威胁情报的应用实例——首届安全分析与情报大会纪实(下)

2017-12-02 349618人围观 ,发现 3 个不明物体 活动

上一篇中,我们回顾了大会上关于威胁情报现状与发展的探讨,本篇则重点记录了大会上各安全从业者带来的威胁情报应用实例。

封面.jpg

安全厂商眼中的威胁情报

天际友盟 谢涛:从信息到情报,从溯源到协同     

威胁情报这个需求或者这个概念的提出实际是源于一个很核心的东西,信息对抗。为什么?因为在信息对抗中,我们会发现传统的安全理念或者思想在对抗这个层面不适用,或者显得有点过时。原来我们只管好自己,但是在对抗的过程中我们需要知道别人在做什么,才能做好防护。在这个过程中就诞生了两个比较重要的概念,一个是态势感知,态势感知就是既要了解自己的动态,又要了解别人的动态,两个动态匹配从而得出安全状态现状。第二个就是威胁情报,威胁情报实际是关注威胁的,也就是所谓的知彼。从威胁情报厂商角度来说,我提供的威胁情报希望是一个更狭义的或者更确切的一个情报的理念,这与漏洞情报。资产情报或者事件情报的概念都是不一样的。

此外,威胁情报的技术也并不复杂,核心就是把威胁具现化。在这里 IOC(入侵指标)的概念就很重要,因为在 IOC 中,恶意域名、恶意IP、恶意URL能够代表它就是一个威胁。所以对威胁的具现化才是威胁情报技术最原始的一个产出。

谢涛.jpg

在精准的汉语的定义里面,我们现在做的实际不是情报,因为情报在汉语的定义里面是一个专有名词。威胁情报实际上强调的是一种知识。此外,威胁情报还要有时间窗口的概念,否则它就只停留在了信息层面。具体来说,威胁情报应该是现在及时有效的一类关于威胁的知识和对威胁的具现化的描述。

目前与情报相关的应用可以分为四个维度,包括数据维度,即原始数据、DNS等未经过加工的大量数据;信息维度,即在数据维度之上基于对数据进行分析之后做了初步加工产生的内容,最典型的是日志、告警等;情报维度,即深层次的深度加工的准确性非常高的,时效性非常强的东西,必须要与场景强适应、强贴合,应用频次在时间窗口内非常高。从这个维度来看,历史情报其实属于信息层面的情报;最后是决策维度,也就是对情报的应用。

甲方在使用威胁情报时,可以从问题多源、可信源跟有效源;外部情报还是内部情报;实时情报还是历史情报;基础情报还是画像情报等方面来考虑自己要选择的威胁情报产品或业务。国内的威胁情报业务总结来看主要有三种模式:威胁溯源,即情报厂商手机大量情报和基础数据,基于分析逻辑和方法进行关联,最终供客户查询;其次是基于匹配机制的情报分析平台,核心方式是情报匹配;最后是基于订阅分发机制的情报协同平台,相当于情报共享。

威胁情报怎么用?

微软邵江宁:云环境中威胁情报的挖掘及利用新技术提高响应效率

研究表明,中国有将近 20% 的恶意代码的流量在全球其他地方看不到,中国网络安全面临严峻挑战,这就催生了中国本土的特色网络威胁情报产业发展。当前,网络空间变得军事化,出现了网络空间主权、数据主权等方面的意识和争端,法律合规让网络空间提供服务运行的厂商面临的较为复杂的形势。在云计算全球普及的大态势下,全球公有云归模在扩大,为敌我攻防双方都提供了非常廉价的计算资源,因此对抗技术也要有调整。微软的经验是,在云环境下可以利用安全平台、威胁情报和合作伙伴这三大支柱组成有效安全策略。首先要结合自身情况建立安全平台,然后结合数据计算资源、存储资源、网络带宽资源等,利用充分运用数据解决问题。对于用户而言,产品的精度和响应速度至关重要,因此安全厂商最好能降低安全研究流程,及时迅速地把很多的安全数据里的洞察转换成真正的产品,为用户提供有价值的产品和服务。

邵江宁.jpg

总结来说,在云环境下,结合大数据分析和人工智能模型,通过主机分析、主机日志分析、网络日志分析乃至电子取证分析等对某个恶意行为进行检测检测,获取行为特征,最后能在整个日志平台中进行检索、发现潜在攻击对象并进行预警,最终引爆整个安全情报威胁的挖掘。大数据和人工智能可以提升检测效率,降低误报率和漏报率,这毋庸置疑,在使用过程中,也要遵循可自适应、可解释、可执行的原则。此外,情报共享和搭建情报共享平台也意义重大。威胁情报的意义呈现金字塔结构,最上层是参与者获得样本、知识和技能等情报净价值,最下面是提升公众安全意识到受害者觉醒并自觉保护自己。越往下走,意义越大,才能让整个产业而更有希望。

Splunk 郑聿铭:打造由情报分析驱动的 ISOC

ISOC也就是智能化的安全运营中心,最大的特点或者核心的功能就是智能化。ISOC 的五大特征是:部署自适应安全架构、在战略和战术上运营威胁情报,通过高级分析将安全智能落地,极尽所能地实现自动化,捕猎和调查。Gartner在里面提出了三种方式,比如基于假设的,基于IOC的,基于分析的,不管是哪种方式都离不开威胁情报的应用以及分析关联能力的应用。

现在在ISOC当中最核心的一个部分其实一个是威胁情报的输入,另外一个就是SIEM,SIEM承担的角色其实是安全分析的中枢神经,它会把安全日志也好、威胁情报也好都作为数据的输入,然后由它来做统一的分析挖掘关联,同时它应该具备双向联动的能力,能够把分析能力的结果回吐到其他的安全设备当中,一方面方便调查取证,另一方面通过实现对端的联动做快速的响应,所以这都是SIEM在这个新时代所应该具有的功能。

郑聿铭.jpg

Splunk 就以这两点为核心,集成威胁情报的使用管理和分析功能,允许纳入多个威胁情报源,然后作统一数据管理,最后对多个威胁情报本身的数据源进行索引和分析,根据其不同侧重点进行分类。好的 ISOC 框架应当可以支持广泛数据自动化收集和整合去重、支持OpenIOC 等多个标准、快速上手、丰富数据、提供上下文情景等,让威胁情报能真正用起来,为威胁分析和快速响应提供帮助。

华泰证券安全总监 张嵩:威胁情报——从 IOC 命中到安全分析的催化剂

对于应用情报的主体——更多的企业而言,核心是要积累一种安全分析能力,而不仅仅是把情报放到自己的网里。因为能力是自身的,情报更多是为安全分析能力提供一种催化剂的作用,因此,本次大会的标题中才会有“安全分析”这四个字。威胁情报的演进已经从 IOC 的命中过渡到由情报作为催化剂来提升安全分析的效率。第二阶段就是把情报落在分析平台上或者类似于一些标准化的产品分析一些流量导出攻击的行为。第三阶段就是持续探索未知的阶段,把安全分析这样的一个词逐渐探索它真正的内涵和外延是什么。

张嵩.jpg

随着威胁情报的 API 化,其出站场景也有所变化。现在如果去分析所有出站的访问目的,应当将它的恶意度分成黑灰白三种。IOC 就相当于传统意义上的黑,白的指白名单,而大部分是灰色,但这个范围也不能放弃,在黑色没有出现的时候,工作人员可以更多地研究灰色的部分,这算是威胁情报驱动的应急响应进行的一种实践。就企业而言,出站场景最好有白名单备案机制,要了解所有出站商对外访问的正常的业务流量,把它进行备案的设备和备案的数据库里要保持一致。就入站而言,可以优先关注邮件的低频撞库、特权、业务后台的互联网访问入口、互联网认证页面、客户访问来源画像和风险提示、防御措施验证(扫描 tag 的 IP 校验 in-line IPS 有效性)以及 WAF 或 WAF 后攻击流量的攻击者画像等。在实际应用中,企业可以关注以下分析场景:

一、攻陷前的“攻击态势”,包括网络攻击的趋势分析与关联告警、高风险应用的异常访问检测等;

二、攻陷中的“失陷态势”,包括基于 IOC 比对和机器学习 DGA 是别的贡献检测和基于出展露了黑白灰化的贡献检测等;

三、攻陷后的“响应态势”,包括内部威胁检测与反欺诈、横向 Sysmon 等 EDR 日志识别横向移动、内部渗透等。

PaloAlto 杜建峰:浅析安全威胁发展与情报态势感知技术,推进实时防御和超前防御理念

当前形势下,企业无法依靠设备百分之百进行安全防控,且攻击策略现在也在逐步提升,企业面临着多维度威胁。作为安全情报而言,要具备可见性,不能孤立呈现,而是要相互关联,洞察全局。例如,平台可以布局全球、进行智能分析和实时交互甚至开放给第三方交互,实现落地。具体而言,以 PaloAlto 为例,可以采取沙箱技术、挖掘提炼数据,利用机器自动化、机器学习、人工校验、重点事件识别的手段,进项智能判断和态势感知。对于有能力的甲方客户而言,他们可以建立大型自主的安全平台,引入第三方安全厂商数据,然后采用自己终端的采集或者探针的产品他不断地采集、自己挖掘的情报源,第三方国内情报源都可以汇总到一起,在自己的平台上形成SOC,然后合作人工二次筛查。这是比较可行的一种模式。

PaloAlto 杜建峰.jpg

此外,在攻击生命周期的各个阶段进行监测分析,预防威胁,实现超前防御;利用智能威胁云情报,减少攻击面、检测位置威胁、实现实时防御等,也是威胁情报实现价值的更好途径和未来发展方向。

PaloAlto 认为威胁情报和态势感知在互联网 + 时代有以下意义:一是全球化采样和协作,自己有自己的技术采样,有覆盖,有第三方的协作;二是智能化分析、追踪和标示;三是高度互联和及时响应。最后把这个落地放在网关设备,放到接入设备,放到终端设备,实现一个实时的响应。

汽车之家 纪舒瀚:从防御到检测的企业安全之路

目前,很多互联网公司对于安全都有一定的意愿,但并没有形成量化的需求。那么企业的安全之路应当如何走下去呢?首先,组建一个团队,从救火队逐渐打造成正规军;其次,要对企业内部安全现状有准确认知,抓住自己的痛点;最后,形成整体事件规划。在企业的安全工作中,为了让企业管理者认识到安全团队的价值,可以明确安全工作带来的效益,例如在对抗战役中,至少能比对手占优势。最好是能让管理者也认识到自己企业的风险感知能力。通过明确安全边界、主机 Agent 研发和安全风险可视化,则可以提高安全感知能力。

纪舒瀚.jpg

现在企业安全的防护从之前传统的以防为主,到现在以监控和自动化为主。具体来看,传统防御包括 IDS、WAF 防火墙等设备的使用;随后到监控,包括 Agent、蜜罐等手段可以更灵活更快速发现问题;最后达到自动化止损,例如结合 TIP 和 SOC 进行联动等。以汽车之家为例,实现整体的安全态势事件联动,首先在前端通过终端和镜像的方式获取到数据源,中间利用安全态势可视化、沙箱、蜜罐、代码安全工具、边界监控等,最终通过报警机制和终端响应机制实现防护。企业的安全团队最重要达到的一个效果就是把危险区降低。所以要做到威胁的先扬后抑,最终寻找到一个对抗的平衡点。

中国银联电子支付研究院 杨阳:威胁情报在金融领域的探索实践

目前,安全攻防逐渐从传统的以漏洞为中心的方式进化为情报为中心,传统以防御漏洞为主的安全策略在面对层出不穷的新型、持续性、高级威胁时难以及时有效的检测、拦截和分析。因此,企业内部建立威胁情报库就很有必要。一个情报库可以分为三层,最底下是数据源层面,包括内部情报、行业分享、第三方专业机构的数据,整合进上一层的本地库,最后处理并反馈给上一层应用层,供应用设备、人工或专业机构调用分析。威胁情报库的具体应用场景包括内网安全、边界安全、业务安全(基于 IP或手机等)。

杨阳 .jpg

未来,威胁情报建设还可以在数据层面、系统层面、应用场景等方面进行改进。在数据层面,引入更详细、层次更分明的数据;同时提升准确性和及时性,并建立良性可持续的数据交换体系。在系统层面:提高检索效率、拓展接口类型。在应用场景层面,丰富模型种类、拓宽应用领域、深入挖掘场景需求。

Cyber Defense Magazine  Gary S. Miliefsky:基于时间的安全分析

基于时间的安全(Time-Based Security,TBS)是一种量化测试安全措施效果的方法,包含 Pt(保护时间,相当于攻击者完成攻击的时间)、Dt(检测时间)、Rt(响应时间)三个概念。Pt 的值必须大于 Dt 与 Rt 之和,这样才算是有效的安全防御,否则,就相当于在攻防战争中失败了。利用当下的自动化、人工智能、机器学习等,可以缩短 Dt 和 Rt 的时间。以抢劫银行为例,抢劫犯花 8 分钟进入保险库拿完钱,花 2 分钟上车逃跑,那么保护时间就是 10 分钟。而银行柜员发现抢劫的用时,就是检测时间,最后报警且警察赶到的时间就是响应时间。只有检测时间加响应时间小于保护时间,才能抓到罪犯。

Gary S. Miliefsky.jpg

有了这个概念,在实际应用中,就是想办法提高 Pt,拖延攻击者攻击时间,例如使用蜜罐和虚拟机、填充数据、增强加密等都是很好的手段,缩短 Dt 和 Rt 的方法就是应用威胁情报等进行实时分析。这里又涉及一个风险公式: T*V*A,T 代表威胁、V 代表漏洞、A 代表资产。越多地获取威胁、漏洞等信息,就能越快地检测风险并进行响应。对于安全研究人员而言,Dt+Rt 的时间自然是越小越好,这也是业界应当努力的方向。

证通股份有限公司 黄凯:基于威胁情报的数据分析和自动决策

在甲方做安全团队,要满足包括合规在内的多方面安全需求。首先还是要从知己知彼入手,在知己方面,可以做代码检测、漏洞扫描等,做到最自己可能存在的漏洞风险心中有数;然后进行资产识别,对于甲方而言,这一点很重要。知彼方面,就是利用各种情报。结合两方面信息,在现有架构下才能进一步不全、新增、改进。

黄凯.jpg

集成的威胁情报过程主要包括:日志字段提取、威胁情报接口调用、数据整合、威胁查询优化、事件联动接口调用等步骤。搭建完成之后,可以自己做模型、构建本地威胁情报库、优化分析模型、增加自适应决策等,完成分析层面的应用。

小结

威胁情报在安全领域的作用已经不容忽视。首届安全分析与情报大会从威胁情报的概念、发展和应用等角度呈现了不同的观点。不论是安全厂商自身还是甲方企业,结合趋势和自身情况,探索出最适合的方式,注重协同共享,将有助于推动资深安全乃至整个安全行业的发展。

*本文作者:AngelaY,FreeBuf 官方报道,转载请注明来自 FreeBuf。

更多精彩
相关推荐
发表评论

已有 3 条评论

取消
Loading...

特别推荐

推荐关注

活动预告

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php