摘要
威胁情报平台(Threat Intelligence Platforms,TIP)是组织消费和运用网络威胁情报的新兴技术。TIP可以帮助组织从仅依赖外部情报源转变为生产内部情报。这将提升网络安全成熟度和应对攻击的弹性能力。
引言
在过去十年里,计算机网络防御从极少分享信息转变为情报过载。以前,系统破坏、恶意软件或攻击归因方面的信息很少在组织之间共享。而今天更常见的问题是如何从大量电子邮件、报告和指标中筛选出可操作的情报。
威胁情报是关于对手的知识,可以用来告知对该威胁的响应决策。它包括对威胁行为体的动机、意图和能力的细节。为了成功应对组织面临的大量APT,消费外部威胁情报已成为网络安全越来越重要的一环。但是如何摄取这些情报并在组织环境中成功利用这些情报通常仍然是一个挑战。
除了外部情报,来自组织内部的大量数据也可能使情况复杂化。来自入侵检测系统、防火墙、邮件安全网关、主机入侵预防系统和代理的大量告警可能压垮试图响应和处理每个告警的防御者。如果不对环境进行适当评估和缓解调整,外部情报直接馈送到这些工具中只会产生更多噪音,从而使外部情报变得无用。
为了处理所有这些内部和外部数据并使其成为可操作的情报,可以采用威胁情报平台。威胁情报平台是所有外部和内部情报的核心管理存储库,并可以提供根据这些情报采取行动的机制。
相关工作
咨询机构对采用威胁情报平台的价值提供了洞见,并提出了其组件的定义。
Gartner表示,寻找有效的自动化方法来摄取并采取行动的多个来源和格式的威胁情报的组织,应考虑使用威胁情报平台。他们建议威胁情报平台具有以下6项功能:
1)多源多格式收集情报,自动丰富化情报;
2)关联情报并帮助确定哪些来源最有效;
3)对情报进行分类,以帮助对威胁进行分析,识别战术、技术和过程 (TTP),并通过建模和可视化了解关系;
4)将情报与工作流流程相结合,进一步丰富现有数据;
5)通过应用程序接口(API)和电子邮件通知支持各种集成;
6)支持可信任社区之间的情报共享。
Forrester指出,TIP的具体好处是为安全运营中心提供能够协调情报活动的分析平台。该平台应该能够摄取和规范化威胁情报,评定情报来源的价值,提供分析师工作空间,支持可视化和关联(pivoting),丰富情报,并实现情报的内部和外部协作和共享。
支持网空杀伤链的威胁情报平台
Gartner和Forrester提出了TIP的目的和最低要求,洛克希德-马丁公司扩展了这些要求,以确保TIP在所有环境中都能提供价值。虽然TIP应该能够收集大量外部情报,但它也应该为组织成熟为情报生产者提供基础。
洛克希德-马丁公司提出的情报驱动网络防御的方法,其核心是,你可以从过去的入侵尝试中学习,以生成可运营的情报,这些情报可以重新用于防御,使你对高级对手更具弹性。在看似不同的数据点之间建立联系,使防御者能够认识到事件之间的关系,并确定共同的特征。这使分析师能够理解其对手的战术、技术和过程(TTP)。对直接针对你的网络的对手建立的档案越完整,领先他们一步的机会就越大。
如果没有一个专门的工具来存储从调查中收集到的所有信息和上下文,识别这些共同点就变得不切实际。在没有TIP的情况下,分析人员几乎没有选择来捕获数据,否则就会对攻击提供敏锐的见解。电子表格不允许分析师通过利用历史知识对事件进行关联的灵活性。例如,如果你发现恶意软件向某个IP地址发出beacon,你如何确定你以前是否在你的环境中看到过这个IP地址?TIP应该为分析员提供一个平台,以输入他们在调查过程中发现的所有指标、上下文、笔记、情报、建议、证据和对手的概况信息,并确保所有内容都易于搜索。此外,TIP应支持网空杀伤链框架的分析,因为它是情报驱动防御态势的核心。这种方法可以帮助分析师快速确定攻击的严重性,然后识别分析或组织防御中的差距。
外部情报可能是计算机网络防御的一个重要方面,TIP应该支持其消费。然而,随着组织网络态势的成熟,对这些来源的依赖会减少。外部情报可以提供对潜在威胁的洞察,而组织则致力于采用情报驱动的方法并开发自己的分析能力。随着内部能力的成熟,应使用外部来源来关联环境中看到的内容,并为对手的TTP提供更大的上下文和洞察力。TIP还应该提供一种机制来衡量这些外部来源,以便于确定哪些来源有价值。那些对你的组织无益的信息应该被删除。
利用威胁情报平台落地网空杀伤链的七种方法
1.优化告警(优先处理与链中后期阶段相关的传感器警报)
有这么多告警来自这么多来源,应该首先分析哪些告警?哪个传感器(sensor)最重要并且需要立即关注?为了回答这些问题,组织应该列出每个传感器产生的事件,并将它们映射到网空杀伤链的相关阶段。事件映射到的攻击链越往下,该告警的优先级就越高。例如,从网络入侵检测系统(NIDS)产生的事件映射到第一阶段侦察,或第三阶段载荷投递。然而,来自HIPS的事件却映射到第四或第五阶段,安装或利用,甚至可能是第七阶段,目标达成。因此,应该首先评估来自HIPS的警报,因为它们对应的是潜在的、更具破坏性的事件。
适当的威胁情报平台可以通过自动接收来自SIEM的告警来帮助企业解决这个问题。告警应被TIP接收,并根据警报的原始来源进行优先排序。那些映射到网空杀伤链流程后期阶段的告警应与更高的优先级相关联,并显示出来供分析人员首先响应。威胁情报平台还应该为分析员提供在平台中响应警报的功能。这样,如果是入侵或企图入侵,可以记录指标,并记录注释以解释调查是如何进行的。还可以记录行动方案(courses of action)过程,以便以可重复和有效的方式处理和处理类似的警报。
2.事件升级(根据入侵在杀伤链中的阶段确定升级报告的优先级)
分析团队的另一个常见问题是知道向谁报告每次尝试入侵网络的情况。通过Cyber Kill Chain框架调查事件可以快速确定攻击的严重性。恶意电子邮件是否已发送到收件人的收件箱?网络上的计算机是否与已知的命令和控制IP地址通信?同样,攻击在杀伤链上越往下发展,事件就应该在组织的管理链中报告得越高。如果攻击导致针对目标采取行动,这意味着攻击者能够从网络中窃取数据,影响可能需要通知组织的CEO或董事会。TIP可以为分析师提供平台来记录入侵调查的所有结果。当告警出现时,分析师会收集数据点并将其记录在TIP中。然后,分析师研究数据以了解告警并确定入侵的进展程度。TIP可以将情报的关键部分映射到Cyber Kill Chain的阶段,从中提取它以确定入侵的进展程度以及对组织的影响程度。然后,这可以直接与传达影响所需的升级级别保持一致。
3.优化投资
确定安全产品的投资回报可能是一项艰巨的任务。为未来的投资建立一个商业案例可能更加困难。组织可以直观地显示在Cyber Kill Chain过程的每个阶段存在哪些保护措施可以检测、拒绝、破坏、降级和/或欺骗入侵企图。一个图表在一个轴上显示过程的每个阶段,在另一个轴上显示对策,然后可以在每个相交的框中确定在该阶段执行缓解的适当工具。空框表示可以进行投资以进一步加强组织保护的差距。下图显示了此类图的一个示例。
通过将每次入侵尝试的缓解措施与攻击的每个阶段相关联,TIP可以提供这种类型的图表作为输出。然后可以提出投资工具来填补组织对策中的空白区域。并非每个组织都需要填补每个空白区,但越是在网空杀伤链往后,优先级就越高。例如,可能不需要降低侦察活动,但肯定需要检测命令与控制信道。此外,TIP可以帮助组织识别数据差距和来源收集要求。当分析师调查入侵和入侵企图时,那些缺乏数据的阶段可能会导致投资工具来缩小差距。
4.测量防御效果
如前所述,应使用网空杀伤链框架对企图攻击进行调查、分析和综合。攻击被阻止的阶段应该被记录下来。目标是,随着时间的推移,攻击将在过程中越来越早地被阻止。再次,TIP可以成为分析员记录调查、分析和综合每个入侵企图的结果的平台。在Cyber Kill Chain过程中,入侵被阻止的识别也可以作为一个数据点记录在TIP中。然后,TIP的另一个输出可以是一段时间内这些停止点的图形表示。理想情况下,TIP将显示分析人员识别和防止对手进入杀伤链的后期阶段的趋势,从而变得更加有效。该图的一个示例如下图所示。
5.测量弹性
如果入侵在早期Cyber Kill Chain阶段被阻止并且组织的检测和缓解措施有效,那么组织是否也具有弹性?换句话说,如果它当时没有被识别并停止,它会不会被捕获到杀伤链的下游?如果对手改变了特定的策略、签名或指标,是否有适当的安全层可以在未来的攻击中保护组织?这是在整个Cyber Kill Chain循环中综合攻击之后确定的,无论它多早被阻止。了解如果对手成功了会发生什么,与了解确实发生了什么同样重要。了解杀伤链每个阶段的防御措施,包括那些超过初始检测点的防御措施,就是了解组织的弹性如何。我们的目标是在网空杀伤链的早期有效地阻止入侵,但也要具有弹性并采取多层对策。再次,TIP 可以针对每次入侵尝试将对策与Cyber Kill Chain®框架的每个阶段相关联。这包括那些企图入侵实际上没有达到的后期阶段。TIP 可以揭示每个调查事件的弹性水平,并可以提供一种机制来比较一段时间内的弹性与入侵。与有效性一样,这一趋势有望表明组织随着时间的推移变得更有弹性,针对每次入侵尝试采取多种对策。
6.测量分析的完整性
如前所述,分析师的调查并不止于识别和阻止攻击。还必须分析攻击是如何发生的,并综合分析如果没有阻止它会发生什么。可以根据 Cyber Kill Chain框架来衡量对潜在事件的全面了解,该框架可用作伪清单,以确保分析师已挖掘出所有可能的信息。从调查的每一部分中提取数据的想法是情报驱动防御®方法的一个关键组成部分,因为它提供了指导防御的情报。好的分析的输出是大量数据和情报。管理这些数据和情报是TIP的一项功能。此外,采用Cyber Kill Chain框架进行调查的TIP有助于确保分析的完整性。它可以迫使分析师考虑每个步骤,以鼓励对入侵尝试的完整理解:我是否了解这次攻击的每个阶段?我是否充分调查、分析和综合了我可能收集到的所有信息?TIP 应该通过提供一种机制来生成自己的威胁情报,从而使分析人员能够有效地进行计算机网络防御。
7.识别和跟踪行动(Campaigns)
在组织内应用Cyber Kill Chain®流程的最后一种方法是将来自同一对手的入侵分组到行动(Campaigns)中。这种更广泛的观点提供了对特定对手何时发起攻击、他们通常使用的TTP以及组织针对该对手的有效性和弹性的洞察力。然后,组织可以对每个对手进行优先级排序和衡量,以进一步增强他们的防御能力。建立行动还提供了一个标准的命名法来改善沟通。这使分析师在识别入侵、了解潜在的后续步骤和应用适当的防御响应时更加高效。
有效的威胁情报平台使分析人员能够确定从先前事件中学到的恶意行为模式,以更好地应对未来的攻击。来自先前调查的所有数据以及从分析和综合入侵尝试中挖掘出的情报必须集中存储并易于搜索,以便识别这些模式并快速识别关系。分析师通过关联来自多个Cyber Kill Chain阶段的指标或TTP来确定攻击来自先前看到的对手,从而将入侵行为联系起来。这方面的一个强有力的例子是,能够识别出抓取你的外部网络服务器寻找文件的对手是同一个对手,他随后发送了一封带有武器化新闻稿的网络钓鱼邮件。TIP可以促进这种关联,因为它包含所有情报和以前的事件分析。
由于TIP也是所有行动映射的中心位置,因此行动热图或对对手活动的类似测量应该是TIP的输出。此热图可以帮助组织建立过去和当前对手行动的概况,帮助他们更好地了解他们将在未来何时、何地以及如何再次发起攻击。下图显示了一个示例行动热图。
总结
威胁情报平台是一种新兴技术,帮助组织消费网络情报,然后采取行动。威胁情报平台不是仅仅依靠外部情报,它还可以使一个组织过渡到生产自己的可操作情报。对于组织的长期防御而言,这是一种更可靠、可持续和更具成本效益的模型。
往期精选
围观
威胁猎杀实战(六):横向移动攻击检测
热文
全球“三大”入侵分析模型
热文
实战化ATT&CK:威胁情报