类型和来源
运营(或技术)情报
有关主动攻击、安全事件、攻击活动的知识
被防守者使用
通常来自机器
战略情报
组织机构的整个威胁形势的广泛概述
面向决策者即高管的业务内容
通过报告或简报介绍
必须由专家创造
资料来源:安全公司的趋势和研究报告、政府或非政府组织的政策文件、新闻、发表的文章、中小企业
情报生命周期
生命周期
方向:为情报计划设定目标
收集:收集信息以解决最重要的情报要求
处理:将收集到的信息转换为可用格式
分析:将信息转化为情报,为决策提供信息
传播:将完成的情报输出到需要的地方
反馈:了解情报消费者的需求和优先级,相应调整您的流程
向非技术领导报告
简洁(一页备忘录或几张幻灯片)
避免混淆术语和技术术语
用商业术语表达问题
推荐落地可行方案
SecOps 情报部分 - 分类
组织机构只能调查他们收到总量安全告警中的 48% ,而在被调查的安全告警中,其中也可能只有 26% 是正确的。
大多数零日只是某种技术的变种,以略微不同的方式利用旧漏洞。因此,与其关注零日漏洞,不如识别和修补组织真正在使用的软件中的漏洞。
如果漏洞在宣布后的 2 周到 3 个月内没有被利用,那么它就不太可能被利用。因此,修补旧漏洞不是优先事项。
您的目标不应该是修补最多的漏洞,甚至是最多的零日威胁,而是要识别和解决最有可能被利用来攻击您的组织的漏洞。
漏洞数据库的价值受限于它们专注于技术可利用性而不是主动利用,而且它们的更新速度太慢,无法对快速传播的威胁发出警告。
通过交叉引用来自多个来源的信息,您可以专注于存在最大实际风险的漏洞,而不是试图修补所有漏洞。
暗网社区
低级别地下论坛
更高级别的暗网论坛
暗网市场
许多参与者在低级和高级论坛上发帖,但实际的网络犯罪市场在很大程度上与看到的论坛是脱节的
55% 的组织机构存在来自第三方的入侵违规行为。29% 的人认为他们的合作伙伴会通知他们已经失陷。
需要监控的第三方风险
勒索软件
数据泄露
恶意网络活动
泄露的用户凭据
暗网活动
网络杀伤链
准确描述攻击的 7 个阶段:侦察、武器化、交付、利用、安装、命令和控制、达成目标(数据渗漏)
没有考虑现代攻击(例如,忽略网络钓鱼的利用阶段)
钻石模型
跟踪攻击组织随着时间的推移演变,而不是单个攻击的进展
攻击者的钻石模型不是静止的,它随着攻击者调整 TTP 和更改基础设施和目标而演变
跟踪对手(攻击者)、能力、基础设施(由攻击者使用)、受害者。还可以跟踪阶段、结果、方向、方法、资源
钻石模型需要大量的专家维护,因为攻击可能会迅速变化
MITRE 框架
可信自动情报信息共享 (TAXII):使组织能够共享情报并使用 API 命令提取情报的传输协议。
结构化威胁信息表达 (STIX):用于呈现情报的标准格式。
Cyber Observable eXpression (CybOX):在网络安全事件中跟踪可观察的方法。
MITRE ATT&CK
随着时间的推移跟踪对手的行为。
描述与特定对手相关的指标和策略。
14 种战术类别:侦察、资源开发、初始访问、执行、持久性、特权升级、防御规避、凭证访问、发现、横向移动、收集、命令和控制、渗透、影响
暗网情报
规则
YARA 规则描述文件中唯一的字符串和字节模式,因此安全产品可以识别、分类和阻止恶意软件
Sigma 规则是 SIEM 的威胁签名,用于识别与攻击相关的日志事件
Snort 规则帮助 IDS/IPS 系统识别恶意网络活动(扫描、探测等)
情报报告内容
可能的威胁参与者
TTP
组织机构中的可能目标
威胁是否代表对组织的真正危险
现有安全控制可以缓解威胁的可能性
建议措施
将外部数据与内部遥测相关联
逆向工程恶意软件和复现攻击(取证)
为安全控制提供威胁态势感知和建议
主动寻找内部威胁
YARA、Sigma等安全数据工程和签名检测
就网络威胁对员工和客户进行教育
与更广泛的情报社区互动
识别和管理信息源