官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
工作背景
业界普遍认为公开发布有关威胁的各种分析报告,可以迫使攻击者更换新的攻击基础设施与攻击技术,以此可以消耗相应的攻击资源。也有一些研究指出,公开披露并未能真的阻止任何攻击者停止行动,只能让攻击者的攻击手法更加老练。
工作设计
研究采用两家头部威胁情报公司的可信数据源:
- 公司1:一年内提供1200万条IOC(IP、域名与哈希均匀分布)
- 公司2:一年内提供2.24亿条IOC(主要为哈希值)
数据范围涵盖多个政府网络2023年9月13日至2024年9月2日的真实网络元数据日志。分析方法采用三步降噪:
- 仅使用厂商标记为"高可信度"的IOC
- 排除被GreyNoise标记为"良性扫描"的IOC
- 只保留最接近发布日期的命中
工作评估
- 共命中10.4亿条日志,显示SOC分析人员面临严重的告警疲劳问题
- 厂商1提供的恶意IP是命中数量最多的类别,24.8万个IP地址产生了海量告警
- 厂商2提供的哈希在网络流量日志上命中较少,更适合基于主机的检测方式
- 约20%的IOC生成了绝大多数命中日志,为避免数据淹没转为二值化表示
关键发现
- 命中高峰基本出现在IOC被披露前,表明分析确认过程导致情报下发延迟
- 仅19%的IOC在发布时仍被攻击者使用,多数IOC在下发时可能已失效
- 1.2%的IOC所有命中都发生在披露后,为客户提供了最大价值
- 厂商1披露IOC前30天是命中高峰,客户将错过大部分攻击活动
- 相比IP和哈希,域名的使用周期更长
研究思考
威胁情报披露的有效性存在以下问题:
- 高质量情报需要深入分析,导致最佳阻拦时机错失
- 当IOC披露时,攻击高峰往往已过,情报价值降低
- 高水平攻击者拥有大量备用基础设施,不易被IOC披露震慑
- 效果不佳可能导致美国网络司令部在VirusTotal上的信息共享频率下降
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf
客服小蜜蜂(微信:freebee1024)