威脅情報專欄:談談我所理解的威脅情報——認識情報
前言:
其實威脅情報這個概念早些年就已經產生了,但近年來,隨著安全領域的重視和快速發展,“威脅情報”一詞迅速出現在這個領域,如今,許多安全企業都在提供威脅情報服務,眾多企業的安全應急響應中心也開始接收威脅情報,並且越來越重視。
這四個字,對各位讀者也許並不陌生。但究竟什麼才是威脅情報,它是什麼,它包含哪些方面,能做什麼,能帶來什麼利弊,可能很多人都不清楚。本系列文章主要從威脅情報的基礎與行業標準、技術方面進行科普,包含了概念、分類、應用場景、等等。在此之前,我也看過許多關於威脅情報的文章,在先知、綠盟、安全牛、微步線上、360等安全平臺和廠商,都有見到關於情報之談,大多數都是針對企業層次的情報應用與分析,很少有提及到威脅情報的入門,本系列文章借鑑相關報告與分析,結合個人理解與所學,寫下關於情報的系列文章。
一、基本概念:
在這裡,之所以說是結合個人理解與看法給情報一個概念而不是定義,是因為目前我們對威脅情報沒有一致定義,許多企業與機構對情報概念進行過表述,但目前我們常用的定義是2014年Gartner在《安全威脅情報服務市場指南》(Market Guide for Security Threat Intelligence Service)中提出,即:
威脅情報是一種基於證據的知識,包括了情境、機制、指標、影響和操作建議。威脅情報描述了現存的、或者是即將出現針對資產的威脅或危險,並可以用於通知主體針對相關威脅或危險採取某種響應。
我們同時也可以參考2015年Jon Friedman和Mark Bouchard在《網路威脅情報權威指南》(Definitive Guide to Cyber Threat Intelligence)中所下的定義:
對敵方的情報,及其動機、企圖和方法進行收集、分析和傳播,幫助各個層面的安全和業務成員保護企業關鍵資產。
在我認為,威脅情報就是對企業產生潛在與非潛在危害的資訊的集合。這些資訊通常會幫助企業判斷當前發展現狀與趨勢,並可得出所面對的機遇和威脅,再提供相應的決策服務。簡而言之,對企業產生危害或者利益損失的資訊,就可以稱之為威脅情報。
二、目的和意義
威脅是什麼?威脅可能潛在地損害一個公司的運轉和持續發展。
威脅有三個核心要素構成:
- 意向:一種渴望達到的目的
- 能力:用來支援意向的資源
- 機會:適時地技術、手段和工具
通常來講,公司無法辨別威脅。企業經常花費太多錢在攻擊發生之後對漏洞的修補和調查問題上,而不打算在攻擊出現之前就修復它。
威脅情報是一種基於資料的,對組織即將面臨的攻擊進行預測的行動。預測(基於資料)將要來臨的的攻擊。威脅情報利用公開的可用資源,預測潛在的威脅,可以幫助你在防禦方面做出更好的決策,威脅情報的利用可以得到以下好處:
- 採取積極地措施,而不是隻能採取被動地措施,可以建立計劃來打擊當前和未來的威脅;
- 形成並組織一個安全預警機制,在攻擊到達前就已經知曉;
- 情報幫助提供更完善的安全事件響應方案;
- 使用網路情報源來得到安全技術的最新進展,以阻止新出現的威脅;
- 對相關的危險進行調查,擁有更好的風險投資和收益分析;
- 尋找惡意IP地址、域名/網站、惡意軟體hash值、受害領域。
以往的企業防禦和應對機制根據經驗構建防禦策略、部署產品,無法應對還未發生以及未產生的攻擊行為。但是經驗無法完整的表達現在和未來的安全狀況,而且攻擊手法和工具變化多樣,防禦永遠是在攻擊發生之後才產生的,而這個時候就需要調整防禦策略來提前預知攻擊的發生,所以就有了威脅情報。通過對威脅情報的收集、處理可以實現較為精準的動態防禦,在攻擊未發生之前就已經做好了防禦策略。
三、行業標準和規範:
2018年10月10日,我國正式釋出威脅情報的國家標準——《資訊保安技術網路安全威脅資訊格式規範Information security technology — Cyber security threat information format》(GB/T 36643-2018) ,成為國內第一個有關於威脅情報的標準。
然而國外的威脅資訊共享標準已經有成熟且廣泛的應用。其中,美國聯邦系統安全控制建議(NIST 800-53)、美國聯邦網路威脅資訊共享之南(NIST 800-150)、STIX 結構化威脅表示式、CyboX 網路可觀察表示式以及指標資訊的可信自動化交換 TAXII 等都為國際間威脅情報的交流和分享題攻克可靠參考。而 STIX 和 TAXII 作為兩大標準,不僅得到了包括 IBM、思科、戴爾、大型金融機構以及美國國防部、國家安全域性等主要安全行業機構的支援,還積累了大量實踐經驗,在實踐中不斷優化。在這裡先對幾種常見的標準與規範進行簡單介紹,後面的文章我會針對這幾種規範進行詳細介紹。
結構化威脅資訊表示式(STIX)
結構化威脅資訊表示式(Structured Threat Information eXpression,STIX)提供了基於標準XML的語法描述威脅情報的細節和威脅內容的方法。它支援使用CybOX格式去描述大部分其語法本身就能描述的內容,當然,它還支援其他格式。標準化將使安全研究人員交換威脅情報的效率和準確率大大提升,大大減少溝通中的誤解,還能自動化處理某些威脅情報。實踐證明,STIX規範可以描述威脅情報中多方面的特徵,包括威脅因素,威脅活動,安全事故等。它極大程度利用DHS規範來指定各個STIX實體中包含的資料項的格式。
指標資訊的可信自動化交換(TAXII)
指標資訊的可信自動化交換(Trusted Automated eXchange of Indicator Information,TAXII)提供安全的傳輸和威脅情報資訊的交換。TAXII不只能傳輸TAXII格式的資料,實際上它還支援多種格式傳輸資料。當前的通常做法是用其來傳輸資料,用STIX來作情報描述。TAXII在標準化服務和資訊交換的條款中定義了交換協議,可以支援多種共享模型,包括hub-and-spoke,peer-to-peer,subscription。它在提供了安全傳輸的同時,還無需考慮拓樸結構、信任問題、授權管理等策略,留給更高級別的協議和約定去考慮。
網路可觀察表示式(CybOX)
網路可觀察表示式(Cyber Observable eXpression,CybOX)規範定義了一個表徵計算機可觀察物件與網路動態和實體的方法。可觀察物件包括檔案,HTTP會話,X509證書,系統配置項等。這個規範提供了一套標準且支援擴充套件的語法,用來描述所有我們可以從計算系統和操作上觀察到的內容。在某些情況下,可觀察的物件可以作為判斷威脅的指標,比如Windows的RegistryKey。這種可觀察物件由於具有某個特定值,往往作為判斷威脅存在與否的指標。
資訊保安技術網路安全威脅資訊格式規範
標準從可觀測資料、攻擊指標、安全事件、攻擊活動、威脅主體、攻擊目標、攻擊方法、應對措施等八個元件進行描述,並將這些元件劃分為物件、方法和事件三個域,最終構建出一個完整的網路安全威脅資訊表達模型。其中:
威脅主體和攻擊目標構成攻擊者與受害者的關係,歸為物件域;
攻擊活動、安全事件、攻擊指標和可觀測資料則構成了完整的攻擊事件流程,歸為事件域;即有特定的經濟或政治目的、對資訊系統進行滲透入侵,實現攻擊活動、造成安全事件;而防禦方則使用網路中可以觀測或測量到的資料或事件作為攻擊指標,識別出特定攻擊方法;
在攻擊事件中,攻擊方所使用的方法、技術和過程(TTP)構成攻擊方法,而防禦方所採取的防護、檢測、響應、回覆等行動構成了應對措施;二者一起歸為方法域。
其它規範
如今,我們談論更多的是STIX,TAXII,CybOX這三個標準,其餘的還有CPE、CCE、CCSS、CWE、CAPEC、MAEC、OVAL等等規範。所有這些標準規範的目標都是覆蓋更全面的安全通訊領域,並使之成為一種標準化的東西。到目前為止沒有一個相關標準在國際上通用,但是其標準的制定推動威脅情報的發展,也希望我國發布的標準能儘快成為國內通用的規範。
四、威脅情報分類:
在這裡,引用綠盟科技部落格中各個安全情報廠商的情報平臺白皮書的關鍵詞。可以看到如下三級大詞,其中資訊為出現最多的大詞。
- 一級大詞:資訊
- 二級大詞:情報、關聯、域名、IP和檔案
- 三級大詞:查詢、惡意和威脅
對於威脅情報的分類,無論是國內國外,業界也有眾多定義,最為廣泛傳播是Gartner定義的,按照使用場景進行分類:以自動化檢測分析為主的戰術級情報、以安全響應分析為目的的運營級情報,以及指導整體安全投資策略的戰略級情報。關於分類,在這裡簡單介紹企業間通用的幾個大類,後面會有文章單獨介紹從白帽子的角度,威脅情報可以有哪些型別。
1. 運營級情報
運營級情報是給安全分析師或者說安全事件響應人員使用的,目的是對已知的重要安全事件做分析(報警確認、攻擊影響範圍、攻擊鏈以及攻擊目的、技戰術方法等)或者利用已知的攻擊者技戰術手法主動的查詢攻擊相關線索。在運營級情報中,有最為常用的四種情報分類:基礎情報、威脅物件情報、IOC/">IOC情報和事件情報。
1.1 基礎情報
簡而言之,基礎情報就是這個網路物件(IP/Domain/email/SSL/檔案)是什麼,誰在使用它。具體到基礎資料則包含開放埠/服務、WHOIS/ASN、HASH、地理位置資訊等。
1.2 威脅物件情報
威脅物件情報,相對於比較容易理解。此類情報指的是提供和威脅相關的物件資訊,比如說IP地址、域名等等,簡單地說,就是提供犯罪分子的犯罪證據和記錄。
1.3 IOC情報
Indicator of compromise,意為威脅指示器,通常指的是在檢測或取證中,具有高置信度的威脅物件或特徵資訊。
1.4 事件情報
事件情報則是綜合各種資訊,結合相關描述,告訴運營者外部威脅概況和安全事件詳情,進而讓安全運營者對當前安全事件進行鍼對性防護。
2. 戰術級情報
戰術情報的作用主要是發現威脅事件以及對報警確認或優先順序排序。常見的失陷檢測情報(CnC情報,即攻擊者控制被害主機所使用的遠端命令與控制伺服器情報)、IP情報就屬於這個範疇,它們都是可機讀的情報,可以直接被裝置使用,自動化的完成上述的安全工作。
3. 戰略級情報
戰略層面的威脅情報是給組織的安全管理者使用的,比如CSO。它能夠幫助決策者把握當前的安全態勢,在安全決策上更加有理有據。包括了什麼樣的組織會進行攻擊,攻擊可能造成的危害有哪些,攻擊者的戰術能力和掌控的資源情況等,當然也會包括具體的攻擊例項。
五、要點
情報不是越多越好,適合的情報才是實用的。
威脅資料和威脅資訊有很多,準確無誤的才能稱作為威脅情報。資料是對客觀事物的數量、屬性、位置及其相互關係的抽象表示。資訊是具有時效性的、有一定含義的、有邏輯的,有價值的資料集合。情報是運用相關知識對大量資訊進行分析後產出的分析結果,可以用於判斷髮展現狀與趨勢,並可進一步得出機遇和威脅,提供決策服務。
1、情報的藝術
Accuracy(準確性):是否足夠詳細和可靠。
威脅情報的作用是為安全團隊提供相關資訊並指導決策,如果情報不準確,不但沒有產生價值,反而會對組織的安全決策會造成負面影響。
舉例:前段時間華住酒店集團資料洩露並且售賣一事,紫豹科技第一時間發現了該動向,隨後警方介入調查,併成功在資料未成功售出之前抓捕嫌疑人。這裡面,情報來源準確,才能促使威脅活動迅速結束蔓延。
Relevance(相關性):是否可適用於組織的業務或行業。
威脅情報種類雜,應用場景複雜,不同的情報可能位於攻擊鏈的不同階段,不同的場景側重的是不同的攻擊者,不是所有的資訊都是適用的,相關性較弱的情報會導致分析人員的繁重任務,並且會導致其他有效情報的時效性失效。
比如說,根據情報訊息顯示,有黑客要對醫藥企業進行大面積攻擊,以獲取藥品研發資料來謀取利益。金融企業聽聞有黑客要大面積入侵併不知曉只是針對醫藥企業之後,立馬投入大量人力物力去研究分析情報,後來發現與自己毫無聯絡。
在獲取情報之後,首先要了解針對行業或者業務範圍,盲目的去做不必要的事情,導致的是大量的損失,且耽擱了其餘相關情報的分析。
Timeliness(時效性):在利用前先判定情報是否已經失效。
威脅情報是資訊的集合,凡是資訊,都具有時效性。往往情報的有效時間會很短,攻擊者會為了隱藏自己的蹤跡不斷的更換一些特徵資訊,比如說IP地址、手法等等。
比如,某企業伺服器一直被大量的cc攻擊,調取伺服器日誌,並且成功溯源到IP之後,企業發現無損失並未做處理。等企業發現有機密資訊被竊取後再去處理,發現追蹤到的IP已經無效,這就錯過了情報的最佳時期。
2、情報的特點
- 多:威脅情報資料來源多,範圍廣。每天產生的情報資料可能就足夠讓分析人員疲憊不堪。所以找到有效的需要一個快速的處理過程。
- 雜:威脅情報種類繁瑣雜亂,應用場景複雜,不同的情報可能位於攻擊過程的不同階段,不同的場景側重的也可能是不同的攻擊者。
- 快:網際網路時代,資訊產生速度快,相對於威脅情報更新快,如果沒有合適的自動處理模型,會導致前兩個問題,這就需要企業擁有快速處理情報的能力。
3、情報的分析
分析威脅時,我們可以從這樣的角度去分析:
- 發生哪種攻擊行為並且最壞的結果是什麼?
- 如何預知和檢測攻擊行為?
- 如何識別與區分這些攻擊行為?
- 如何防禦這些攻擊行為?
- 誰組織了攻擊行為?
- 想達到什麼樣的目的?
- 用TTP三要素來衡量,能力是什麼?
- 他們最可能針對什麼進行攻擊?
- 過去他們的攻擊行為有哪些?
通過分析,可以更明確威脅活動的發生與經過,並及時進行調整防禦策略,進行事件響應。
五、威脅情報平臺
1、微步線上
URL: ofollow,noindex" target="_blank">https://x.threatbook.cn
中國首家專業的威脅情報公司。它是國內第一個綜合性的威脅分析平臺,秉承公開、免費、自由註冊的原則,為全球的安全分析人員提供了一個便利的一站式威脅分析平臺,用來進行事件響應過程的工作,包括:事件確認、危險程度和影響分析、關聯及溯源分析等。主要特徵:自由公開的服務、多引擎檔案檢測、行為沙箱、整合網際網路基礎資料、整合開源情報資訊、關聯分析、機器學習、視覺化分析。
特點:基於海量網路基礎資料生產威脅情報,具有覆蓋度高、可執行力強、專業性強、準確度高、可擴充套件性強等優勢。
2、IBM X-Force Exchange:
URL: https://exchange.xforce.ibmcloud.com
IBM X-Force Exchange 是一款基於雲的威脅情報共享平臺,支援使用、共享威脅情報並採取行動。它支援快速搜尋全球最新安全威脅,彙總可操作情報、向專家諮詢並與同行進行合作。IBM X-Force Exchange 由人員和機器生成的情報支援,可利用 IBM X-Force 的規模來幫助使用者在新興威脅面前保持領先地位。
3、360威脅情報中心
URL: https://ti.360.net
360 Alpha威脅分析平臺,是360企業安全為安全分析師提供一站式分析工具,具備完備的威脅情報和網際網路基礎資料,在資料覆蓋度、資訊種類、資料的時間/空間跨度都具備較大優勢。
4、RedQueen安全智慧服務平臺
URL: https://redqueen.tj-un.com/IntelHome.html
天際友盟的情報應用解決方案已在國內多家政府機構,以及金融、網際網路、通訊、能源等行業的多家龍頭企業得到實踐,有用綜合應用多項業內領先的情報應用技術。主要特徵:安全情報、漏洞情報、最新資訊、威脅溯源、自由公開的服務、整合網際網路基礎資料、整合開源情報資訊、關聯分析、機器學習、視覺化分析。
5、AlienVault
URL: https://otx.alienvault.com
它遞送社群產生的威脅資料,能夠協作各個來源的威脅資料,自動更新你的安全基礎設施。其收購了threatcrowd,擁有IP、域名、檔案、郵件等情報。主要特徵:垃圾頁面、釣魚網頁、惡意軟體和間諜軟體、匿名代理攻擊和P2P網路、暗網IP、管理殭屍網路的C&C伺服器、域名、IP地址、郵件地址、檔案雜湊、殺軟檢測。
六、本文總結
威脅情報標準的制定帶來了重大意義。有了通用模型做參考,業內對網路安全威脅資訊的描述就可以達到一致,進而提升威脅資訊共享的效率和整體的網路威脅態勢感知能力。
威脅情報為安全團隊提供了及時識別和應對攻擊的能力,提供了快速提高運營效率的手段。情報是可供決策的資訊,實用化的威脅情報為安全決策提供了有價值的資訊,獲得實用化情報固然重要,但一個高水平的安全團隊對於利用好這些情報,作出正確的決策是更重要的。威脅情報的出現,讓企業擁有了快速應對和響應安全事件的能力。情報即為資訊,資訊不一定是情報。把握好情報的利用,會對企業的業務與行業安全產生極大的推進作用。
威脅情報的出現和利用,使得防禦者能比攻擊者更快地找到反擊措施,並且使攻擊者的入侵成本將會急劇上升。總而言之,威脅情報的價值很多,但相關性才是最有價值的。