威脅情報是近兩年來被安全界提及最多的詞匯之一。有人說威脅情報是解決現(xiàn)有安全問題的良藥,有人說威脅情報不是新鮮事兒,上古”就已有之,這種百家爭鳴的形勢必將對國內(nèi)網(wǎng)絡(luò)信息安全的發(fā)展帶來巨大影響。
2013年5月16日,Gartner給出了威脅情報的定義:“Threat intelligence is evidence-based knowledge,including context, mechanisms, indicators, implications and actionable advice,about an existing or emerging menace or hazard to assets that can be used to inform decisions regarding the subject's response to that menace or hazard.”
即:“威脅情報是基于證據(jù)的知識,包括場景、機(jī)制、指標(biāo)、含義和可操作的建議。這些知識是關(guān)于現(xiàn)存的、或者是即將出現(xiàn)的針對資產(chǎn)的威脅或危險的,可為主體響應(yīng)相關(guān)威脅或危險提供決策信息。”
1、Evidence:證據(jù),是證明事實的材料,即證據(jù)是必須經(jīng)過查證屬實。
2、Context:可翻譯為語境、上下文、背景、 環(huán)境。在這個定義中見到過翻譯成情境、上下文等,這里翻譯為場景,指每個情報都有其適用的環(huán)境和時機(jī)。
3、mechanisms:機(jī)制,指情報所涉及威脅所采用的方法和途徑。
4、indicators:指標(biāo),描述威脅情報的時涉及一些指標(biāo)。
5、advice:建議,針對威脅的消減或響應(yīng)處置的建議。
6、an existing or emerging menace orhazard to assets:威脅情報針對的對象是資產(chǎn)。
威脅是一個常被濫用的術(shù)語,特別是當(dāng)一個威脅對某組織存在而對另一個組織“不存在”時。很多組織沒有正確理解威脅的含義,沒能準(zhǔn)確識別威脅,導(dǎo)致在錯誤方向投入了大量的安全資源,或花費了太長的時間去進(jìn)行風(fēng)險和脆弱性分析,而不是將寶貴的時間花費在消減或修復(fù)問題上。
威脅是意圖、能力和機(jī)會三部分的結(jié)合。缺乏這三要素,對于個人或組織而言,在那個時間點,那個場景下“威脅”或“危害”不存在。威脅的三要素,即:
意圖:指惡意行為者把你的組織定為目標(biāo);
能力:指惡意行為者能使用的手段和方法(例如特殊類型的惡意代碼等);
機(jī)會:指惡意行為者所需的缺口(例如脆弱性、無論它是軟件的、硬件的還是人員的);
如果惡意行為者有意圖有能力,但組織沒有脆弱性,或者說現(xiàn)在沒有機(jī)會,惡意行為者并不構(gòu)成威脅。注意,這里講的是“構(gòu)成威脅”,而不是"威脅",“構(gòu)成威脅”等同于風(fēng)險的概念。
雖然威脅情報的供應(yīng)商們進(jìn)行了各種嘗試,威脅情報通常不用XML擴(kuò)展格式來描述,而是以感染指標(biāo)(Indicators of Compromise,簡稱為IoCs)或威脅饋送(threat feeds)的形式來表達(dá),因此,威脅情報的有效指標(biāo)指示或饋送要求組織要先了解自己,然后才是了解對手,即《孫子兵法》中的“知己知彼”。
如果一個組織不了解自己的資產(chǎn)、基礎(chǔ)設(shè)施、人員和業(yè)務(wù)運(yùn)營情況,將無法了解是否給了惡意行為者可乘之機(jī)。因此,對自己沒有足夠的了解的組織,無法識別可能對其感興趣的惡意行為者,更不能正確識別惡意行為者的意圖。
相比于惡意行為的意圖,惡意行為者的能力更容易被識別(很多時候我們看到的威脅情報偏重于這部分內(nèi)容)。很多能力是盡人皆知的,還有一些是經(jīng)常被有效使用的,例如釣魚郵件(phishing emails)。有效的威脅情報可以識別新型惡意能力,其中有些主要用于專用目標(biāo)。盡管惡意行為者使用的大部分方法和手段易于識別,但那些連最基礎(chǔ)安全措施都沒做好的組織將無法充分利用威脅情報。
威脅情報是對惡意行為者的攻擊意圖、時機(jī)和能力分析后所得到的信息,是情報的一種。情報的生命周期對其適用,即計劃、收集、處理、制作和傳播相關(guān)信息。威脅情報有別于其他情報之處在于著眼于威脅的識別。
與組織的情況匹配與否是判斷威脅情報是否對組織有價值的依據(jù),因此,情報的計劃階段變得至關(guān)重要,如果收到情報的組織無法知道哪些信息適合于自己,威脅情報毫無價值。如果情報供應(yīng)商能為組織量身定制,客戶化后的威脅情報看起來將是完美的,而沒有做過定制的威脅情報對組織而言很可能僅僅是一堆不相干的數(shù)據(jù)。
制作和消費定制化威脅情報的能力有戰(zhàn)略和戰(zhàn)術(shù)兩種應(yīng)用選擇,這將對組織的安全狀況產(chǎn)生影響。共享戰(zhàn)術(shù)級別的威脅情報,不僅能達(dá)到戰(zhàn)術(shù)級目標(biāo),而且可有助于運(yùn)用感染指標(biāo)構(gòu)建出戰(zhàn)略級的更高層面威脅圖示。
威脅情報通常不是戰(zhàn)略情報就是戰(zhàn)術(shù)情報,戰(zhàn)略威脅情報通常是較為寬泛,更高級別抽象的數(shù)據(jù),用于識別威脅以及研判組織如何減少威脅,決策如何配置安全預(yù)算,人員應(yīng)聚焦在哪些方面。
戰(zhàn)術(shù)級的威脅情報則廣泛的處理所收集的數(shù)據(jù),以獲取正確的網(wǎng)絡(luò)信息,通過分析,識別威脅并響應(yīng)。這類處理通常是在網(wǎng)絡(luò)安全監(jiān)控過程實現(xiàn),威脅情報提供分析出的感染指標(biāo)(IoCs)用于尋找被入侵的跡象。
感染指標(biāo)(IoCs)一般表現(xiàn)為以下幾種情況:
原子級的信息,如IP地址,郵件地址;
可計算的信息,如惡意文件的數(shù)字哈希;
行為指標(biāo)信息,如惡意行為者的行為概覽;
被識別出來的感染指標(biāo)(IoCs)可以通過STIX/TAXII 和OpenIOC等標(biāo)準(zhǔn)共享,如特定行業(yè)通常從信息共享與分析中心(ISACs)獲取和共享威脅信息,對于大組織來說,ISACs是為面向特定行業(yè)的威脅識別的不錯的始點。
隨著安全威脅概念被廣泛認(rèn)知,國內(nèi)相繼成立了幾家安全威脅情報中心,后續(xù)會有更多的安全威脅情報中心涌現(xiàn),但沒有任何一種方式可以覆蓋所有的威脅情報。盡管如此,還是有些重要的結(jié)論有助于人們和組織在威脅情報這個領(lǐng)域開個好頭兒。
不要重復(fù)制造輪子:摒棄細(xì)節(jié)后,你會發(fā)現(xiàn)自己所理解的事情可能已經(jīng)被做出來了,或者和很多人的想法不期而遇。因此,盡可能的收集可用的信息,運(yùn)用已知的方法按需進(jìn)行定制,不要重復(fù)制造輪子!
工具不能自動生成情報:無論供應(yīng)商如何宣傳,都請堅信數(shù)據(jù)饋送(data feeds)不能直接給出威脅情報。任何類型的情報都需要分析,而分析這項工作一定要人參與,各種各樣自動分析工具的作用是提升分析效率,獲取有效結(jié)果的分析過程必須有分析師參與。
不“知己”情報無用:在不能識別哪些情報適用于你的組織時,獲取多少情報都是無用的。需要從業(yè)務(wù)處理過程到組織里有哪些資產(chǎn),網(wǎng)絡(luò)上提供了哪些服務(wù)等方面了解自己的組織。
盈虧平衡點前必須加大基礎(chǔ)建設(shè)投入:基礎(chǔ)安全措施已經(jīng)消除了針對組織無以計數(shù)的威脅。當(dāng)基礎(chǔ)安全措施建完后,像威脅情報這種高級手段更有助于組織對高級對手實施的威脅進(jìn)行識別、消減和響應(yīng)處理。基礎(chǔ)安全措施不必苛求完美,但肯定存在一個盈虧平衡點,在此之前,必須加大基礎(chǔ)建設(shè)的投入,否則將無法收回安全上的投資。
最后不得不說:當(dāng)面對數(shù)不清的威脅時,防御是件困難的事。一定要先了解自己,再基于情報信息處理了解對手,盡管這兩件事做起來都不容易,但一旦完成就可使防御可為,有可能使讓防御者轉(zhuǎn)處于上風(fēng)。
參考:http://www.tripwire.com/state-of-security/security-data-protection/cyber-threat-intelligence/
京公網(wǎng)安備 11010502049343號