IOC情報的使用
當前國內市場上,威脅情報最普遍的使用場景,就是利用IOC情報( Indicators of Compromise)進行日志檢測,發現內部被攻陷的主機等重要風險。這種情況下可以發現傳統安全產品無法發現的很多威脅,并且大多是成功的攻擊,對于安全運營有較大的幫助。這種場景看似簡單,就是日志數據和情報之間的匹配,其實并不是如此,個人在這幾年的工作中,對這個場景的認識有了多次轉變,現今看來可以小結為3個層次。
最初的時候,認為IOC情報匹配本身并不復雜,核心的問題是情報本身的質量(相關性、及時性、準確性、可指導響應的上下文),特別是上下文問題,非常重要,除了一般會考慮到的風險等級、可信度等信息外,還需要提供相關攻擊團伙和家族的攻擊目的、危害、技戰術等相關的內容,提供相關的遠控端是否活躍,是否已經被安全廠商接管等信息,以此響應團隊可以判定是否需要響應,哪個事件的優先級更高等。后續發現對于很多團隊缺乏事件響應經驗,理想情況下情報上下文最好能提供不同威脅的響應參考策略,這部分似乎也可以歸入到上下文中。這個層次暫且稱其為簡單匹配。
后來逐步發現IOC的匹配問題并不單純,針對不同的日志類型需要有專門的優化。典型的例子就是DNS日志或者防火墻的五元組日志,下面以DNS日志為例進行說明。DNS日志是進行IOC匹配比較理想的類型,因為有些遠控服務器當時可能不能解析,因此不會產生其它類型的應用層日志,但通過DNS活動就可以推斷對應的主機上已經運行了一個木馬或者蠕蟲病毒,甚或是APT攻擊。這個遠控的IOC形式可能是一個域名,這種情況就比較簡單;但如果是一個URL,這種情況下如何匹配就是一個相對復雜的事情,因為單純的DNS數據是不能精確判別是否出現失陷的,往往要引入一些參考的數據類別,并考慮企業對哪些威脅類型更加關注,這種情況下需要有更加復雜的匹配機制。這個層次可以稱其為高級匹配。
經過前兩個階段,對于大多數組織應該可以較好的使用威脅情報做檢測了。但從更高要求看,可能還會出現一些需要解決的問題,如日志中顯示的域名沒有直接的威脅情報命中,但是域名所在的主機其實已經明確是屬于某個網絡犯罪組織的,這種情況下如何產生報警;再如對一個郵件做詳細的分析判定,是需要從多個維度進行分析,其中會使用多個類型的威脅情報。解決這些問題不但需要有威脅情報及網絡基礎數據,還需要有相應的分析判定模型,這部分可以說在編排和自動化范圍內(SOAR),如果還需要有一個名字,不知智能化匹配是否合適。
簡單匹配、高級匹配、智能化匹配,這是基于過去對IOC使用情況思考的一個簡單總結。不能確定是否還會有更多的層次,但有一點可以肯定,隨著對威脅情報IOC使用的不斷探索,威脅情報在檢測過程的作用一定會越來越大。