2023-3-31 19:26:10 Author: Desync InfoSec(查看原文) 阅读量:15 收藏
这个章节的内容偏向于概念的定义和解释,所以干货为0.
网络威胁情报(Cyber Threat Intelligence)
分析所有需要的攻击者的意图、动机和攻击能力相关信息。所有分析需要聚焦于服务的客户,并且仅关注威胁相关信息。
攻击者或威胁(adversary/Threat)
可以是操作电脑发起攻击的任何个人、组织或政府。威胁是正在发生的入侵本身。
防守方必须先了解自己,才能更好地分析出针对性的威胁因素。如果不充分了解组织使用的软件、硬件、资产情况和业务运营目标,那么很难清晰地分析出组织真正面临的威胁。例如Windows出现了一个新的漏洞,仅影响Windows XP操作系统,而当前组织中均使用Windows 10操作系统,那么这个漏洞对于组织来说并不是威胁。
英国情报机构(GCHQ)有充足的动机对美国的情报机构产生重大威胁,但当它没有暴露出明确地意图时,还不能称之为威胁。
情报需求是一切情报工作的目标,JP 2-0定义的情报需求是:填补司令部或行动部队对于目标或作战环境认知的空白,就是情报需求。这样的描述太过军事化,因此我们定义的情报需求为:解决防守方对攻击方的认知差距。
情报需求必须简单,仅支持决策者的单一决策。情报团队需要关注特定事件、事实。避免出现“我们会受到攻击吗?”这样模糊的需求。最好的做法是在安全团队中将情报需求对齐,并对消费情报的团队公开情报需求。情报团队不能自己定义情报需求,因为情报团队不是情报的最终消费者。
所有的网络威胁情报都来自于入侵分析。入侵是指攻击者针对目标系统进行获取权限的成功或失败的攻击行为。无论成功还是失败的攻击行为,我们都可以采集这些信息进行分析。例如,攻击者失败的攻击手段在其他组织中可能也会出现,这些攻击手段意味着攻击者当前获取权限的主要方式。分析这些攻击手法有利于预测以后攻击者的攻击方式。
如果一个国家政权想要了解当前的威胁态势及其对于全球贸易协定的影响,他们可能需要分析成千上万次的入侵,来描绘当前的威胁态势以及攻击组织产生的潜在影响。
在后续文章中我们将深入讨论攻击组织与钻石模型。确认唯一的攻击组织时我们必须确认攻击者的目标受害者和攻击基础设施,例如我们发现一些针对新加坡零售业的攻击,并且这些攻击来自于相同的C2服务器。这时我们可以将这些攻击行为归因到一个攻击组织。当受害者与C2基础设施均发生变化时,我们将这些攻击归因到另外的攻击组织。
攻击者(Threat Actor)
在单一或多个入侵事件中唯一标识出的个人、团伙或组织。
经过多年发展,攻击者已经有多种分类,例如:单纯的黑客攻击、军队、情报组织、网络犯罪团伙等。
攻击活动或行动(campaign/operation)
为了实现最终的攻击目标,攻击组织会发起多次入侵行为,这些入侵行为构成了攻击活动。少数几次入侵行为并不能称之为攻击活动,因为少数的入侵行动很难总结出攻击组织的明显意图和特征。并且单次入侵的分析容易带有分析师的主观判断。
TLP协议(Traffic Light Protocol)
将信息共享进行标准化,它使用白色、绿色、琥珀色和红色作为标语来标识可以将信息共享给谁。
颜色 | 何时使用 | 共享范围 |
红色 | 对其他组织并不相关,并且数据一旦泄漏会对组织的经营、声誉和隐私产生影响 | 禁止共享数据 |
琥珀色 | 数据可以在组织内部共享,并且数据一旦泄漏会对组织的经营、声誉和隐私产生影响 | 只共享必要信息 |
绿色 | 数据可以在组织和同行业其他组织间共享 | 在行业内共享,但是不进行公开 |
白色 | 数据公开对组织没有影响 | 数据可以不受限制地共享,但是具有版权约束 |
入侵指标(Indicator)
indicator=data+context
入侵指标即描述入侵中的数据+相关的上下文信息,例如:51.11.247.89 C2节点,这是一条入侵指标
入侵指标的生命周期描述了情报如何生产、使用的具体过程。入侵指标是目前让人最有实感的网络威胁情报。但我们必须要先产生一些情报,才能够发现更多的情报。因此入侵指标的生命周期第一阶段就是获取情报或生产情报。我们可以从组织过往的入侵报告中分析出入侵指标,或使用同行业或已公开的共享情报。
当我们拥有情报后我们开始使用它,这就是入侵指标的生命周期第二阶段:消费情报。
在我们消费和使用入侵指标的过程中,我们发现了一些失陷主机或某些入侵指标已经过期,这时命中或过期的入侵指标就处于第三阶段:成熟情报。
但是在我们消费情报时,会遇到两个问题。第一,在其他环境有效的情报,在当前组织中未必有效。第二,在数据量非常大的环境中,自动化进行情报匹配是非常困难的。
如有侵权请联系:admin#unsafe.sh