我們已經看過許多威脅情報的演講和文章,也向很多專業人員咨詢過威脅情報怎樣利用的問題。其中抱怨最多的就是:現在所謂的威脅情報根本就是聚焦點很窄的平面(flat)數據。有時候,這些數據會派上用場,但多數時候,根本沒用。
原始數據,比如簽名和IP地址列表,只要沒經過驗證或者缺乏上下文,就不能稱之為情報。多數專家認為,還是需要一個清楚業務需求的人來分析這些平面數據并作出判斷。
舉個例子:
一份關于勒索軟件CryptoLocker及其相關IP地址的數據反饋,并不能解釋清楚如何減輕風險,也幫不了公司決策該如何反應。換句話說,這么一份反饋,或者說情報,不具備可行性。不幸的是,一些廠商出售的,還就是這樣的東西——未經處理的粗陋數據反饋。
一位安全從業人員對此案例評價道:“你最多能用這東西封鎖一些命令和控制服務器,查看一下數據流向,檢查公司里有沒有人的機器被感染了——通常都只是事后補救了,不過至少你可以給點反應。這還是在假設你擁有安全信息和事件管理(SIEM)系統,或者有專門的團隊處理事件響應和調查的情況下。”
選購威脅情報解決方案的最終目標,就是獲得可行性情報支持。而只有經過評估和驗證的情報,才具備可行性;否則,就僅僅只是原始信息而已。
基本上,公司和機構都希望知道:
誰在攻擊?為什么要攻擊?怎樣攻擊的?
我們的競爭對手也被攻擊了嗎?
商業合作伙伴有沒有被攻擊?或者,是針對整個行業的攻擊有所上升?
攻擊能力和攻擊方式是什么?
攻擊者的常用工具和攻擊策略是什么?
可想而知,總有數據反饋能夠提供回答所有這些問題的零零散散的信息。但,再次強調,這沒什么卵用!缺少了上下文,這些信息你用不起來。
對公司而言,威脅情報的長期價值,在于驅動改變的能力。
經驗證的威脅情報(或者有著適當上下文的數據)應該能改變行為——無論這些行為是否是安全運營中心(SOC)確定并響應警報的做法;是否是用戶判斷并處理網絡釣魚郵件的方式;是否是決策者和高管投資安全項目或優先考慮長期安全計劃的行動。某些情況下,威脅情報將幫助事件響應(IR)團隊爭取到更短的檢測和響應時間——切實的好處。
一名分析師的案例:
最近金融行業的一名安全從業人員接受了采訪,透露了他們的威脅情報使用體驗,以及威脅情報是怎樣影響他們的操作的。出于保護他們公司和客戶的考慮,我們就稱他為M吧。
M說,涉及到數據反饋和處理多種來源的大量信息時,一個很大的問題在于,公司能不能成功管理起這些數據,能不能獲得需要的定制數據。
“目前,我所在的金融公司主要利用日志分析軟件Splunk,將通用黑名單和開源情報反饋與我們邊界設備記錄下來的地址、蜜罐和金融服務信息共享與分析中心(FS-ISAC)的通報關聯起來。”
作為一名分析師,小M要審查特定的FS-ISAC數據,查找金融相關網絡釣魚、憑證竊取、詐騙相關數據,并與她的團隊和公司風險高管共享這些信息。必要的話,他們有時候也會與FS-ISAC共享網絡釣魚或詐騙指示器相關信息。
“我們曾一度采用統一威脅共享工具,付費和開源的都用過。我們從FS-ISAC弄了個早期版本的Soltra服務器,但那需要大量的數據庫知識才能管理。隨著時間的推移,出現了很多需要跨團隊介入才能解決的問題,而我們缺乏人手。”
“鑒于我們目前的處理過程適合公司當前規模,在砸錢引進解決方案上我們有一點點顧慮。不是沒有嘗試過一些看起來靠譜的付費產品/設備,尤其是Vorstack。然而,因為預算調整,我們覺得當前擁有的東西就足以應付需要處理的數據/威脅規模了。”
那么,工作流究竟是怎樣的呢?
小M的大多數安全設備,都已經可以基于廠商提供的指示器反饋來響應/封鎖/報警威脅了。但是,在社會工程和人際互動會引入風險的地方,小M的團隊會將這些信息與員工們共享。
比如說,向HR發出簡歷相關的攻擊行動警報。但人工篩查只在必要的時候進行,因為他們覺得,當我們已經向非以安全為中心的團隊提供了太多數據時,警報疲憊就相當可觀了。
那么,事關警報,多少數據才算太多呢?
“我們現在只尋找特別針對金融公司的威脅了,比如與已知詐騙活動相關的數據、面向金融行業的DDoS威脅、網絡釣魚/憑證竊取、高管級鯨釣嘗試、具金融性質的特定水坑攻擊……”
政治活動相關的威脅也要進行監測和走勢預測,以防存在攻擊者重疊。不過,通常,暴力攻擊IP本質上很雜亂,小M的公司啟用了他們的防火墻、入侵檢測系統、負載平衡廠商的黑名單,以及其他啟發式/流量行為檢測機制來對抗。
“例如,針對政府的水坑攻擊、匿名攻擊等等,對我們的影響就沒有那些可以在較大型金融機構遭到攻擊時提前聽說的銀行木馬、偶發匿名金融攻擊等的大。”
FS-ISAC在價值,在于對社會工程誘餌、詐騙策略,以及特定攻擊“詭計”的描述和建議。這些具體信息能幫助安全團隊準備對員工的培訓,通過內部網絡釣魚演練和一般的安全意識培養都能達到效果。
原始數據的相互關聯非常有用。只要收到能幫安全團隊理解攻擊模式的情報,他們通常都可以預測出相關的攻擊工具變體,通報給事件響應團隊和可能會被盯上的員工。攻擊指征(Indicator)是很好用的,但如果團隊理解了攻擊行為或目標,而不是只面對一堆靜態數據,它們也就不是那么重要了。
“之前就這么說的,但情報總是太多太雜,公司真正需要的是可行性情報,跟那些24小時前遭到的每條暴力攻擊原始情報數據完全不是一碼事,到那時候,我們的設備早都收到新的黑名單了。”
“每個行業都有自己特別的需求,大多數威脅情報提供商給出的是高壓水槍式噴涌的數據,需要空間管理和人力審查,得精挑細選出對公司真正有影響的,以及真正應該響應的。”