該通過公開的安全技術(shù)論壇,、開發(fā)者社區(qū)和事件公告等,,獲取更廣泛的外部信息。
3,、數(shù)據(jù)處理
在以較原始的形式(惡意IP和域,、未編譯代碼、個人信息等)收集到大量數(shù)據(jù)后,,需要通過過濾清洗,,提升數(shù)據(jù)的準(zhǔn)確性和可用性,,包括使用相關(guān)信息更新元標(biāo)記(meta tag),刪除那些無用或者已經(jīng)過時的低價值信息,。目前,,這項工作大多通過人工智能和機器學(xué)習(xí)來自動化完成。
4,、分析評估
在對原始數(shù)據(jù)進(jìn)行處理并剔除不相關(guān)信息后,,就可以對數(shù)據(jù)進(jìn)行評估和關(guān)聯(lián),以發(fā)現(xiàn)潛在的安全風(fēng)險,。在將信息發(fā)送給關(guān)聯(lián)部門之前,,應(yīng)該將其結(jié)構(gòu)化處理,這樣更加易于理解,。
5,、分發(fā)與反饋
在此階段,主要將收集到的行動情報,,按照應(yīng)用相關(guān)性分發(fā)給不同的應(yīng)用者和分析師,。為了更好的優(yōu)化未來的數(shù)據(jù)收集質(zhì)量,應(yīng)該對情報的利用率及準(zhǔn)確性進(jìn)行評價和反饋,。為了評估情報是否真正發(fā)揮作用,,需要從請求情報的用戶獲得準(zhǔn)確的應(yīng)用效果反饋。
03 運營威脅情報的挑戰(zhàn)
在收集和分析運營威脅情報的過程中,,威脅分析人員可能會遇到以下挑戰(zhàn):
通信數(shù)據(jù)獲?。憾鄶?shù)威脅組織在討論他們的計劃時都會采取一些預(yù)防措施,并盡最大努力保持隱蔽,。不僅要考慮倫理和法律方面的影響,,還有技術(shù)手段方面的局限。在許多情況下,,想要獲取一個群體的內(nèi)部通信數(shù)據(jù)會非常困難,;
語言:威脅群體會位于不同的國家和地區(qū),通常會使用母語進(jìn)行交流,。盡管可以通過使用自然語言處理(NLP)引擎來克服這一障礙,,但這仍會增加發(fā)掘運營威脅情報的成本和難度;
干擾信息:通過自動化技術(shù)監(jiān)測常見的運營威脅情報來源(如討論群和開源社區(qū))時干擾信息太多,,人工監(jiān)控又并不顯示,,這時就需要通過威脅情報分析技術(shù)手段來應(yīng)對這一障礙;
混淆戰(zhàn)術(shù):許多威脅組織正不遺余力地隱藏他們的意圖,。常見的混淆策略包括使用專用代碼來代替目標(biāo)名稱和/或攻擊類型,,以及定期更改個人代號等。
運營威脅情報收集并非一個簡單的過程,。它可能需要一段時間,,也需要大量的專業(yè)技能和技術(shù)理解來支持,。為了正確地收集足夠數(shù)量的數(shù)據(jù),機器學(xué)習(xí)技術(shù)的應(yīng)用是非常必要的,。
04 運營威脅情報的價值
運營威脅情報是通過研究以往攻擊的具體情況而獲得的信息,。分析人員可以通過關(guān)聯(lián)多個戰(zhàn)術(shù)指標(biāo)和數(shù)據(jù)來構(gòu)建有關(guān)威脅行為者攻擊方式的完整視圖,并將其衍生為運營威脅情報,。這有助于:
為安全人員提供他們需要的事件背景信息,,通過增強安全事件和已識別的IOC(入侵指標(biāo))通知,來做出更準(zhǔn)確的安全判斷,;
改進(jìn)事件響應(yīng)策略和緩解方法,,為即將到來的網(wǎng)絡(luò)攻擊和入侵做好準(zhǔn)備;
尋找規(guī)避傳統(tǒng)安全措施的可疑文件和活動,,建立并加強主動發(fā)現(xiàn)過程(“狩獵計劃”),;
根據(jù)在野攻擊者的方法,采用實用的紅隊策略,;
分析惡意軟件家族和參與者,,以識別對企業(yè)、行業(yè),、地區(qū)或國家的高風(fēng)險威脅;
創(chuàng)建獨立于IOC的檢測技術(shù),,以更快的方式提供更廣泛的威脅覆蓋范圍,。
更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<
