大话威胁情报——威胁情报的用途

攻击可以大致归类为基于用户的、基于应用程序的和基于基础设施的威胁。一些最常见的威胁是SQL注入、DDoS、W...



网络攻击可以大致归类为基于用户的、基于应用程序的和基于基础设施的威胁。一些最常见的威胁是SQL注入、DDoS、Web应用程序攻击和网络钓鱼。

应对这些攻击，拥有一个IT安全解决方案是非常重要的，因为它具有能够提供威胁情报的能力，并能通过主动式和响应式地来管理这些攻击。而攻击者也在不断改变他们的方法来挑战安全系统。因此，企业机构就不可避免地需要从各种源头获取到威胁情报。

有效应对威胁的一种方法是，使用SIEM系统（Security Information &Event Management system，安全信息&事件管理系统）来检测并应对威胁。SIEM系统可以用来跟踪你的环境中发生的一切，并识别异常的活动。单独的事件可能看起来并不相关，但通过事件关联和威胁情报，你就能看到在你的环境中到底发生了什么。



如上图，原数据包括了IP、事实、访问时间点等，这些加起来都是原数据。经过情报的处理和分析，通过分析师、自动化和人工处理之后，它会变成情报。这些情报的获取难度和破解难度也是呈金字塔型的。这在《大话威胁情报——威胁情报是个什么鬼》中我们就了解了：第一层就是Hash Values，虽然获取这些非常容易，但它变换起来也非常容易。逐层递增，到最高层就是TTPS。TTPS就是工具、技术和流程，也就是说攻击者用的是什么战术，用的什么技术和方法。这些东西的变换成本非常高。把这些黑客黑了之后，知道他的手段和方法，黑客如果再去进行一个变换，成本也是非常高的。

安全分析是核心能力大数据时代数据的采集、存储、分析、呈现等等，很少有一家能完全做得了，通吃没能力也真心没必要，从细分看，做采集的可能有集成商或服务商来完成实施工作，做存储的有擅长Hadoop的来做，做分析层的需要有懂业务、了解安全的服务团队做的插件或APP来完成，数据的呈现又是专门的团队来做。

数据是金子，对安全行业依然如此。数据分析师需要了解业务、了解安全、了解算法等等各项技能。比如关联分析：用于在海量审计信息中找出异构异源事件信息之间的关系，通过组合判断多个异构事件判断操作行为性质，发掘隐藏的相关性，发现可能存在的违规行为。比如数据挖掘：基于适当的算法来对数据集进行聚类分类，能够区分异常行为和正常行为。

因此，威胁情报的应用核心是对海量威胁情报的安全分析能力。

威胁情报几个典型的使用场景1、安全计划（或者安全体系建设与完善）现在的防御思路正在从以漏洞为中心转化为以威胁为中心，只有对需要保护的关键性资产存在的威胁有足够的了解，才能够建构起合理、高效的安全体系结构，而这些就依赖于对攻击者可能的战术、方法和行为模式（即TTPs）的全面理解，如果能有指向指标类的信息，让我们知道所在行业当时可能的最大风险，就更能做到有的放矢。如果说不同方向的安全从业者（如：漏洞挖掘、渗透测试、安全分析和事件响应、产品及开发等）需要的知识结构有所不同，那么这种对攻击面的理解就是所有行业从业者必须了解的内容。

2、攻击检测和防御基于威胁情报数据，可以创建IDPs或者AV产品的签名，或者生成NFT（网络取证工具）、SIEM、ETDR（终端威胁检测及响应）等产品的规则，用于攻击检测。如果是简单的IP、域名、URL等指标，除了以上用途，还可以考虑直接使用在线设备进行实时阻截防御。

3、安全分析及事件响应安全分析及事件响应中的多种工作同样可以依赖威胁情报来更简单、高效的进行处理。在报警分流中，我们可以依赖威胁情报来区分不同类型的攻击，从中识别出可能的APT类型高危级别攻击，以保证及时、有效的应对。在攻击范围确定、溯源分析中可以利用预测类型的指标，预测已发现攻击线索之前或之后可能的恶意活动，来更快速的明确攻击范围；同时可以将前期的工作成果作为威胁情报，输入SIEM类型的设备，进行历史性索引，更全面的得到可能受影响的资产清单或者其它线索。

威胁情报的使用场景远不止于此，这里只是简单的举了几个已经在使用的例子，希望更多的引起大家的兴趣，不止是关注威胁情报的建立，更关注如何产生更多的客户价值，也许从需求出发来建立威胁情报，才能保障它发挥更大的作用。

参考文献：http://www.jianshu.com/p/851c479b6915

更多精彩请长按下方二维码关注OneScorpion官方公众微信号

    关注 OneScorpion