网络安全威胁情报概述
in 默认分类 with 0 comment

网络安全威胁情报概述

in 默认分类 with 0 comment

威胁情报即研究敌情,刻画的是攻击者的面貌,试图弄清是谁实施的攻击,攻击目标、攻击目的、攻击手段是什么,攻击程度、攻击现象、攻击后果如何以及如何补救。要想获得高质量的威胁情报,离不开对漏洞利用、恶意代码两大类攻击工具的研究和分析。威胁情报的质量、外部数据的质量和价值对整个网络安全态势感知能力落地非常关键,对海量威胁情报数据的理解和处理也是网络安全态势感知能力落地的基础之一。

1、网络威胁情报

“情报”一词历史颇为悠久,在军事和政治领域有着重要的应用。美国中央情报局(CIA)将情报定义为:我们所处世界的知识和预判。情报处理过程往往涉及漫长细心和枯燥耗时的对事实的收集、分析、评估和判断,然后形成“产品”,并且不时地传递给消费者。这个消费者大至一个国家和政府军队,小至关注网络安全的组织机构或个人。

威胁情报是指通过各种来源获取环境所面临威胁的相关知识。2013年5月,Gartner分析师Rob McMillan对网络威胁情报做出了较为贴切的解释:基于证据、关于资产所面临的现有或潜在威胁及风险的认识,包括环境、机制、指标、推论(可能结果)与可付诸行动的建议,这些知识可以为威胁或风险响应提供决策依据。这个解释也体现出情报是可以付诸行动的,网络安全团队可以采取一些手段获取威胁情报,进行分析并实施相应的保护措施。定义里的“环境”不仅仅指威胁环境,还包括对所要保护资产所处的环境。定义里的“指标”并不是收集来的原始数据和信息,它必须经过分析处理,进而提炼为与目标网络威胁相关的指标。

任何组织如果要打造自己的安全团队,提升自己的网络安全状况,威胁情报都是不可或缺的。早发现、早预防安全事件是威胁情报的总体目标。每当相关方(业务合作对象、相似组织)发生了网络安全事件,都会让大多数组织感受到网络安全威胁近在眼前。成熟的安全团队常常将威胁情报视为环境的必备保护手段,提醒组织对于已知和未知威胁提前做好准备。一个组织是否能够有效防范外来攻击,不仅仅看其安防工具是否齐全、持续监控是否有力,它还要关注威胁情报,并且将威胁情报融入到防御措施中,只有这样才能更有效地防范和阻挡内外部攻击。

2、威胁情报来源

我们从网络威胁情报定义里的“环境”可以解读出威胁情报来源主要来自两个方面:一个是内部,一个是外部。

内部威胁情报来源:内部威胁情报来源可以参考网络安全态势感知的安全数据来源,因为它们无论从数据源、数据范围,还是采集获取方法都很类似。这其中涉及要保护的资产和环境属性类数据、各种内部设备和系统上的日志数据、告警数据、捕获来的数据包信息、统计信息、元数据等。换句话说,网络安全态势感知收集到的被保护网络中的各类安全数据和信息可以作为威胁情报的来源之一。如果是这样的话,是不是可以认为威胁情报分析涵盖了安全态势感知?不完全是,因为二者的目标、处理方法和管理机制是不同的。安全态势感知重在了解自己,保护自己;而威胁情报重在了解对手,摸清敌人。但了解自己其实不妨碍了解对手,了解对手也有助于了解自己,所以二者结合起来是最佳的实践方案。

外部威胁情报来源:外部威胁情报来源相对更为复杂,也显得更为重要。因为外部的威胁实在是太多了,网络攻击可以来自全世界任何一个角落,如果没有合适的情报平台和供应商的支持,单单靠组织自身根本无法一一捕获。从第三方来源收集数据,并将这些数据与内部威胁情报来源收集来的数据相关联,最终能够建立服务于组织专用的、完备的、可行动的情报。这里必须注意的是,在第三方来源提供的信息确实能够付诸行动之前,它只是数据,只有与被保护对象有关的时候才能够称之为情报。如果某个组织收集外部威胁情报是通过订阅外部数据源的方式获取的,那么安全团队中应当有相应的成员负责维护这些信息源,并且推送到组织内部相关的部门。其中必须明确以下问题:一是这些数据源应当部署到组织内部哪个部门;二是数据源中包含的信息是否要求重新配置边界防御措施,以检测特定攻击等。如果组织希望深入了解外来威胁及其采取的技术、原理过程和策略,那么安全团队还应当采用一定的技术手段以准确定位潜在攻击方的位置、攻击意图、攻击方法以及下一步可能的攻击计划,这就是更高级的威胁情报形式了,适合于应对高级攻击者的进攻。

跟踪敌方,了解他们的战术、技术和规程以及基础设施,这需要大量的专业技能。对于普通组织来说很难做到,所以大部分组织都是选择购买网络威胁情报,而不是自行收集。具体来说,典型的如漏洞情报,可以在资产和漏洞管理上使用平台列举(CPE)和通用漏洞披露(CVE)等标准,加上其他供应商或组织内部的漏洞库,从而建立引入外部威胁情报的中心点;还有基于指标的情报,主要包括与特定活动相关的IP地址、与敌方相关的域名、URL和文件散列等,以及某些安全服务提供商提供的告警信息,也能分析出一些与敌方相关的情报。

还有一些出色的开源情报提供者,这些提供者通常依赖“众包情报”,也就是说它可以从全世界的众多用户中得到情报输入,其好处是来源广泛、情报众多,坏处是存在大量“误报”和垃圾数据,精准度欠佳。比较有名的开源威胁情报数据来源包括Emerging Threats、Abuse.ch、Blocklist.de和spamhaus。当然,最好的开源威胁情报项目往往专注于单一类型的威胁或者某一种恶意软件,这种项目集中力量跟踪特定目标,所以能生成更为准确的情报。
3、威胁情报管理

无论是从内部采集的信息,还是从外部获取的信息,最后都将被收集并融合起来,由安全人员进行统一分析处理。因为多个来源的数据很容易产生关联,从而发现攻击者的行为踪迹并帮助安全人员做出更好的决策。这个工作依靠传统的网络安全运维平台和新兴的网络安全态势感知系统来处理是不够的,因为威胁情报数据采用的语言、标准和架构框架往往与上述平台有所差异,难以实现共享,这时就需要一种相对较新的安全系统来提供支持,那就是“威胁情报管理平台”。这种平台能够对威胁情报进行融合、分析处理,包括对威胁情报的关联,可很好地支持符合威胁情报标准和多种语言、框架的数据输入与分析。值得称道的是,威胁情报管理平台还能够使用来自传统的网络安全运维平台和新兴的网络安全态势感知系统的数据(反之则不行),威胁情报数据与其他安全数据一起被安全人员分析、理解和评估,从而形成一个最终的判断报告,威胁情报管理平台还能将这些信息反馈给网络安全运维平台和网络安全态势感知系统,这样就形成了良性的互动循环。需要注意的是,有很多情报数据在收集的过程中会产生重复和交叉,因此组织最好引入一个中央存储库,使用标准化的语言构建情报信息并控制交付的位置和去处,避免大量的剪切、粘贴和备注工作干扰真正的工作目标。这也是在搭建威胁情报管理平台时需要考虑的。

大数据驱动安全无处不在。网络安全态势感知目前正在与大数据紧密结合,提升全面感知能力,与此类似,威胁情报也能够与大数据结合起来分析,因为随着攻击事件的频发,威胁情报也是来源众多、具有高容量等特点的大数据,而安全人员又必须对这些海量信息进行快速操作、处理,并及时返回处理结果。大数据解决方案能够处理各种结构化和非结构化数据,这个优势非常适合威胁情报的处理。大数据解决方案以原始方式输入数据,围绕这些数据构建对象,不仅可以输入结构化数据,还允许输入无结构数据,这意味着可以不受数据结构的限制。更让安全人员欣慰的是,其并不一定要成为数据工程师并掌握更多的数据库管理知识,提供大数据安全分析解决方案的供应商一般会给数据库提供一个前端,以管理许多可能有安全价值的典型关系型查询。在此基础上,大多数供应商为这些查询提供外包的专业能力,帮助安全人员根据网络中特定安全系统和组织的安全目标创建定制化的规则集。此外,大数据安全分析能够提升对异常事件的检测能力,这也成为其应用于威胁情报管理的优势所在。

4、威胁情报共享

互联网时代大家都知道共享的好处,威胁情报更是如此。没有一个组织能够对互联网上所有的攻击都了如指掌或做好充足的防范准备,无论对各类攻击研究得多深入,仍然会有一些攻击突破进来。因此与其他组织进行协作共享是一个明智的选择,能让大家一同改进对威胁的感知,更好地提升威胁态势感知能力。共享数据有不同的方法,共享的数据也有不同的类型,因此也产生了不同类型的用于共享和传播威胁情报的安全组织,常见的有以下三种:

计算机应急响应机构(计算机安全事故响应机构):这类机构通过寻找大面积影响其用户的广泛安全事件来协调和传播网络安全信息,具有较高的权威性,它是影响大批个人和组织很好的安全信息来源,其受众可以是一个国家、一个省、一个公司甚至全世界。例如我国的国家互联网应急中心,它是国家级网络安全监测中心、预警中心、应急中心,负责协调我国各政府机构、企业和个人计算机用户的网络安全信息,提供安全警报、漏洞信息和有助于保护组织或个人用户的提示,在协调国内安全应急组织共同处理互联网安全事件方面发挥重要作用。

信息共享和分析中心:不同于计算机应急响应机构的受众往往是大面积的,信息共享和分析中心更多聚焦于某个行业,成员们可以共享网络安全信息。而且,信息共享和分析中心不只专注于网络安全威胁,它还会监控行业内实际的和其他潜在的威胁,因为它是为增强围绕关键基础设施的威胁态势感知而建立的。该类机构的主要目的是作为成员的信息交换中心,提供与威胁及漏洞相关的行业特定警报和情报。它还能够作为安全通信平台,让其成员之间共享各类信息,并从其他成员那里得到反馈。其工作人员不仅仅需要理解网络安全整体形势,还需要理解特定方向上的威胁,如美国的工业控制系统(ICS)ISAC就是负责国家关键基础设施的安全信息共享和分析的机构。

情报共享社区:不同于计算机应急响应机构的广泛影响力,也不同于信息共享和分析中心用于特定行业和专业,情报共享社区更为聚焦,其共享范围更小,最典型的如在组织、行业或者互信的分析师群体通过一个共同的安全平台实现安全信息共享。在这个社区里可以与信任的合作伙伴共享威胁情报信息,这些伙伴可以来自一个组织或行业,也可以来自不同的组织或行业,他们之间的信息共享和相互沟通有助于改善涉及所有组织的安全响应,增强安全人员跟踪真正网络威胁的能力,并协作找出面对共同威胁的解决方案。

Responses