威胁情报应用价值之应急响应
星期二, 十一月 19, 2019
作者:天际友盟
能够解决问题的威胁情报体系,才是对客户有价值的威胁情报体系。
过去四年间,天际友盟的威胁情报方案与能力,已在近百家企业客户的实际生产运营中,得到了广泛的应用。其中,除了企业用户直接使用威胁情报数据或溯源查询服务之外,通过与各类专业安全解决方案厂商能力结合,将威胁情报的价值间接传递给客户,共同在客户现场发挥价值,也是威胁情报应用中的一种特有场景。
我们称之为 Threat Intelligence Inside,TI Inside 模式。
迄今,通过 TI Inside 模式,天际友盟的威胁情报能力,已实现与国内三十多家安全厂商的集成联动,不仅增强安全厂商原有产品的情报能力,提升了其安全解决方案的综合实力,也更加贴近企业客户的实际应用场景,共同为客户解决实际问题,创造价值。
不同安全厂商的方案,情报的联动方式也各不相同。本系列将对 TI Inside 模式中的几个典型场景做分析,展现情报与安全厂商联动的场景与特性。
安全应急演练,已被纳入许多大型企业的年度例行计划,基于安全事件的应急响应,也成为许多企业的基本工作流程。同样,国内各大测评或者标准认定机构,也都会对企业的应急响应流程规范性做定期检查。
但实际情况确是,企业只是采用了大量的纸质流程、文档流程,大多数都停留在抽屉里面,并没有落实到实际生产工作中。思想高度重视,行动完全忽视。
2018 年 Gartner 市场指南的 Digital Forensics and Incident Response Services 中重点提出,已经有很多应急响应服务商利用威胁情报来支撑安全应急事件前和后的调查取证,并拥有结合内外威胁情报分析能力。
Gartner 2018 Market Guide for Digital Forensics and Incident Response Services
Gartner 2018 Market Guide for Digital Forensics and Incident Response Services
Gartner 2019 Market Guide for Security Threat Intelligence Products and Services 指南中也指出,威胁情报能力将会提升数字业务的弹性。
Gartner 2019 Market Guide for Security Threat Intelligence Products and Services
并在Recommendations 部分强调了TI在应急响应中的使用案例和用户策略,利用多源威胁情报建立自定义特征集合,应急响应团队还需要发展对当前和未来的威胁进行分析及分享能力。
Gartner 2019 Market Guide for Security Threat Intelligence Products and Services
Gartner 2019 Magic Quadrant for Managed Security Services, Worldwide 文章中指出, 提供 MSSP 的服务商都应该提供威胁情报的服务,纵观本次评测厂商,也大部分都提供了威胁情报的集成服务。
Gartner 2019 Magic Quadrant for Managed Security Services, Worldwide
在市场分析部分,Gartner指出,MSS服务商检测和响应部分的核心服务能力中漏洞管理能力, 特别是根据威胁情报触动的漏洞持续监测能力,依然是很多组织所面临的挑战。
Gartner 2019 Magic Quadrant for Managed Security Services, Worldwide
中国信息通信研究院 2018 年中国网络安全产业白皮书中指出,目前我国威胁情报的应用场景,主要集中在安全事件的检测防御、攻击溯源以及应急响应,例如通过威胁情报阻断攻击,溯源分析查获证据,辅助事件处置等。
目前,全球各大安全公司纷纷通过有针对性设计的 Playbook,帮助企业客户实现基于威胁情报的自动化编排响应。IBM 推出 Resilient 产品同威胁情报平台 XForce 的深度集成;Splunk 也通过收购 Phantom 实现自动化编排的能力;Palo Alto Networks 收购 Demisto 提供抽取网络层面安全数据。似乎从安全方案的完整度上,都在朝着由 Gartner 提出的 SOAR (Security Orchestration, Automation and Response) 方向,进行技术演进。
日常的应急响应,定期的攻防演练,例行的应急响应演练,安全团队在持续的实战中得到历练,甚至利用网络靶场模拟演练,参加行业内部组织的红蓝对抗比赛,实现以赛代练。越来越多的企业把关注点放在威胁情报的能力建设中,如何将威胁情报引入现有工作流程环节,无缝对接各个安全管理系统,快捷高效利用威胁情报,辅助并支撑应急响应小组的高效工作。
溯源能力是网络安全团队考察的重点能力,很多时候我们把精力花在追踪攻击者,其实,网络中依赖自身的能力和实力,去追踪和捕获攻击者是一个比较难的事情。企业客户可以利用威胁情报技术,对大数据进行筛选和挖掘;定位和找到攻击来源。利用威胁情报结合安管平台,进行攻击者画像。使用自建或者商业的应急响应流程管理平台,全流程跟踪,跨部门协作。
部分企业客户已经开始投资溯源能力提升,并且在应急响应上有长足进步。
目前,国内许多安全应急响应服务单位,已经在使用或者集成威胁情报及本地威胁溯源产品,获取情报数据和分析事件的基础信息,在本地建立威胁分析与溯源定位能力。
基于对整个攻击事件在战术、技术及过程三个方面 ( TTP) 表现出高级威胁的特征的分析,结合运营级的威胁情报进行复合攻击属性标识,安全应急服务单位得以实现主动防御的能力。
行业级支撑安全应急响应的服务单位,可以结合威胁情报平台,对行业内部的成员单位之间进行情报推送;或在一些园区安全云项目中,形成基于威胁情报的安全响应流程及响应支撑服务能力。
天际友盟可以提供网络安全威胁的规则类别库到这些应急响应单位,在现有的类别库中,增加基于威胁情报的动态列表,后台通过策略管理平台或者网管平台进行更新。在类别库中提供关联威胁情报的防护规则或者审计规则,由企业客户的安全团队自行决定是否启用。
案例:某安全服务商,利用天际友盟威胁情报构建SOC服务平台,为其多家客户提供安全运营服务。通过发现局部威胁结合威胁情报进行深入分析,梳理出行业威胁和通用威胁,及时部署到SOC平台中,实现主动防御。其客户通过委托安全运行的模式,获得了在攻击实际发生前即能精准防护的能力,避免了可能的入侵行为。
天际友盟 Alice 本地威胁溯源产品,作为 SIC 安全情报中心的增强模块之一,帮助用户整合内外多源的情报数据与安全基础信息,建立一整套本地化威胁溯源知识库,辅以可定制化的可视化溯源检索与分析系统,使用户具备在本地进行威胁线索扩展分析与溯源定位能力,协助其完善事件分析与响应处置工作的本地闭环管理。
在应急响应流程中,企业客户需要战术级别情报,包括客户 IP 地址威胁情报、C&C 失陷检测情报、IOC 威胁指示器等;最终将全面的威胁情报,馈送到企业客户的安全运营团队,帮助企业客户建立完善流程,根据威胁情报及内部资产数据判断影响范围和部门。
威胁情报可以与安全应急响应平台集成,提供 API 查询接口及数据关联能力,在企业客户的统一安全响应工作平台界面,提供事件检测、分析、数据泄露、隐私保护、威胁分析等全流程的情报能力;强调威胁情报的关联性,以及网络威胁对客户的影响;判断威胁情报的时效性,是零日攻击还是一个老旧系统漏洞的重复利用;攻击的动态变化,利用的IP地址信息或者采用的攻击技术,判断攻击者是否已经停止攻击或者改变了攻击策略。
案例:某安全服务商为企业客户建立安全响应处置平台,利用天际友盟提供的威胁情报,在某次遭遇实际攻击中,在攻击方发起首次扫描即根据攻击方惯用的扫描地址、C&C 地址、惯用软件和技术等,提前布局,捕获了攻击者新的攻击手段,为未来可能发生的新攻击做好了准备,同时选择了在适当的时间点(Kill Chain安装环节)对攻击实施了有效防护,在其提取CRM系统中客户信息时切断了其网络连接;同时,在提取了样本后,清除了所投放的恶意软件,避免了实际损失。
多数情况下,威胁情报缺乏持续的跟踪和反馈,这些发布出去的漏洞及安全威胁告警,实际命中情况和发布后的作用和效果如何,是整个安全生态圈需要关注的问题。持续的运营和改进,这些内容在闭环管理的要求下,反馈和修正其实也需要更多关注。因此,结合威胁情报到应急响应流程中,就尤为重要。
除了考虑威胁情报的关联性和时效性,在战略级威胁情报中,威胁情报体系要为企业客户提供了决策依据。部分企业级客户,将威胁情报体系和企业自身风险管理系统结合,利用威胁情报判断动态风险等级,结合威胁情报的权重,支撑在应急响应过程中的风险管理和动态决策。
安全服务供应商面对不同的组织和客户群体,从一定程度上参与情报的生产,通过共享脱敏的实时威胁数据,可以提供经过行业化和定制化的威胁情报,这对于其服务的大型客户是更有价值的。而在这些数据的基础上,服务商利用威胁情报平台的情报数据,结合本地生产的情报,进行内外情报的量化评级,可以进行更细粒度,更多维度的挖掘,做情报生产再加工,也更符合国内大型企业客户的使用环境。
国内某些MSSP服务商,就是在安全托管服务中心内建立风险管理框架模型,同时对接威胁情报系统,建设并完善威胁特征类别库,为托管客户提供应急响应流程的管理和指引。利用威胁情报和风险管理的结合,在安全应急事件中快速决策,紧急修复或者动态部署调整,防范威胁攻击,减少企业因安全事件造成的损失。
案例:某企业在其安全服务商的协同下,利用天际友盟的威胁情报,重构了风险模型,兼顾外部攻击和失陷主机的发现。同时,利用天际友盟所提供的CPE情报,能够在极短的时间内对威胁源所利用的漏洞进行快速发现,为防护节约了宝贵的时间,从而能够在攻击发生前或者攻击成功利用漏洞前进行修复,有效的加固了防御阵线。
威胁情报的一个特点是相关性。目前在威胁情报的应用上有两种模式:一、基于怀疑对象查询;二、基于情报集合进行深度分析。对比两种模式可以发现,第一种模式是查询-验证的思路,而第二种模式是不仅仅能满足查询-验证,在此基础上可以通过已知知识(威胁情报)进行预测分析。
采用已知知识的模式,需要威胁情报明文足量提供,且可以明文下载到本地或设备厂商指定的位置,才能够将已知知识用于威胁模型进行预测。
案例:某威胁监测设备厂商联合验证式情报厂商,发现互联网上报道的某起攻击行为,通过分析判断其服务的客户在未来的某个时间段可能受到威胁。但进行远端查询仅能获得该起攻击行为的简单信息,无法进行全面防护。于是转为全面情报收集模式,通过检索天际友盟的情报库,提取了与该攻击行为相关的应当修复的漏洞、可能被利用的端口,以及攻击源可能来自的IP地址信息等,在纵深防御的各可能被利用的节点提前部署拦截、审计等策略。此后,网络中监测到对该客户的探测行为。事后分析,该次部署有效的防护了一次可能的威胁。
企业客户首先关注防御效果,其次才关心实现方式。在应急响应流程中,威胁情报是动态变化的,也许你还没走到流程的下一步,威胁的变种或者新的特征已经出现,因此在应急响应的全过程中,每个阶段和步骤都应该结合威胁情报。提供事件调查阶段的各个输出,在事件调查过程中,建立溯源能力。
特别针对热点事件的实时响应,企业客户还应当考虑在一些特定的热点事件发生后,对企业安全生产带来的影响和威胁。当前互联网时代,信息传播速度几倍于传统信息。在企业应急响应过程中,灵活的组织架构,便捷的流程响应机制,结合威胁情报的动态变化,配合完善的自动处理模型。
快速判断安全威胁造成的损失和泄露,建立完善的防御机制,离不开威胁情报在应急响应流程中的作用。天际友盟威胁情报系统,将努力提升企业整体安全防护的能力和水平迈向更高层面。
相关阅读