初探威胁情报平台

文摘   科技   2024-01-15 13:43   广东  

“A9 Team 甲方攻防团队,成员来自某证券、微步、青藤、长亭、安全狗等公司。成员能力涉及安全运营、威胁情报、攻防对抗、渗透测试、数据安全、安全产品开发等领域,持续分享安全运营和攻防的思考和实践。”


01

前言


建设威胁情报库主要就是要解决其中:如何生产、如何存储、如何共享的问题,如果用威胁情报的生命周期来定义,我们所需要解决的步骤有:制定情报计划,情报收集,威胁情报预处理与利用环节,威胁情报分析与生产,情报输送,威胁情报的计划优化与修订。

1、前世今生

威胁情报的前世可追溯到计算机病毒的出现,发展至今已成为全球网络安全的关键组成部分。早期以防病毒软件为主,后来随着黑客社区的兴起和信息共享,威胁情报逐渐演变。今天,威胁情报面临全球网络威胁的挑战,威胁情报平台的兴起使得企业能够更好地理解和应对复杂的网络威胁。多维度威胁情报、自动化和人工智能的应用,以及合规性和隐私考虑都成为当前威胁情报领域的重要趋势


2、简介威胁情报平台的重要性
威胁情报平台的重要性在于帮助企业实时监测网络威胁、提供全面的威胁画像、支持攻防协同、管理漏洞、定制化防御、实现快速响应、促进信息共享与合作,以及满足合规性需求,提高整体网络安全水平。



3、威胁情报平台在当前信息安全环境中的角色


威胁情报平台在当前信息安全环境中扮演着预警、情报整合、防御优化和合作共享等多重角色,是企业保障网络安全的重要工具。

02

目的和目标

1、目的


威胁情报平台的部署旨在帮助企业更好地理解和应对网络威胁,从而提高整体网络安全水平,保护组织的信息资产和业务运作。


2、目标


  • 提升情报响应效率:人为发现行为不高于 30%,平台监控的方式获取威胁情报不低于 70%。  

  • 实现威胁信息集成与分析:将获取的威胁情报整合到一个统一的平台,并对其进行分析。通过关联不同来源的威胁信息,可以更全面地了解威胁的性质、来源、攻击方式等。情报采集及时性不超过5分钟,分析、响应自动化率不低于80%,处置有效性不低于90%,误报率不超过10%;  

  • 实现威胁情报共享:可以选择将本企业获得的威胁情报与其他企业、组织或威胁情报共享社区进行分享。通过共享,可以加强整个社区的安全合作,提高对新威胁的应对速度。  

  • 威胁情报的可视化展示:提供直观的威胁情报可视化展示,使安全团队能够更好地理解威胁态势和重要的安全事件。  

  • 实现安全设备赋能功能:根据发现的威胁情报,提取关键信息,落地到安全设备的威胁情报加工生产,包括终端、主机、nat、邮件威胁感知、waf 等,加强防御能力。  

  • 实现自动化响应和处置:利用威胁情报平台,自动化响应和处置威胁。当检测到与威胁情报相关的活动时,平台应能够自动触发预定的响应措施,如隔离受感染的系统、封锁攻击来源等。威胁情报按时响应率100%,高危及以上情报按时处置率(关单率)100%,总体按时处置率(关单率)95%;MTTR:24小时内P4(严重) 级告警处置完成率100%,72小时内P5(高危) 告警处置完成率100%;



03

威胁情报

一)对于安全团队?威胁情况分析人员?


1. 威胁发现与预警:帮助安全团队及时发现网络中的潜在威胁和异常活动,提供实时预警。

    

2. 漏洞管理与修复:提供漏洞信息,帮助安全团队及时修复系统漏洞,减少攻击面。

    

3. 全球威胁趋势分析:分析全球威胁趋势,为安全团队提供未来可能面临的风险和威胁。

    

4. 实时响应:支持安全团队实时响应机制,迅速应对新出现的威胁。

    

5. 信息共享:促进内外部信息共享,增强整个安全社区的合作和协同防御。

    


对于威胁情况分析人员:


1. 深度分析支持:提供详细的威胁情报,支持分析人员深入研究攻击手法和技术特征。

    

2. 攻击路径识别:帮助分析人员识别攻击者的入侵路径和行为轨迹,理解攻击的全貌。

    

3. 定制警报规则:允许分析人员根据特定需求定制警报规则,以便更准确地检测潜在威胁。

    

4. 趋势预测与建议:分析历史数据,预测未来可能的威胁趋势,并提供建议以改善安全策略。

    

5. 培训与知识积累:提供真实案例,用于培训和知识积累,不断提升分析人员的技能水平。

    


威胁情报平台为安全团队和分析人员提供了有力的支持,使其能够更加迅速、准确地应对不断演变的网络威胁。


二)开源情报和商业情报的区别。


开源情报的优势:


1. 成本低:开源情报通常是免费获取的,不需要支付订阅费用。

2. 广泛覆盖:涵盖互联网上公开可用的大量信息,包括社交媒体、新闻、博客等。

3. 多样性:包括多种形式的信息,如文字、图片、视频等。

4. 时效性:信息通常实时更新,有助于迅速了解当前事件和趋势。


商业情报的优势:


1. 定制性强:商业情报可以根据组织的具体需求进行定制,提供更符合业务目标的信息。

2. 深度分析:商业情报通常经过深度分析,提供更为详尽、深入的洞察力。

3. 数据来源广泛:商业情报可以整合多个数据源,包括开源情报、专有数据库等,提供更全面的信息。

4. 专业支持:商业情报服务通常提供专业团队的支持,能够根据需要提供咨询、培训等服务。


一)是什么?


威胁情报平台是一种专门设计用于收集、分析、整理和分享有关网络威胁的信息的系统。这些平台的目标是帮助组织更好地了解当前的威胁环境,以便及时采取适当的措施保护其信息资产。通过整合来自各种来源的威胁数据,这些平台提供实时的威胁情报,帮助安全团队迅速做出反应,识别潜在威胁,加强网络安全。威胁情报平台通常包括数据收集、分析引擎、共享机制和可视化工具等组件,以构建全面的威胁情报生态系统。


二)有什么用


1. 威胁检测与防御:提供实时的威胁情报,帮助系统及时发现并防范新的威胁,减少潜在风险。

    

2. 漏洞管理与修复:提供关于已知漏洞的信息,帮助组织及时修复系统漏洞,减少受攻击的可能性。

    

3. 攻击溯源与分析:协助安全团队追踪攻击者的行为路径,进行深度分析,了解攻击手法和攻击者的意图。

    

4. 趋势分析与预测:收集并分析全球威胁趋势,为组织提供未来可能面临的风险,并制定相应的安全策略。

    

5. 实时响应与紧急处理:支持实时响应机制,使安全团队能够迅速应对新出现的威胁,进行紧急处理。

    

6. 情报共享与合作:促进信息共享,增强内外部安全社区的协同合作,共同防范威胁。

    

7. 定制警报规则:允许组织根据自身需求定制警报规则,更准确地识别与其环境相关的潜在威胁。

    

8. 人员培训与知识积累:提供实际案例,用于培训安全人员,增强他们的威胁分析和应对能力。


05

情报分类 

漏洞情报:从社交平台、开源社区、官方网站等渠道监控获取到的最新漏洞信息。


病毒情报:从开源沙箱平台、供应商等渠道获取到的恶意 ioc 或者 ip 等信息


舆情情报:包含各种仿冒诈骗的网站或 app,开源社区或暗网的代码泄漏、数据泄漏等。



06

常见的威胁情报标准

1. STIX(Structured Threat Information eXpression):一种用于描述网络威胁的结构化语言,包括威胁的属性、行为、关系、上下文和处理方法等。

    

2. TAXII(Trusted Automated eXchange of Indicator Information):用于传输威胁情报的应用层协议,基于 HTTP 和 HTTPS,支持推送和拉取模式,与STIX兼容。

    

3. CybOX(Cyber Observable eXpression):一种用于描述网络事件中的可观察对象和行为的结构化语言,包括文件、进程、网络连接、注册表项、用户账户等多种类型的对象。

    

4. MITRE ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge):描述网络攻击者的战术、技术和知识的框架,提供了一种系统化的方法来理解和应对威胁。

    

5. OpenIOC(Open Indicators of Compromise):一种用于描述指标和上下文的开放格式,帮助组织共享有关威胁的信息。

    

6. MISP(Malware Information Sharing Platform & Threat Sharing): 一种用于共享和分析威胁情报的平台,支持多种数据格式和标准。

    

7. MAEC(Malware Attribute Enumeration and Characterization): 一种用于描述恶意软件属性和特征的语言,帮助组织共享有关恶意软件的信息。

    


这些标准在威胁情报社区中得到广泛应用,有助于标准化、共享和分析威胁情报数据。不同的组织和平台可以选择适合其需求的标准,以更好地协同和应对网络威胁。


07

生命周期 

收集情报 -  共享情报 - 响应分析 - 建立响应工单 - 完成响应



08

痛点和挑战

1、如果没有威胁情报,就无法在攻击之前提前预防攻击;  

2、威胁情报数据来源多,范围广,单靠人工无法全面检测;  

3、威胁情报更新快,如果没有合适的自动处理模型,会导致人工检测情报时无法更精准,快速的监测;  

4、每个情报的处置流程方式不同,需要浪费很多人力,时间;  

5、情报漏洞推动都是一对多的情况进行推动,资产匹配等不方便。  

6、无法提供官网没出补丁包的情况下,漏洞修复的标准化修复方案。


09

实践案例


1、威胁情报在 WAF 中运用的最佳实践:


1. 实时更新规则:

    

    - 最佳实践:使用实时威胁情报源,确保WAF规则持续更新,以及时应对新的威胁和漏洞。

    - 意义:保持规则的及时性有助于防范最新的攻击手法,确保WAF能够有效地识别和拦截新型威胁。

2. 自定义规则和签名:

    

    - 最佳实践:结合通用规则与组织特定的规则,根据实际应用程序的特点创建自定义规则和签名。

    - 意义:自定义规则可以更好地适应组织的特定环境和应用程序,提高WAF的准确性和效能。

3. 基于情报的访问控制:

    

    - 最佳实践:使用威胁情报来实施基于情报的访问控制,允许或阻止特定IP地址、地理位置或用户代理。

    - 意义:通过基于实时情报调整访问控制策略,可以更灵活地应对不同来源的潜在威胁。

4. 集成用户行为分析:

    

    - 最佳实践:结合用户行为分析和威胁情报,以检测异常活动和恶意行为。

    - 意义:通过监控用户行为,WAF可以更精准地识别潜在的攻击,从而提高检测准确性。

5. 共享情报:

    

    - 最佳实践:参与威胁情报共享计划,与其他组织和安全社区分享关于新威胁的信息。

    - 意义:共享情报有助于建立更全面的威胁情报图谱,使WAF能够更全面地了解当前的威胁环境。

6. 实施合适的响应机制:

    

    - 最佳实践:根据威胁情报的分析结果,制定合适的响应机制,可能包括自动阻止、告警通知等。

    - 意义:及时有效的响应可以降低攻击造成的损害,确保组织在遭受攻击时能够快速采取行动。

7. 持续监测和调整:

    

    - 最佳实践:定期审查WAF的性能和规则效果,根据实际情况进行调整和优化。

    - 意义:威胁环境和应用程序的特性可能会不断变化,定期监测和调整有助于保持WAF的有效性。


10

研究结论


1、威胁情报作用于积极防御,建立自身的情报生产和消费能力,挖掘出未知威胁、潜在的威胁,并及时有效弥补防御短板。  

2、建设威胁情报平台主要就是要解决其中:如何生产、如何存储、如何共享的问题,如果用威胁情报的生命周期来定义,我们所需要解决的步骤有:制定情报计划,情报收集,威胁情报预处理与利用环节,威胁情报分析与生产,情报输送,威胁情报的计划优化与修订。


11

参考资料

威胁情报平台的实践案例参考链接:


•  什么是威胁情报?| IBM https://www.ibm.com/cn-zh/topics/threat-intelligence

•  Threat Intelligence Management Services | IBM https://www.ibm.com/cn-zh/services/threat-intelligence

•  【威胁情报】威胁情报之落地实战——由灰向黑篇 – 绿盟科技技术博客 https://blog.nsfocus.net/threat-intelligent-landing/

•  如何构建基于威胁情报的高效网络威胁监测架构 - 安全内参 | 决策者的网络安全知识库 https://www.secrss.com/articles/54660

•  威胁情报:网络安全的下一个引爆点 - 安全内参 | 决策者的网络安全知识库 https://www.secrss.com/articles/16489

•  《全球威胁情报市场指南》:http://www.caict.ac.cn/kxyj/qwfb/ztbg/202112/P020211203576374176759.pdf

•  《网络威胁情报的演变:2019 SANS 网络威胁情报调查》:https://www.freebuf.com/articles/network/201190.html

•  《美国国家情报委员会 2021 年年度威胁评估报告》:https://zhuanlan.zhihu.com/p/355891431 。











A9 Team
A9 Team 甲方攻防团队,成员来自某证券、微步、青藤、长亭、安全狗等公司。成员能力涉及安全运营、威胁情报、攻防对抗、渗透测试、数据安全、安全产品开发等领域,持续分享安全运营和攻防的思考和实践,期望和朋友们共同进步,守望相助,合作共赢。
 最新文章