威脅情報——認識情報
其實威脅情報這個概念早些年就已經產生了,但近年來,隨著安全領域的重視和快速發展,“威脅情報”一詞迅速出現在這個領域,如今,許多安全企業都在提供威脅情報服務,眾多企業的安全應急響應中心也開始接收威脅情報,并且越來越重視。
在這里,之所以說是結合個人理解與看法給情報一個概念而不是定義,是因為目前我們對威脅情報沒有一致定義,許多企業與機構對情報概念進行過表述,但目前我們常用的定義是2014年Gartner在《安全威脅情報服務市場指南》(Market Guide for Security Threat Intelligence Service)中提出,即:
威脅情報是一種基于證據的知識,包括了情境、機制、指標、影響和操作建議。威脅情報描述了現存的、或者是即將出現針對資產的威脅或危險,并可以用于通知主體針對相關威脅或危險采取某種響應。
我們同時也可以參考2015年Jon Friedman和Mark Bouchard在《網絡威脅情報權威指南》(Definitive Guide to Cyber Threat Intelligence)中所下的定義:
對敵方的情報,及其動機、企圖和方法進行收集、分析和傳播,幫助各個層面的安全和業務成員保護企業關鍵資產。
在我認為,威脅情報就是對企業產生潛在與非潛在危害的信息的集合。這些信息通常會幫助企業判斷當前發展現狀與趨勢,并可得出所面對的機遇和威脅,再提供相應的決策服務。簡而言之,對企業產生危害或者利益損失的信息,就可以稱之為威脅情報。
威脅是什么?威脅可能潛在地損害一個公司的運轉和持續發展。
威脅有三個核心要素構成:
意向:一種渴望達到的目的
能力:用來支持意向的資源
機會:適時地技術、手段和工具
通常來講,公司無法辨別威脅。企業經?;ㄙM太多錢在攻擊發生之后對漏洞的修補和調查問題上,而不打算在攻擊出現之前就修復它。
威脅情報是一種基于數據的,對組織即將面臨的攻擊進行預測的行動。預測(基于數據)將要來臨的的攻擊。威脅情報利用公開的可用資源,預測潛在的威脅,可以幫助你在防御方面做出更好的決策,威脅情報的利用可以得到以下好處:
采取積極地措施,而不是只能采取被動地措施,可以建立計劃來打擊當前和未來的威脅;
形成并組織一個安全預警機制,在攻擊到達前就已經知曉;
情報幫助提供更完善的安全事件響應方案;
使用網絡情報源來得到安全技術的最新進展,以阻止新出現的威脅;
對相關的危險進行調查,擁有更好的風險投資和收益分析;
尋找惡意IP地址、域名/網站、惡意軟件hash值、受害領域。
以往的企業防御和應對機制根據經驗構建防御策略、部署產品,無法應對還未發生以及未產生的攻擊行為。但是經驗無法完整的表達現在和未來的安全狀況,而且攻擊手法和工具變化多樣,防御永遠是在攻擊發生之后才產生的,而這個時候就需要調整防御策略來提前預知攻擊的發生,所以就有了威脅情報。通過對威脅情報的收集、處理可以實現較為精準的動態防御,在攻擊未發生之前就已經做好了防御策略。
2018年10月10日,我國正式發布威脅情報的國家標準——《信息安全技術網絡安全威脅信息格式規范Information security technology — Cyber security threat information format》(GB/T 36643-2018) ,成為國內第一個有關于威脅情報的標準。
然而國外的威脅信息共享標準已經有成熟且廣泛的應用。其中,美國聯邦系統安全控制建議(NIST 800-53)、美國聯邦網絡威脅信息共享指南(NIST 800-150)、STIX 結構化威脅表達式、CyboX 網絡可觀察表達式以及指標信息的可信自動化交換 TAXII 等都為國際間威脅情報的交流和分享題攻克可靠參考。而 STIX 和 TAXII 作為兩大標準,不僅得到了包括 IBM、思科、戴爾、大型金融機構以及美國國防部、國家安全局等主要安全行業機構的支持,還積累了大量實踐經驗,在實踐中不斷優化。在這里先對幾種常見的標準與規范進行簡單介紹,后面的文章我會針對這幾種規范進行詳細介紹。
結構化威脅信息表達式(Structured Threat Information eXpression,STIX)提供了基于標準XML的語法描述威脅情報的細節和威脅內容的方法。它支持使用CybOX格式去描述大部分其語法本身就能描述的內容,當然,它還支持其他格式。標準化將使安全研究人員交換威脅情報的效率和準確率大大提升,大大減少溝通中的誤解,還能自動化處理某些威脅情報。實踐證明,STIX規范可以描述威脅情報中多方面的特征,包括威脅因素,威脅活動,安全事故等。它極大程度利用DHS規范來指定各個STIX實體中包含的數據項的格式。
指標信息的可信自動化交換(Trusted Automated eXchange of Indicator Information,TAXII)提供安全的傳輸和威脅情報信息的交換。TAXII不只能傳輸TAXII格式的數據,實際上它還支持多種格式傳輸數據。當前的通常做法是用其來傳輸數據,用STIX來作情報描述。TAXII在標準化服務和信息交換的條款中定義了交換協議,可以支持多種共享模型,包括hub-and-spoke,peer-to-peer,subscription。它在提供了安全傳輸的同時,還無需考慮拓樸結構、信任問題、授權管理等策略,留給更高級別的協議和約定去考慮。
網絡可觀察表達式(Cyber Observable eXpression,CybOX)規范定義了一個表征計算機可觀察對象與網絡動態和實體的方法??捎^察對象包括文件,HTTP會話,X509證書,系統配置項等。這個規范提供了一套標準且支持擴展的語法,用來描述所有我們可以從計算系統和操作上觀察到的內容。在某些情況下,可觀察的對象可以作為判斷威脅的指標,比如Windows的RegistryKey。這種可觀察對象由于具有某個特定值,往往作為判斷威脅存在與否的指標。
標準從可觀測數據、攻擊指標、安全事件、攻擊活動、威脅主體、攻擊目標、攻擊方法、應對措施等八個組件進行描述,并將這些組件劃分為對象、方法和事件三個域,最終構建出一個完整的網絡安全威脅信息表達模型。其中:
威脅主體和攻擊目標構成攻擊者與受害者的關系,歸為對象域;
攻擊活動、安全事件、攻擊指標和可觀測數據則構成了完整的攻擊事件流程,歸為事件域;即有特定的經濟或政治目的、對信息系統進行滲透入侵,實現攻擊活動、造成安全事件;而防御方則使用網絡中可以觀測或測量到的數據或事件作為攻擊指標,識別出特定攻擊方法;
在攻擊事件中,攻擊方所使用的方法、技術和過程(TTP)構成攻擊方法,而防御方所采取的防護、檢測、響應、回復等行動構成了應對措施;二者一起歸為方法域。
如今,我們談論更多的是STIX,TAXII,CybOX這三個標準,其余的還有CPE、CCE、CCSS、CWE、CAPEC、MAEC、OVAL等等規范。所有這些標準規范的目標都是覆蓋更全面的安全通信領域,并使之成為一種標準化的東西。到目前為止沒有一個相關標準在國際上通用,但是其標準的制定推動威脅情報的發展,也希望我國發布的標準能盡快成為國內通用的規范。
在這里,引用綠盟科技博客中各個安全情報廠商的情報平臺白皮書的關鍵詞??梢钥吹饺缦氯壌笤~,其中信息為出現最多的大詞。
一級大詞:信息
二級大詞:情報、關聯、域名、IP和文件
三級大詞:查詢、惡意和威脅
對于威脅情報的分類,無論是國內國外,業界也有眾多定義,最為廣泛傳播是Gartner定義的,按照使用場景進行分類:以自動化檢測分析為主的戰術級情報、以安全響應分析為目的的運營級情報,以及指導整體安全投資策略的戰略級情報。關于分類,在這里簡單介紹企業間通用的幾個大類,后面會有文章單獨介紹從白帽子的角度,威脅情報可以有哪些類型。
運營級情報是給安全分析師或者說安全事件響應人員使用的,目的是對已知的重要安全事件做分析(報警確認、攻擊影響范圍、攻擊鏈以及攻擊目的、技戰術方法等)或者利用已知的攻擊者技戰術手法主動的查找攻擊相關線索。在運營級情報中,有最為常用的四種情報分類:基礎情報、威脅對象情報、IOC情報和事件情報。
簡而言之,基礎情報就是這個網絡對象(IP/Domain/email/SSL/文件)是什么,誰在使用它。具體到基礎數據則包含開放端口/服務、WHOIS/ASN、HASH、地理位置信息等。
威脅對象情報,相對于比較容易理解。此類情報指的是提供和威脅相關的對象信息,比如說IP地址、域名等等,簡單地說,就是提供犯罪分子的犯罪證據和記錄。
Indicator of compromise,意為威脅指示器,通常指的是在檢測或取證中,具有高置信度的威脅對象或特征信息。
事件情報則是綜合各種信息,結合相關描述,告訴運營者外部威脅概況和安全事件詳情,進而讓安全運營者對當前安全事件進行針對性防護。
戰術情報的作用主要是發現威脅事件以及對報警確認或優先級排序。常見的失陷檢測情報(CnC情報,即攻擊者控制被害主機所使用的遠程命令與控制服務器情報)、IP情報就屬于這個范疇,它們都是可機讀的情報,可以直接被設備使用,自動化的完成上述的安全工作。
戰略層面的威脅情報是給組織的安全管理者使用的,比如CSO。它能夠幫助決策者把握當前的安全態勢,在安全決策上更加有理有據。包括了什么樣的組織會進行攻擊,攻擊可能造成的危害有哪些,攻擊者的戰術能力和掌控的資源情況等,當然也會包括具體的攻擊實例。
情報不是越多越好,適合的情報才是實用的。
威脅數據和威脅信息有很多,準確無誤的才能稱作為威脅情報。數據是對客觀事物的數量、屬性、位置及其相互關系的抽象表示。信息是具有時效性的、有一定含義的、有邏輯的,有價值的數據集合。情報是運用相關知識對大量信息進行分析后產出的分析結果,可以用于判斷發展現狀與趨勢,并可進一步得出機遇和威脅,提供決策服務。
威脅情報的作用是為安全團隊提供相關信息并指導決策,如果情報不準確,不但沒有產生價值,反而會對組織的安全決策會造成負面影響。
舉例:前段時間華住酒店集團數據泄露并且售賣一事,紫豹科技第一時間發現了該動向,隨后警方介入調查,并成功在數據未成功售出之前抓捕嫌疑人。這里面,情報來源準確,才能促使威脅活動迅速結束蔓延。
威脅情報種類雜,應用場景復雜,不同的情報可能位于攻擊鏈的不同階段,不同的場景側重的是不同的攻擊者,不是所有的信息都是適用的,相關性較弱的情報會導致分析人員的繁重任務,并且會導致其他有效情報的時效性失效。
比如說,根據情報消息顯示,有黑客要對醫藥企業進行大面積攻擊,以獲取藥品研發數據來謀取利益。金融企業聽聞有黑客要大面積入侵并不知曉只是針對醫藥企業之后,立馬投入大量人力物力去研究分析情報,后來發現與自己毫無聯系。
在獲取情報之后,首先要了解針對行業或者業務范圍,盲目的去做不必要的事情,導致的是大量的損失,且耽擱了其余相關情報的分析。
威脅情報是信息的集合,凡是信息,都具有時效性。往往情報的有效時間會很短,攻擊者會為了隱藏自己的蹤跡不斷的更換一些特征信息,比如說IP地址、手法等等。
比如,某企業服務器一直被大量的cc攻擊,調取服務器日志,并且成功溯源到IP之后,企業發現無損失并未做處理。等企業發現有機密信息被竊取后再去處理,發現追蹤到的IP已經無效,這就錯過了情報的最佳時期。
多:威脅情報數據來源多,范圍廣。每天產生的情報數據可能就足夠讓分析人員疲憊不堪。所以找到有效的需要一個快速的處理過程。
雜:威脅情報種類繁瑣雜亂,應用場景復雜,不同的情報可能位于攻擊過程的不同階段,不同的場景側重的也可能是不同的攻擊者。
快:互聯網時代,信息產生速度快,相對于威脅情報更新快,如果沒有合適的自動處理模型,會導致前兩個問題,這就需要企業擁有快速處理情報的能力。
分析威脅時,我們可以從這樣的角度去分析:
發生哪種攻擊行為并且最壞的結果是什么?
如何預知和檢測攻擊行為?
如何識別與區分這些攻擊行為?
如何防御這些攻擊行為?
誰組織了攻擊行為?
想達到什么樣的目的?
用TTP三要素來衡量,能力是什么?
他們最可能針對什么進行攻擊?
過去他們的攻擊行為有哪些?
通過分析,可以更明確威脅活動的發生與經過,并及時進行調整防御策略,進行事件響應。
威脅情報標準的制定帶來了重大意義。有了通用模型做參考,業內對網絡安全威脅信息的描述就可以達到一致,進而提升威脅信息共享的效率和整體的網絡威脅態勢感知能力。
威脅情報為安全團隊提供了及時識別和應對攻擊的能力,提供了快速提高運營效率的手段。情報是可供決策的信息,實用化的威脅情報為安全決策提供了有價值的信息,獲得實用化情報固然重要,但一個高水平的安全團隊對于利用好這些情報,作出正確的決策是更重要的。威脅情報的出現,讓企業擁有了快速應對和響應安全事件的能力。情報即為信息,信息不一定是情報。把握好情報的利用,會對企業的業務與行業安全產生極大的推進作用。
威脅情報的出現和利用,使得防御者能比攻擊者更快地找到反擊措施,并且使攻擊者的入侵成本將會急劇上升??偠灾?,威脅情報的價值很多,但相關性才是最有價值的。