随着攻击面不断扩大和威胁的日益复杂。对于安全行业的人员来说,仅仅对攻击事件做出相应的应激反应是不够的。日益复杂的环境为攻击者提供了多种攻击机会。由于每个行业和组织都有自己独特的数据保护需要,并使用和自己需求匹配的一套安全应用程序、安全技术等。不过,从另一个侧面来讲,使用的安防手段越复杂,攻击面也就越多,所有这些都为新的攻击方法引入了大量的新变量,这也是攻击事件层出不穷的另一个原因。
在过去几年中,我们观察到攻击事件正在和其原始的开发组织之间的关联关系变得越来越远。以前只被少数组织利用的攻击方法和工具,由于黑市产业链的形成,已经非常普及了。再加上网络技术的门槛越来越低,对攻击技术的改进速度也是非常的快。这意味着,就算你发现了攻击,也无法从根源上去铲除其背后的组织和利益方。以影子经纪人组织(Shadow Brokers group)为例,2016年,一伙叫做“影子经纪人”神秘黑客组织成功黑掉了“方程式小组”,并使大量“方程式小组”的黑客工具大量泄漏。之后,“影子经纪人”不仅免费向所有人泄露了其中部分黑客工具和数据。还宣称将通过互联网拍卖所获取的这些“最好的文件”,如果他们收到100万个比特币,就会公布更多工具和数据。 据CNET报道,如果没有黑客组织Shadow Brokers(影子经纪人),勒索病毒WannaCry的影响力绝不会像现在那样遍布全球。
另一个例子是高级持续威胁(APT)活动的出现,其重点不是网络间谍活动,而是通过窃取资金,为APT集团参与的其他活动提供资金。应该说,这样的例子不胜枚举。
成功的防御需要新的方法和思路
随着企业越来越多地成为先进和有针对性攻击的受害者,很明显,成功的防御需要新的方法和思路。为了保护自己,企业需要采取积极主动的方法,不断调整其安全控制策略以适应不断变化的威胁环境。因此,跟上这些变化的唯一方法是建立一个有效的威胁情报计划。
威胁情报指在为面临威胁的资产主体(通常为资产所属企业或机构)提供全面的、准确的、与其相关的、并且能够执行和决策的知识和信息。
根据Gartner对威胁情报的定义,威胁情报是某种基于证据的知识,包括上下文、机制、标示、含义和能够执行的建议,这些知识与资产所面临已有的或酝酿中的威胁或危害相关,可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持。业内大多数所说的威胁情报可以认为是狭义的威胁情报,其主要内容为用于识别和检测威胁的失陷标识,如文件HASH、IP、域名、程序运行路径、注册表项等,以及相关的归属标签。
威胁情报已经成为各个行业和地区的不同规模公司建立的安全行动的一个关键组成部分。威胁情报以人类可读和机器可读的格式提供,可以在整个事件管理周期内为安全团队提供有意义的信息,并为战略决策提供信息。
以中国为例,2017年9月,由启明星辰、天融信、卫士通、华为、安天、360、山石网科、安恒、众人科技、格尔软件、立思辰、飞天诚信等多家中国网络安全行业领军企业,发起了“威胁与攻击情报交换共享联盟”(简称“威胁情报交换共享联盟”)。
然而,对外部威胁情报日益增长的需求,已经产生了大量威胁情报供应商,每个供应商都提供许多不同的服务。随着网络安全市场的公司越来越多,每个公司都号称自己的解决方案独一无二,这可能会使为你的组织选择在作出正确的选择时,变得无从抉择。
不针对企业具体情况而定制的威胁情报可能会加剧问题,如今,在许多公司中,安全分析师花费超过一半的时间来排除筛选假阳性,而不是主动寻找和应对威胁,这导致检测时间显著增加。向你的安全操作提供不相关或不准确的情报将使错误警报的数量进一步增加,并对你的响应能力,以及你公司的整体安全产生严重的负面影响。
选择最符合你的威胁情报来源
那么,你如何评估众多的威胁情报来源,怎样确定哪些与你的组织最相关,并有效地实施它们?几乎每个供应商都声称自己的方案是最好的,那你如何辨别它们呢?
对于这些问题,我的答案是这些问题都不是问题,因为最有价值的情报就来源于你自己公司网络内。市面上的那些公司,都是第三方,对自己公司网络最了解的还是自己。
来自入侵检测和预防系统、防火墙、应用程序日志和其他来自安全控制的日志的数据可以揭示公司网络中发生的许多事情。这些情报可以识别特定于组织的恶意活动模式,也可以区分普通用户和网络行为,帮助维护数据访问活动的踪迹,识别需要预防的潜在数据漏洞等。有了这些情报,公司就可以对外部公司提供的威胁情报进行有目的的判断,并将其与内部观察到的情况联系起来。否则,盲目利用外部资源可能是困难的。事实上,一些供应商可能对网络威胁情报的搜集要远远好于某些安全网络公司,因为它们的产品遍及全球,会从世界不同地区收集、处理和关联数据,但只有在有足够的内部环境中才有用。
像攻击者一样思考问题
为了构建有效的威胁情报计划,公司(包括已建立安全运营中心的公司)必须像攻击者一样思考问题,识别和保护最有可能的攻击目标。从威胁情报程序中获得真正的价值需要非常清楚地了解什么是关键资产,以及哪些数据集和业务流程对于实现组织的目标至关重要。通过识别这些“王冠上的宝石”,公司可以在它们周围建立有针对性的情报收集点,进一步将收集到的数据与外部可用的威胁信息进行对比分析。考虑到信息安全部门通常拥有的分析工具和资源都有限,对整个组织进行剖析是一项艰巨的任务。因此,高效的解决方案是采取基于关键目标的防护策略,比如,首先关注最易受影响的目标。
一旦确定了内部威胁情报来源并将其作为使用外部策略的参考依据,公司就可以开始考虑将合适的外部工具添加到现有安全工作流程中。
注意,外部威胁情报来源的信任度也各不相同:
1.开放源码是免费的,但是它们常常缺少使用背景,并且返回大量的误报。
2.要有一个有针对性的情报收集途径,可以访问特定行业的情报共享社区,比如金融服务信息共享与分析中心(FS-ISAC)。这些社区会提供非常有价值的信息,不过要想办法成为会员才行。
3.商业威胁情报来源要可靠得多,尽管购买访问它们的权限可能会很昂贵。
外部威胁情报来源的选择应以质重为第一选择原则。一些组织可能会认为,选择的外部情报工具和途径越多,他们能整合的威胁情报来源越多,就能获得更好的情报。应该说在某些情况下,这可能是正确的。例如,当来源(包括商业来源)高度可信时,提供针对组织的特定威胁配置文件定制的威胁情报才有效。否则,它会让公司陷入被误导的重大风险。
不过通常情况下,不同的专业威胁情报供应商提供的重复性信息可能非常小。由于他们的情报来源和收集方法各不相同,所以他们各自提供的见解在某些方面都是不一样的。例如,在某个特定区域具有重要影响力的供应商将提供关于该区域发出的威胁的更多细节,而另一个供应商将提供关于特定类型威胁的更多细节。应该说,同时获得这两方面的情报可能是最好的选择,因为一个是宏观的,另一个是细节的。如果把它们结合起来使用,可能有助于分析出一个更有针对性的情报策略,并指导更有效的情报搜索和事件响应。但请记住,这些可靠的来源还需要仔细的事先评估,以确保它们提供的情报适合你的组织的特定需求和用例,例如安全操作、事件响应、风险管理、漏洞管理等。
评估商业威胁情报产品时需要考虑的问题
目前评估各种商业威胁情报产品仍然没有共同的标准,但在评估时要牢记以下几点:
1.寻找具有全球情报搜集能力的情报机构,因为攻击没有边界,针对拉丁美洲公司的攻击可以从欧洲发起,反之亦然。供应商是否在全球范围内收集信息,并将看似无关的活动整理成有价值的信息?这种能力至关重要。
2. 如果你正在寻找更具战略性的组织来为公司的长期安全计划提供情报,则这些组织必须具有以下能力:
· 能将攻击趋势用图像呈现出来;
· 攻击者使用的技术和方法要有独创性;
· 该组织成立的目的和动机,是为了帮助客户更好的服务还是有其他目的。
3.寻找一个有可靠的威胁情报提供商,不断发现和调查你所在地区或行业的威胁情况,情报提供商根据公司的具体情况调整其研究能力的能力也很重要。
4.根据公司的需要和所在环境,提取有针对性的情报,没有有针对性的情报是没有什么价值的。例如,从与检测到的IP地址相关联的域或从中下载特定文件的URL中找到的情报,才能让安全人员作出具体的应对之策。
5. 假设你的公司已经有一些安全控制措施,并定义了相关的流程,那么对于你来说,使用已经使用和了解的工具来让外部威胁情报更有价值,才是最重要的。因此,将外部威胁情报顺利集成到现有安全操作中,是非常重要的。
