网络威胁情报入门指南
1.什么是 CTI?
CTI 或网络威胁情报本质上是一个持续收集情报的过程,以防止任何可能的威胁。对于已建立结构化网络安全环境(包括红队、安全运营中心(又名 SOC)、VAPT 和 WAPT)的组织来说,它是一种力量倍增器,可帮助他们检测和应对复杂、高级、持续的威胁。
2.CTI 对组织有何帮助?
CTI 作为网络安全的一部分,可帮助组织做好攻击准备并抵御组织外围级别的攻击。
在最近观察到的攻击趋势中,威胁组织为了危害组织而使用的攻击媒介变得非常动态,它不再是 IOC 的游戏,其中重复使用威胁参与者可用的有限基础设施来利用不同的公司,今天, IOC 可以很快更改并且很难监控。
例如,DGA(域生成算法)是一种命令与控制子技术,是一种移动技术,用于通过自定义程序/子程序生成恶意软件使用的域,可以使用随机域(如基于时间的域)构建。
针对此类技术,除了 IOC 之外,威胁情报还与MITRE ATT&CK和D3F3ND等框架一起工作,这些框架不仅关注容易变化的 IOC,还关注 TTP(战术、技术和程序),其中包括常见的技术和战术在更广泛的层面上发挥作用,而且这些不能经常改变。
网络威胁情报的类型
1.战术威胁情报
这种类型的情报本质上是技术性的,主要关注妥协指标(IOC)。这些构成了 IP 地址、哈希值、域和 URL。此类数据通常通过 STIX/TAXII 等预定义协议在公司之间共享,许多公司现在正在实施一种名为 CACAO(协作自动化行动过程)的新标准。该数据的受众主要是 SOC 分析师、SIEM 管理员、防火墙、EDR 和 IDS/IPS 实施者,以阻止各自技术的 IOC。
2.运营情报
顾名思义,运营情报侧重于威胁行为者的运作方式,这些方式被构造和定义为 TTP。TTP 是特定威胁参与者或威胁组运作的不太经常改变的方式。例如,APT28 是由俄罗斯军事情报部门运营的国家赞助组织。该小组主要使用访问令牌操纵、帐户操纵、密码喷洒、命令和脚本解释器等技术。
这些技术不易更改,因此根据此类技术实施安全性提供了更好的机会来保护环境免受威胁组的侵害。这种情报主要被威胁猎手、SOC分析师、漏洞管理团队用来识别和修补漏洞。
3.战略情报
这种类型的情报主要是为高级受众定义的,他们制定政策、进行调查并管理通用世界中可能会或可能不会发生的各种场景,然后关联它们对组织安全态势的影响。
例如,俄乌战争的地缘政治状况导致双方的网络战加剧,能源部门等关键部门成为攻击目标。对于此类场景,OT 安全和保护基于 IoT 的组件对此类公司而言变得非常重要。
4.品牌保护
除了保护组织免受此类威胁外,定期监控品牌声誉也非常重要,这也包含在威胁情报中。在品牌保护下,组织授权的供应商和分支机构寻找与组织相关的任何敏感信息,这些信息在网上可用时可能会被威胁行为者恶意使用。
从暗网的角度来看,它可用于监控暗网上的任何讨论、危害组织的声明,以及为获得对组织的初始访问权而在封闭电路中进行的讨论。
这种监控不仅包括表层网络,还包括深网和暗网。本质上,可以通过以下监控来识别任何关键数据:
1.暗网和深网监控
2.数字风险监控
3.社交媒体监控
4.勒索软件泄漏监控
结论
随着攻击者开始采用更系统的方法,使有组织的网络犯罪成为威胁,当今动态对网络威胁情报的需求与日俱增。攻击者变得更加顽固,导致攻击持续时间更长,任何公开暴露公司的敏感数据都会导致从 DDOS 攻击到凭证暴露等各种攻击。