大话威胁情报——如何集成威胁情报，建立情报驱动的智能安全防御体系

威胁情报（ThreatIntelligence）是近几年才流行起来的词，我们也逐渐理解和接受了威胁情报的概念...



威胁情报（ThreatIntelligence）是近几年才流行起来的词，其流行和当前信息安全防护体系的不足有很大的关系：

•      1.现今的攻击技术和手段更新的太快了，传统的基于特征的防御手段已经难以应对；

•      2.安全人员难以从海量的安全事件中发现真正的攻击行为，IDS、SOC等传统安全产品的使用效率过于低下；

•      3.不同组织之间、不同厂商的安全设备之间的漏洞、威胁、安全事件等信息不通用，不利于安全情报信息的共享；

•      4.各种APT攻击迫使企业的安全防御系统不能再孤立的去看待一个单一的安全事件，而应该主动的积极的进行关联分析，以预测潜在的甚至正在发生的更大规模的攻击。

由于威胁情报包含了能描述威胁的大部分信息，包括攻击者的战略、技术和手段(TTPs)，以及攻击者的组织，历史上发动过的攻击行为，甚至使用过的0day漏洞等。它能帮助关联攻击行为，识别攻击者的攻击动机以及整体能力，威胁情报可以很好的帮助我们解决信息安全防护体系不足的问题。但是对于一个企业或者组织，如何集成威胁情报，如何建立一个智能的、情报驱动的安全运营中心(Intelligence-Driven SOC)，仍然是一个比较复杂的问题，并且缺少可供实践的指南。

一个完整的威胁情报的使用主要包括以下几个环节：



评估和准备

评估主要是指对企业的资产和角色做风险和威胁评估，OWASP（Open Web Application Security Project）有关于风险模型的详细资料，可供参考。

准备主要包括两部分，一是人员，二是技术。从人员上讲，企业应为威胁情报建立独立的安全团队，并将威胁情报作为重要的一环融入到已有的安全体系中，这样才能作出及时、正确的响应，发挥威胁情报的价值。安全团队要有最基本的恶意代码分析能力、调查取证能力，他们主要负责情报数据的收集、管理、分析以及发布，对威胁进行评估，以及和组织内部的其他安全团队的协作沟通。技术方面，企业应该重新梳理整体的技术脉络，这包括：原始数据的收集、威胁情报的收集和分析、情报数据的应用、以及整个安全处理流程的高度自动化。

数据采集

日志数据的质量以及覆盖的范围将直接影响到威胁情报的使用效果，企业应该从战略上通过部署网络设备或者终端Agent来尽可能的提高数据的质量和覆盖范围。比如一些高级的恶意程序会抹除系统日志或者隐藏网络通信，单独的从终端数据可能分析不出什么异常，这时必须结合网络设备或其他途径获取的数据进行补充。日志数据应该由一个统一的日志系统（比如SIEM）进行集中存储，以方便进行全量数据查询和分析。

数据采集主要包括网络数据采集和主机数据采集两类。



主机数据可以通过部署终端Agent来进行采集，终端Agent可以提供非常细粒度的系统活动记录，这主要包括：



和网络数据采集类似，终端Agent向SIEM系统发送日志信息，SIEM再将这些数据聚合存储，利用威胁情报分析恶意活动。在发现入侵行为后，还可以采集内存数据进行取证分析，查找恶意软件的踪迹。

订阅威胁情报

不同的的威胁情报源覆盖的范围不同，一种威胁情报源可能不足以满足企业的情报需求，因此，企业要评估不同的威胁情报源，同时订阅多种威胁情报，以保证收集到的威胁情报的覆盖面尽可能大。不同类型的威胁情报源介绍请参照下表：



由于不同的威胁情报源侧重点也不一样，企业需要评估采用哪个威胁情报源，在评估的过程中需要考虑以下几点：



威胁情报的应用

威胁情报可以用于丰富原始数据、检测和阻断入侵，以及为攻击事件提供上下文情境分析。

典型的应用场景包括：



威胁情报的分析

企业应安排专业的安全团队对威胁情报进行分析，提取和自身高度相关的情报数据（比如行业相关、地域相关）。情报分析主要分为响应式和主动式两种。

响应式情报分析，简单来讲就是由安全事件驱动的，在发生安全事件时，分析人员主动跟进，收集入侵的相关指标，这些指标可以结合威胁情报来查找相关联的其他攻击活动。

主动式的情报分析是任务驱动的，主动分析和查找与自身相关的威胁，主动式分析的一种常见场景就是态势感知。

在威胁情报分析中，通常使用攻击模型来约束和明确分析流程，经常使用的模型有杀伤链模型和钻石模型。

杀伤链模型 (Cyber Kill Chain)

杀伤链模型有助于分析人员更好的了解攻击者以及他们的攻击手段和攻击策略。

钻石模型(Diamond Model)

该模型包括4个要素：

•           攻击者：即谁发起的攻击；

•           技术能力：实施攻击所使用的攻击技术，比如TTPs；

•           基础设施： 用于进行控制的C&C服务器，或者用于接收窃取数据的服务器；

•           受害者：被攻击目标；

任何一个攻击事件都可以概括为这几个要素，即：攻击者使用了什么攻击技术，通过哪些基础设施，攻击了哪个受害者。这样就可以将攻击事件进行归类，比如说在不知道攻击者身份的情况下，使用相同的基础设施和攻击技术的攻击事件都可以为一类。参见下图：



情报共享和协作

通过和其他威胁情报组织机构建立合作关系，实现威胁情报的共享，可以获得更多更全面的威胁情报信息，从而建立起更加完善的安全防御体系。

参考文献：

https://www.cpni.gov.uk/Documents/Publications/2015/11-jUNE-2015-CONTEXT_CPNI_Threat_Intelligence_FINAL.pdf

http://www.sec-un.org/construction-and-application-of-information-system-security-threats-ppt.html

http://www.sec-un.org/gartner-soc-of-intelligent-intelligence-driven-five-features.html

更多精彩请长按下方二维码关注OneScorpion官方公众微信号

    关注 OneScorpion