洋葱式信息安全观察:开源威胁情报-没那么简单

网络威胁情报,是情报学科的一门特殊分类,开源情报的研究同时也是网络威胁情报所需研究的方向之一。本文就让我们一起撩开开源情报的面纱。

开源情报的概念:

开源情报是由组织或个体发布的情报,可以公开获取,并且没有隐私限制的信息。

开源情报经典案例:

1952年,标题为“美国?#31449;?#30340;经济学”让世人为之震惊,格林斯潘基于二战时期的数据基准,和有限的公开信息,准确的推算出了当时美国军事工业对金属、冶金、电力、运输等各行业的影响。这一案例充分说明,开源情报在天才分析师+合理的数学模型?#37027;?#25552;下,可以获得意想不到的成果。

任何组织和个人都没有理由忽略开源情报的研究。甚至可以说,真正具备开源情报研究能力的机构,才是顶级的情报机构。

应用开源情报的优点/缺点:

优点:

开源情报是免费的,可以公开获取的;

开源情报的获取渠道是便利的,现代互联网的发展;

开源情报的使用是?#25103;?#30340;,其使用可规避合规风险。

缺点:

开源情报犹如沙里淘金,需要在众多的情报中寻找?#34892;?#20449;息,筛选情报需要投入相应资源;

开源情报犹如火炼真金,情报源可能是带有误导性的或者部分误导性的,不同的情报源的信息可能出现差异,这些都需要分析师去伪存真,因此也会消耗众多的分析资源。

 

接下来,让我们来看看开源情报管理的典型阶段:规划、收集、分析、分发。(需要注意,这里是情报管理的各项工作,情报应用典型阶段还包括应用情报进行决策并根据反馈形成闭环。)

规划开源情报策略:

在规划开源情报阶段第一要务是明确收集情报的的目的:保护网络安全。保护网络安全所需的信息包括识别潜在威胁者、对手攻击目的、攻击的手法等一系列信息,这通常可以用5w1h法则来进行管理(即Who,Why,When, What, Where, How)。而下图(Pain Pyramid)则显示了各类情报获取和管理的难?#21462;?/p>

Pain Pyramid

笔者认为,这张图不仅仅显示出情报收集的难度,同时也是威胁情报价值的体现,金字塔顶层的情报价值远高于底层。

利用开源威胁情报是威胁情报体系的一部分,情报结果可用于威胁情报知识图谱、威胁态势感知等领域。

收集开源情报:

开源情报的来源可以是公开的演讲、文档材料、互联网(网站、论?#24120;┑取?#20854;中互联网信息收集,可能还将使用到“爬虫”等技术。在使用该等技术的同时,需要注意:

  • 收集信息的?#25103;?#24615;;
  • 反“爬虫”对抗技术。(?#34892;?#36259;的朋友们可以去网上搜索“爬虫”与反“爬虫”对抗的相关文章。另外,网络上还有相当数量的“爬虫”代码可以?#26723;?#21021;次开发成本。)

分析制作:

以下简单介绍几种开源威胁情报中使用的技术:

  • NLP(Natural Language Processing):自然语?#28304;?#29702;,在互联网上抓取的大量信息,已经是人工所无法处理的?#32771;叮?#38656;要经过自然语言分析技术处理。
  • 小世界网络模型:来源于“6度分隔”假说,该模型认为通过网络节点的局部信息而非全局信息,即可?#19994;?#32593;络节点间的最短路径。(?#34892;?#36259;的朋友可以去阅?#21015;?#29273;利作家Karinthy的短篇小说?#35835;?#26465;》来回顾一下“6度分隔”假说)

Small-World

  • 社交网络:是由一组社交行为者(例如:个人或组织)的二元关?#23548;?#20197;及行为者之间的社交互动组成的社交结构。 社交网络视角提供了一套分析整个威胁实体结构的方法,是解释在这些结构中观察到的模式的理论工具。

Social Network: APT28

  • 普赖斯指数:普赖斯指数常被?#32654;?#35745;算科学文献的老化度,其公式为

普赖斯指数=近五年的被引用的文献数量 / 被引用的文献总量 * 100%

普赖斯指数可以用作威胁情报老化计算的参考,威胁情报的老化计算则更加复杂,其因素不仅仅与触发的次数、时间两者相关,计算因子还可以引入?#34892;?#38450;护、防护失效、二次(多次)命中等参数进行精准修正。

  • 威胁气候图:用于分析网络环?#24120;?#30053;)。
  • 其他大数据技术,例如:深度学习、加强学习?#21462;?/li>

分发:

开源情报经过加工分析,其价值已经转化,情报的分发请参见TLP(“红绿灯”协议)。

开源威胁情报分析,分析师的试金石。

发表评论