在组织中我们建议情报的生产与情报的消费由两个不同的团队完成。情报生产侧重于从入侵事件中提取信息,利用击杀链、钻石模型等方法分析数据并产生情报。而情报消费则是作为防护者使用情报进行检测和防护。负责消费情报的团队必须熟悉情报的信息和组织的网络环境。一般情报消费会使用在边界防护设备(防火墙、IPS、WAF)、防病毒软件和安全运营中心等使用。
网络安全滑动标尺是Dragos公司创始人Robert.M.Lee在2015年7月发表的一篇文章。网络安全滑动标尺更像是一种学习工具而非一种模型。它从左到右分为五个阶段:架构安全、被动防御、主动防御、威胁情报和反制。此处我们认为消费情报属于主动防御阶段,而生产情报数据威胁情报阶段。
消费情报最终是为了推动企业变革,威胁情报团队应该尽可能地推动企业的安全能力向标尺右侧滑行。每次企业遭受入侵,都应该从中总结经验教训,这些经验帮助企业更好地进行安全架构,从被动防御变为主动防御。
反制中的情报消费(Offense)
反制是威胁情报的下一个阶段,反制活动需要情报的支持,以保证反制过程目标的正确性。反制比人们想象的要难得多,我们不仅需要分析攻击者,还需要尝试出攻击者的密码,登录攻击者的服务器。大部分的反制成功都是利用漏洞完成的。与此同时我们在防护设备上更新攻击者的信息以防止恶意软件传播或远程控制活动。很少有组织会进行反制行为,因为反制的成本很高而回报率极低。
威胁情报中的情报消费(Intelligence)
在红蓝对抗或威胁狩猎的过程中都会消费情报,在红蓝对抗的过程中,红队会使用当前攻击组织最常见的攻击技战术来验证组织的检测能力;基于假设的威胁狩猎中既需要消费情报,也可能产生新的情报。
通过以上活动,可能会发现当前组织架构无法与现实攻击组织进行对抗,需要调整组织架构甚至重组安全团队。
主动防御中的情报消费(Active Defense)
在主动防御阶段中需要注意的是通过情报驱动防御,例如主动进行威胁狩猎活动时需要使用威胁情报。
被动防御中的情报消费(Passive Defense)
被动防御是传统防御工作中比重最大的部分,例如防病毒、EDR、IPS、SIEM等设备,在接入了威胁情报后,检测策略都变得更加灵活。尤其是当网络中只有静态工具(最典型的例子就是防火墙)时,通过接入威胁情报,也能具有一定的检测和防护能力。
架构安全中的情报消费(Architecture)
构建基础架构的各类资产都随时会被发现存在漏洞,在这个阶段我们需要掌握针对性的漏洞情报,帮助我们及时修复这些漏洞。
威胁情报分析师需要了解设备是如何完成威胁检测的。威胁检测目前可分为四类,配置分析、基线建模、入侵指标和猥亵行为。配置分析和基线建模是基于当前网络环境进行的,这需要对网络环境和资产非常熟悉,需要不断维护一个基线标准。来源于配置分析和基线建模的告警可能是真实威胁,也可能会造成误报。
入侵指标和威胁行为的检测是基于现有攻防知识产生的这种检测方式会产生大量的告警,且告警是具有上下文的,我们可以通过上下文分析告警并处理它。
从入侵指标检测到威胁行为分析
规则已经成为安全圈人人深恶痛绝的词语,但一些从复杂场景中提取出的规则或者基于攻击链的规则还是非常有价值的。
例如:
你不关心攻击者利用VPN发起攻击的IP【入侵指标】
你也不关心恶意软件的MD5值【入侵指标】
也不关心内部有恶意软件外联IP【入侵指标】
但是你关心有用户通过VPN链接到网络中、复制文件并横向移动访问其他系统的行为【威胁行为分析】
我们应该结合入侵指标和从以往入侵案例中分析出的攻击行为,并且根据这些来分析现在网络中的用户行为,这样我们可以发现潜在的新的恶意活动,甚至未触发告警的入侵行为。
行为分析可以很简单,例如:将程序放置在TEMP目录下并进行权限提升的行为都有可能是恶意软件;真正的威胁分析不应该依靠单个的入侵指标,而是应该是从这些可疑行为开始,扩展出其他的行为调查。形成工作流。
对情报进行分类的方法之一是痛苦金字塔,这个模型展示了不同的情报检测会使攻击者产生不同程度的痛苦。