记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

防患于未然之威胁情报

2018-10-16 18:45

一.前言

无论您是提供解决方案的网络安全供应商,还是希望加强其安全基础设施的某企业,威胁情报已经逐渐应对高级恶意软件或攻击的必备防卫手段了。网络攻击的持续增长及复杂化趋势,对比个人、企业在安全防护上的落伍,无意让网络威胁攻击者有机可乘。

近年来,企业或个人遭遇网络攻击的新闻层出不穷,受害方承担了惨痛的损失。相比进攻,防守难免显得被动。用户需要不断地完善自己的安全系统,而对于攻击者来说,可能只需要一个漏洞,就能使整个网络系统崩溃。在这个充满威胁的新时代,企业和个人正将更多的关注放在威胁情报上。

二.威胁情报解读

威胁情报是循证知识,包括环境、机制、指标、意义和可行性建议,现有的或新兴的、对资产的威胁或危害,可用于主体对威胁或危害的反应做出明确决定。也可以说,威胁情报是收集、评估和应用关于安全威胁、威胁分子、攻击利用、恶意软件、漏洞和漏洞指标的数据集合。

社会工程学攻击

几年前,可能大多数人会将漏洞看作唯一的威胁信息安全的途径,然而实际威胁企业的有太多方面,漏洞仅仅是其中之一。其他的还包括:网络钓鱼、撞库攻击、员工信息,另外还涉及一个稍显陌生的词——社会工程学。

社会工程学,准确来说,不是一门科学,而是一门艺术和窍门的方术。社会工程学利用人的弱点,以顺从你的意愿、满足你的欲望的方式,让你上当的一些方法、一门艺术与学问。说它不是科学,因为它不是总能重复和成功,而且在信息充分多的情况下,会自动失效。社会工程学的窍门也蕴涵了各式各样的灵活的构思与变化因素。社会工程学是一种利用人的弱点如人的本能反应、好奇心、信任、贪便宜等弱点进行诸如欺骗、伤害等危害手段,获取自身利益的手法。

现实中运用社会工程学的犯罪很多。短信诈骗如诈骗银行信用卡号码,电话诈骗如以知名人士的名义去推销诈骗等,都运用到社会工程学的方法。近年来,更多的黑客转向利用人的弱点即社会工程学方法来实施网络攻击。利用社会工程学手段,突破信息安全防御措施的事件,已经呈现出上升甚至泛滥的趋势。

Gartner集团信息安全与风险研究主任Rich Mogull认为:“社会工程学是未来10年最大的安全风险,许多破坏力最大的行为是由于社会工程学而不是黑客或破坏行为造成的。”一些信息安全专家预言,社会工程学将会是未来信息系统入侵与反入侵的重要对抗领域。

威胁情报、威胁数据、威胁信息三者之间的关系

三者之间存在差异,了解这些差异对于充分了解威胁情报至关重要。

在看他们的区别之前,我们先了解下几个概念:

数据是对客观事物的数量、属性、位置及其相互关系的抽象表示。

信息是具有时效性的、有一定含义的、有逻辑的,有价值的数据集合。

情报是运用相关知识对大量信息进行分析后产出的分析结果,可以用于判断发展现状与趋势,并可进一步得出机遇和威胁,提供决策服务。

要创建情报需要数据和信息,但它们本身不是情报。也就是说,威胁情报是基于威胁数据和威胁信息,再进行处理和分析,最终做出相应决策。

威胁活动分析

分析威胁活动时,我们可以从战略的角度去简单的分析:

攻击者是谁?(例如黑客、间谍)

他们有什么目的?(例如勒索钱财、窃取数据、网络系统破坏)

以什么方式攻击?(钓鱼电子邮件、漏洞利用攻击、社会工程学攻击)

带来哪些影响?(账号密码丢失、数据泄露、系统崩溃、服务停用)

通过这样的分析,组织机构可以更加明确威胁事件的经过与过程,并从事件响应和风险规划的角度和准备方式中了解影响评估和缓解措施。

三.威胁情报的不同来源

使用情报并不是什么新鲜事。然而,威胁情报还是一个比较新的概念。威胁情报的来源一般可分为以下几类:

1.人力情报(HUMINT):最显而易见的情报类型,通过人际接触(直接或间接)收集情报机密。它也可以通过间谍或观察等方式悄然进行。

2.信号情报(SIGINT):信号情报是最古老的技术情报,它包括通信情报(COMINT)和非通信的电子情报(ELINT)。而电子情报又可以分为敌方设备信号情报(FISINT)、遥感情报(TELINT)和雷达情报(RADINT)。

3.开源情报(OSINT):从公开来源收集信息。这些数据包括新闻,社交媒体和公共报道。OSINT的概念已存在多年,即时通信的发展以及大规模数据关联、数据转换的能力使其更具价值,特别是对于计算机安全社区而言。OSINT包括社交媒体情报(SOCMINT),它是基于社交媒体渠道,对话和信号的情报集合。

4.地理空间情报(GEOINT):从地理空间数据中收集信息,包括GPS数据和地图。此信息可以提供有关威胁的额外地理环境信息。

5.金融情报(FININT):收集有关攻击者的财务能力或动机的信息。在执法方面,FININT通常用于检测可疑的金融交易。

6.技术情报(TECHINT):收集有关对方设备和材料的情报,以评估对手的能力。借助TECHINT,可以更新保护措施以对抗此设备或材料。

7.市场情报(MARKINT):收集情报以了解竞争竞争者或对手的市场。

8.网络情报(CYBINT):通过不同的情报来源收集数据,可以看作是以上情报来源的综合。在很多情况下,CYBINT从SIGINT,OSINT和ELINT收集数据。这些数据偶尔也来自SOCMINT,HUMINT,GEOINT等来源。

通过提供的威胁情报可以识别以下常见的被攻击目标:

四.威胁情报的应用

威胁情报的艺术(ART)

情报不是越多越好,关键是要适用。

由于不同组织的安全环境差异巨大,要想更好发挥威胁情报的作用,必须找到适合的实用情报。那么什么样的威胁情报才是有价值的呢?这儿我们就来谈谈情报的「艺术」(ART)。

Accuracy(准确性):威胁情报是否足够详细和可靠。

威胁情报的作用是为安全团队提供相关信息并指导决策,如果情报不准确,不但没有产生价值,反而会对组织的安全决策会造成负面影响。

Relevance(相关性):威胁情报是否可适用于组织的业务或行业。

在大数据的时代,每天都有海量的数据和信息产生,不是所有的信息都是适用的,相关性不强的威胁情报会浪费安全分析人员的时间。

Timeliness(时效性):在利威胁情报前,判定情报是否已经失效。

威胁情报是可指导决策的信息,也是有时效性的,特别是在当今信息瞬息万变的时代,威胁情报的有效时间往往很短,攻击者为了隐藏踪迹也经常变换工具和手法。

由于每个组织或个人所处的行业不同,自身安全环境的不同,没有一家情报提供商可以提供完全适合所有组织的情报。那组织如何才能获得适合自己的适用情报呢,这样就不得不引入情报的评估和反馈机制。运用评估机制将最适合自己的情报挑选出来,再利用反馈机制不断改进评估系统来获得更高质量的实用化情报。

威胁情报用途

一提起威胁情报的用途,人们最经常提到的应该是攻击检测方面的价值了,但实际上威胁情报的使用场景会更加的广泛。下面就描述几个比较典型的使用场景:

安全计划(或者安全体系建设与完善)

这是威胁情报最具战略性的用途,目前的防御思路正在从以漏洞为中心转化为以威胁为中心,只有对需要保护的关键性资产存在的威胁有足够的了解,才能够建构起合理、高效的安全体系结构,而这些就依赖于对攻击者可能的战术、方法和行为模式(即TTPs)的全面理解,如果能有指向指标类的信息,让我们知道所在行业当时可能的最大风险,就更能做到有的放矢。如果说不同方向的安全从业者(如:漏洞挖掘、渗透测试、安全分析和事件响应、产品及开发等)需要的知识结构有所不同,那么这种对攻击面的理解就是所有行业从业者必须了解的内容。

攻击检测和防御

基于威胁情报数据,可以创建IDPs或者AV产品的签名,或者生成NFT(网络取证工具)、SIEM、ETDR(终端威胁检测及响应)等产品的规则,用于攻击检测。如果是简单的IP、域名、URL等指标,除了以上用途,还可以考虑直接使用在线设备进行实时阻截防御。

安全分析及事件响应

安全分析及事件响应中的多种工作同样可以依赖威胁情报来更简单、高效的进行处理。在报警分流中,我们可以依赖威胁情报来区分不同类型的攻击,从中识别出可能的APT类型高危级别攻击,以保证及时、有效的应对。在攻击范围确定、溯源分析中可以利用预测类型的指标,预测已发现攻击线索之前或之后可能的恶意活动,来更快速的明确攻击范围;同时可以将前期的工作成果作为威胁情报,输入SIEM类型的设备,进行历史性索引,更全面的得到可能受影响的资产清单或者其它线索。

SANS调查了受访企业使用威胁情报数据的主要用途,根据统计结果,威胁情报三个最重要的用途为:

在出口处(如防火墙)拦截恶意域或IP地址(63%);

为调查或事件评估提供上下文(50%);

检查DNS服务器日志,以发现恶意域或IP地址(30%)。

其他用途还包括:在端点主动寻找文件系统指标指示器,为团队及管理层提供趋势数据和报告,结合内部生成指标与商业指标进行攻击溯源,为恶意流量定制IDS签名,在端点主动寻找注册指示器,从商用资源库下载恶意程序样本、逆向工程以获得更多指标。

五.结语

传统的“你来我往”、“亡羊补牢式”的网络安全攻防策略已无法有效与现在的恶意攻击活动相抗衡,作为防守方应当将战场向前推进,以争取更多的主动权。威胁情报所能提供的情报收集、风险侦测和威胁感知将是新型对抗模型中的三把利刃,帮助我们扭转攻防失衡的局面。

知识来源: www.mottoin.com/sole/view/117446.html

阅读:81100 | 评论:0 | 标签:安全报告 观点

想收藏或者和大家分享这篇好文章→复制链接地址

“防患于未然之威胁情报”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云