洋葱式信息安全观察:威胁情报生命周期与缺失的一环

威胁情报作为情报的一类,具有情报生命周期的典型特征,即从情报规划,到情报收集、情报处理与分析、情报分发,回到情报规划,形成一个闭环。

让我们回顾一下最被广泛接受的一个威胁情报定义,即Gartner的定义““威胁情报是基于证据的知识,包括场景、机制、指标、含义和可操作的建议。这些知识是关于现存的、或者是即将出现的针对资产的威胁或危险的,可为主体响应相关威胁或危险提供决策信息。” 原文为“Threat intelligence is evidence-based knowledge, including context, mechanisms, indicators, implications and actionable advice, about an existing or emerging menace or hazard to assets that can be used to inform decisions regarding the subject’s response to that menace or hazard.”

我们注意到上文中在定义威胁情报时提到“提供决策信息”,在威胁情报生命周期中,威胁情报在分发后,回到了情报规划,这中间发生了什么,为什么要回到情报规划?关键词在“决策”二字。

 

威胁情报被应用于决策,并付诸行动从而产生结果和反馈,该反馈带有行动结果和预期结果的差异,这个差异即是威胁情报价值的评价,并产生新的威胁情报需求,用以修正前一期威胁情报的偏差,或者提供补充。

我们以金融业常见的威胁案例来说明威胁情报的各个阶?#21361;?#20197;及缺失的一环:

案例背景(背景知识参见:https://xz.aliyun.com/t/2037)-在金融行业,最常见的一个攻击即是钓鱼网站,面对钓鱼网站的威胁,带来潜在的客户损失从而进一步造成企业声誉下降,企业需要进行必要的响应。

  • 威胁情报规划

基于钓鱼网站对企业的危害程度,决定对钓鱼网站发现、处置的投资,以及发现时效性需求(通常是最重要的SLA之一)等。

  • 威胁情报收集

利用爬虫技术监测网页变动,监测域名注册是否有相近域名出现,等等。

  • 威胁情报处理

对相似域名进行网页自动化识别,需要使用到自然语言处理(NLP)、图片自动化比较等大数据技术。并对自动化报出的高相似网站进行人工判读。

  • 威胁情报分析

在?#23186;錐危?#20225;业需要研究钓鱼网站实施者的意图,例如:恶作剧;技术学习;经济利益等等,不一而足。

在?#23186;錐危?#20225;业需要研究钓鱼网站实施者能力,例如:当被关停后,攻击者还会出现在哪里,需要多少时间发布一个或多个新的钓鱼网站。

  • 分发

将钓鱼网站情报分发到相应团队。

  • 缺失的一环:决策、行动与反馈

针对钓鱼网站,无论攻击者意图如?#21361;?#30001;于钓鱼网站即使未造成有形的经济损失,其对企业声誉即无形资产?#19981;?#36896;成损失,因此最终都应当将其关停。而关停的?#34987;?#21017;可以根据实际情况做出不同决策。

  • 新的威胁情报规划

通过对以上环节进行总结,修正疑似钓鱼网站发现能力、处理和分析能力。

 

以上是通过一个案例来说明了情报的生命周期。在威胁情报的全生命周期中,我们还会应用各种技术或策略,在此也做一个简短的介绍。

  • 威胁情报规划
    1. 制定目标:可采用SMART原则。
    2. 制定策略:指导威胁情报的收集、处理、分析、分发等活动。
  • 威胁情报收集
    1. 主动收集技术:主动式收集通常可以被其他主体所观察到,例如采用扫描的方式侦察攻击者的网站是否存活,攻击者可以通过监听网络发?#25351;?#24773;报收集。
    2. 被动收集技术:被动式收集通常可以在不被攻击者发现的前提下收集信息,例如蜜罐,需要注意的是不同类型的蜜罐可能被察觉的时效是不同的,同时蜜罐可能带来额外的风险。

被动收集的另一个典型案例是VT,通过提供检测恶意代码服务,或吸引攻击者提交恶意代码检测其免杀能力,收集大量的恶意代码从而进行进一步分析。VT以其独特的代码分析能力成为该行业中的翘楚。

  • 威胁情报处理
    1. 清除噪音?#21644;?#24120;需要关联分析和聚类分析等大数据手段。
    2. 解密与转换:对原始信息进行解密处理或者格式转换,以便分析人员使用。
  • 威胁情报分析

情?#25104;?#23450;与分析。

  • 分发

TLP:红绿灯协议,用于决定谁可以共享情报的规则。

  • 缺失的一环:决策、行动、评价与反馈
    1. 决策:决定牵制的?#34987;?#25163;?#21361;?#26159;否反击等。
    2. 行动:根据决策?#33905;?#21709;应的牵制活动。例如激活防火墙规则对恶意IP地址进行拦截;将恶意IP地址信息导入IDS进行?#20013;?#35266;察等。行动应基于有计划的预案。同时,行动也是PDCA重点对象之一。
    3. 评价与反馈:根据牵制活动的实际效果进行评价,并反馈到威胁情报组织。
  • 新的威胁情报规划:可采用PDCA方法进行闭环修正。

通过示例,我们可以看见威胁情报生命周期中缺失的一环,而这一环节恰恰是威胁情报的价值体现。决策和行动,才是威胁情报生命之花的焦点。

发表评论