情报驱动应急响应读书笔记2
2022-7-31 23:3:39 Author: OnionSec(查看原文) 阅读量:18 收藏

前言

上一篇文章提到了情报,仅仅只是简单的提及了术语中最重要的含义来便于理解。不过目前如果我们从事的是网络安全行业,那么接触的情报大部分情况下都属于威胁情报CTI,按照情报的来源又可以归属到SIGINT(信号情报)与OSINT(公开情报或称开源情报),接下来继续整理与思考威胁情报与现实网络安全相关的结合点。

情报与IOC

IOC顾名思义根据全称词汇理解为失陷指标,目前业界已经将其作为威胁情报的代名词,因为它的简单且利于使用所以非常流行,但如果轻易将IOC作为威胁情报的全部就属于理解偏差了,虽然大家一想起威胁情报便会不由自主想起有没有IOC可供利用或者威胁检测?这是自然的,因为IOC作为发现入侵痕迹的一种主要特征,是最常用的发现入侵行为的威胁情报之一,简单的东西往往能非常流行,但恰恰并不是威胁情报的全部。

情报的来源

情报的来源在上一篇文章中简单提及了可以从真实安全事件的调查与响应中获取,不过除了这种途径外,还可以利用蜜罐或者外部的论坛以及提供相关信息的网站获取(对于现在来说可以理解为一些提供威胁情报信息的站点,或者私密的信息交换论坛等),作为安全运营人员的优势是可以从安全产品异常日志或者告警日志中经过对数据的分析得出有价值的情报。请注意,这里又再次提及了数据不等于情报,数据只有经过处理分析输出后才有可能成为情报。

常用的模型

情报分析作为一门古老且带有艺术的学科,自然会有一些常用且经过锤炼的模型,而模型的出现与应用可以更好地理解和改进使用者的思维方式,并能更好地指导防御者的行动。安全行业经常使用的一个模型是OODA模型,这个可以简单描述一下,实际应用中比较好理解,其实就是使用一系列的流程分析最终达成目的的理想方法论。OODA模型是观察(Observe)、定位(Orient)、决策(Decide)、行动(Act)的缩写,作为防御者在观察阶段我们需要尽可能地多收集信息,而这些信息在后续阶段会帮助我们识别并发现攻击者痕迹,定位阶段则是利用上述收集的信息进行一定的处理将其产生上下文内容,也属于对信息的二次处理过程,决策阶段是指一旦发现相关入侵痕迹后,作为防御者我们的反应将如何?这个得根据当前环境与事件进行响应。最后的行动阶段就是对面临的安全事件做出的响应,响应的结果又有可能会促使我们再次回到观察阶段继续收集更多所需的信息,继续完成该循环直至到达防御者的目的。因此上述模型依然是一种理想情况下的模型,实际上在真实的安全事件响应中并不是只有一次OODA循环就结束了。我们反过来思考,对于攻击者来说也有类似的OODA循环指导他们的行动,例如入侵前期阶段也需要观察定位,最终发现缺陷便能定位直到决策阶段,最终如果入侵成功后则来到行为阶段。攻击者与防御者在OODA循环中不停循环直到相互交叉,如果其中某一方的循环速度比较慢(攻防双方不对称),则另一方就会占据上风,胜利的天平就会来到这一方,在整个OODA循环的使用与循环中,结合现实来看防御者无法阻止攻击者的不断入侵,所能做的只能说减缓攻击者的OODA循环速度,并让自己作为防御者的OODA循环进度加快,达成成功防御的目的。

情报周期

上述简单描述了第一个模型,接下来回到情报的内容,情报作为一种交付物同样也有相关的流程,因此也有相关的模型作为指导。


模型始终是模型,具体场景应用时不必完全照搬,其实通过上面的一个循环过程也能看出,对于情报交付物的输出其实都会经历这个过程,无法避免。首先我们一定要有方向,情报是为了解答某些问题或疑惑的,因此提出问题才是情报周期的开始,收集阶段和上述第一个模型类似,需要在这个阶段尽可能多收集相关信息,收集信息虽然看起来很容易,但是并不是随便收集,收集也需要进行甄选,我们需要收集最需要的信息。收集能力也是安全人员在情报周期里非常重要的能力。举个例子我们一般都会收集公开的报告和恶意软件以及漏洞相关的战术级别信息,同时也会收集有关对攻击者整体分析以及一些深度分析的报告,这类属于战略级别信息。信息收集只是一个过程,在上面这些信息收集过程中,我们一定要做好相关的上下文信息,例如做好来源信息标注,这是非常重要的一点,其实业界普遍的威胁情报里上下文信息是非常重要的,例如当前恶意域名是否有效?当前IP资产是否还是恶意的?这些问题是非常重要的,对于IOC这种经常用于发现入侵痕迹的方式来说,如若对情报的前期分析存在偏差,极易在后续的真实场景应用中存在误报问题,虽然误报问题是无法避免的,这是大家的共识,但是低级的误报问题是不应该出现的。因为单一来源的信息不足以去判定相关情报的真实性,且情报是会失效的,在比较长的时间范围内,上下文信息是作为一种情报分析的补充且可以用于佐证而提供的。

经过上述收集过程中,已经有了大量的数据,这些数据需要被处理才能应用于下一阶段,常规的做法是格式化处理,只有格式化结构的数据才能被程序等自动化处理,如今是信息时代也是数据大爆炸的时代,同样如若不对其进行索引,则数据将无法有效搜索并利用。上述信息处理完成后,来到分析阶段,分析的过程则是要回到最初在方向阶段提出的问题,由于情报的交付物的结论无法做到100%准确,因此需要输出一个可信度值,这个是需要进行理解并体会的,笔者在这个方面吃过一点亏,得出了一点点假旗结论。虽然计算机行业构建在逻辑缜密的架构上,但是情报作为古老的学科却无法做到每次都有100%准确的结论,最后一个比较重要的一点是所有的情报分析都将由人工完成,如果是由程序自动化完成的,那只能称为一种数据处理。在传播阶段,情报交付物是为了解答问题而出现的,因此最终需要交付给所需的人群。隔行如隔山,我们要站在所需人的角度去进行交付,这样才能发挥情报最终的价值,让受众提出的问题得到解答。反馈其实是日常生活或者工作中无法回避的过程,这是因为只有反馈才能得知最终交付物是否有帮助是否解决了受众提出的相关问题,经过反馈可以弥补上述阶段里不完善的细节以及做法,让下一份交付物更好地回答所需人群的问题或疑惑。

举一个例子

我们如何发现活跃的针对性攻击背后组织的其余入侵活动?

1、方向阶段提出的问题便是上面的问题,“如何发现特定黑客组织的入侵活动?”

2、收集阶段需要收集最原始的有关该组织的相关报告文章以及内部材料,如果有相关IOC信息就可以再次将IOC信息进行扩展关联收集更多的IOC信息,这里就会涉及到目前业界正在使用的相关信息类别,除了上述提及的IOC信息外,针对TTP情报我们也需要收集,TTP情报指的是攻击者的战术、技术和攻击过程。

3、处理时需要将上述收集的所有信息进行简单归类后入库,这个根据内部的工作流程不同而存在差别,最终的目的其实就是如何更好地存储并能后续利用起来。

4、分析阶段就需要利用收集的信息来回答上面提出的问题,“如何发现特定黑客组织的入侵活动?”攻击者经常攻击的目标有什么共性?攻击者在入侵活动中攻击手法存在什么共性?攻击者偏爱使用哪种攻击手法?攻击者是否有独有的相关恶意文件?我们如何利用公开的信息来检测或防御特定黑客组织的入侵活动等等?这些需要回答的问题有可能解决如何发现特定黑客组织的入侵活动。

5、传播阶段实质是发现入侵痕迹后有较大把握确定属于特定黑客组织的入侵活动后的整个事件调查结束后的交付物,完成这个阶段可以给整个事件定性且为受众带来新的防御提升的建议或者促进整个行业应对该类黑客组织的协同防御能力的发展。

6、反馈阶段则是在安全事件结束后的时间里不同受众的需求以及相关其余问题的解答,如果无法解答相关问题则还需要再次回到方向阶段继续相关流程直至能解答相关问题或者解惑受众提出的问题。

经过对数据的分析处理并能解决受众的相关问题后便输出了情报交付物,作为一种可见的交付物自然就存在质量优劣的属性。

如何提供有价值的情报呢?

这是一个比较有挑战的问题,情报分析的质量依赖收集来源与分析,因此掌握适当的方法论也能为情报的质量进行助力。收集方法的不同会影响收集的信息的可信度,例如收集扫描流量与收集内部网络的异常行为因为区域的不同会存在不同的信息质量,收集信息时需要注意一定要有上下文信息作为纪录,数据中可用的上下文越多,后续的情报分析得出结论就越容易,在分析结论的最后阶段不可避免会存在误报(假旗)问题,这是无法回避的。因为从心理学角度来看,作为人,大家都有偏见,偏见一定程度会影响情报分析的最终结论,所以如何尽可能避免分析时产生的偏见也是确保情报结论比较严谨的一环。关于分析偏见笔者之前读过一本情报相关的书籍《情报分析心理学》,里面比较详细地分析了偏见是如何产生的,如何才能利用比较科学的方法去避免存在偏见,这里就不再详细叙述了,有兴趣的读者可以自行阅读该书。

情报的其他表现

情报作为一种交付物或者说是一种文字出版物,在内容上自然会有不同级别的表现,例如高度具体的战术级情报到运营支撑的作业级情报最终到非常通用的战略级情报。战术情报能使防御者直接对面临的威胁作出反应,作业情报包括攻击者的行动信息和高阶TTP信息,也可能包括有关特定黑客组织的特点、能力和意图等信息,这块比战术情报会抽象一些,因此更多地与安全分析人员在追踪针对性攻击中采用并帮助认识背后的攻击者并评估威胁造成的最终影响有关。战略情报更抽象,这块与企业内部安全架构建设或者整体安全防御体系的关系比较密切,站的角度会比上述两个情报类别要高,可能不仅仅是防御存在针对性攻击痕迹的黑客组织的入侵活动。

情报是一个存在艺术的方向,艺术给人的感觉就有点没法用特定的标准去衡量,所以情报的结论由于客观原因谁也无法保证100%准确无误,所以如果在情报交付物中使用约定俗成的置信度词汇可一定程度增强交付物的严谨与专业性,于是我们可以在国内外相关的威胁分析报告中看到“疑似”、“中等置信度”、“较高置信度”等等这类词汇的出现,但是从目前笔者接触的一些案例与威胁分析报告后看到了不少安全人员会存在将低置信度的结论进行自己结论的前置引用错当成正确的结论并加以传播,最终导致后续的结论存在偏差,脱离了最初设定该类置信度词汇的初衷,不过这也没办法,攻击者在暗处防御者在明处,防御者短时间内无法全面了解背后的攻击者。

并未结束

由于一本书的内容很多,这里就摘了一小部分想法加上自己的理解与实践整理成文属于第二部分内容,后续将会有时间继续纪录整理笔记一一输出。


文章来源: http://mp.weixin.qq.com/s?__biz=MzUyMTUwMzI3Ng==&mid=2247484577&idx=1&sn=fd67e1b77355f74552b6a0b09f705c88&chksm=f9db53e2ceacdaf4b5f8be0f1fb066095e656fa287e805addc15225e4a85922f5ea96bde0d20#rd
如有侵权请联系:admin#unsafe.sh