标准化威胁情报生产与消费
2023-12-25 15:34:29 Author: mp.weixin.qq.com(查看原文) 阅读量:4 收藏

本系列文章将重点介绍威胁情报的落地(消费)问题,笔者认为这也是国内威胁情报行业面临最主要的问题之一,很多时候,网络安全厂商的报告写的很好,但甲方(情报消费者)能不能用起来却是个很大的问题。

第一部分主要介绍MITRE的CTI蓝图(CTI Blueprints)项目。CTI蓝图项目真正关注的是情报周期的开头和结尾部分(计划和方向以及传播和集成)。通过该项目,CTI团队可以生成基于不同受众的威胁情报报告,如管理层、检测与狩猎团队、事件响应团队等。还有很多其他功能,这里不赘述。

注:关于情报周期的概念这里不赘述。

计划和方向(Planning and Direction)

这是情报周期的第一步,主要是与客户和利益相关方合作,明确他们的情报需求和优先级。这些情报需求将指导后续的情报收集和分析工作。

传播和集成(Dissemination and Integration)

威胁情报团队与相应的利益相关方分享他们的见解和建议。根据这些建议,组织可以采取一系列行动,比如针对新发现的 IoC(指标信息)建立新的 SIEM(安全信息与事件管理)检测规则,或者更新防火墙黑名单,以阻止来自新发现的可疑 IP 地址的流量。很多威胁情报工具能够与 SOAR(安全自动化与响应)或 XDR(扩展检测与响应)等安全工具集成,并共享数据,以自动生成关于正在进行中的攻击的警报,为威胁优先级分配得分,或触发其他安全措施。

在我们真正深入探讨CTI蓝图解决方案之前,我想花些时间来讨论我们选择解决的具体问题,以便更好地理解为什么我们作为中心感觉发布这个项目是如此重要。这样你们也能更好地理解我们为什么以现在的方式制定了我们的解决方案,以及我们试图通过这个项目解决行业中的哪些差距。

我们的问题在于,威胁情报生产者需要明确的具体指导,以及创建能满足其成员需求的情报的工具。这个问题说明中有两种需求。首先,CTI生产者需要明确的具体指导,以了解什么构成良好的CTI报告,我该如何创建一个可操作的报告,我的客户实际会阅读和使用的报告。其次,CTI分析师有大量手动流程要处理,大量需要收集和综合的数据需要传播。那么我们如何提供工具,使他们以客户易于理解的格式更轻松地共享CTI呢?

这就是我们启动此项目的具体问题。

我想大多数人可能都熟悉情报周期,为了更好地开展CTI,我们必须更好地执行情报周期的所有阶段。简要概述一下情报周期,首先是计划和方向,与客户合作,试图了解他们的需求和情报需求。从这里,我们根据他们的需求开始收集数据。接下来,我们进行处理和利用,如何将数据转化为可用格式,如何获得通用分类法,以便我们可以开始分析它。然后,当然我们有我们的分析和产出,查看所有不同的关联,形成一个假设,并最终创建一个将传播给客户的评估。在整个周期中,我们应该对我们所处的位置进行评估,我们是否真正满足了客户的需求,并且是否从他们那里获得反馈,以确保我们正在正确的轨道上,并且我们正在产生有用的产出。

大多数CTI团队真正把他们的主要精力放在情报周期的中间部分,收集、处理和利用以及分析和产出。当然,CTI团队的资源往往很紧张,任务也很繁重。这种情况再加上专注于情报周期的中间部分,实际上使许多CTI团队无法为其客户提供所需的支持。因此,我们观察到该行业的一些常见陷阱。首先是“部落知识”的想法,许多CTI团队的运作方式是根据团队中最资深的分析师。因此,您会发现每个团队都根据自己的口味和文化运作,行业内没有CTI标准化。我认为,您可以通过在线搜索CTI文章就可以看到这一点,您可以看到它们的格式、内容和传播方式存在很大差异。

很多时候,这是因为最高级的人会提供指导意见,说明团队将如何编写和传播情报。很多时候,你最高级的人可能来自政府,每个政府机构都有自己的文化和做事方式,当这些政府人员退休或离开政府开始在CTI团队工作时,这些过程和偏见会转移到行业中。所以你会有一种个人崇拜的文化,团队的运作没有真正的方法论,而仅仅是根据那个最高级别的人习惯的方式来做事,而不是对如何改进流程进行评估。再次,由于CTI团队如此繁忙,他们没有时间记录这些非常有经验的人员的机构知识。因此,当新CTI分析师上任时,学习曲线往往非常陡峭,这是因为CTI分析师作为入门级工作有一定难度,因为它需要同时掌握网络领域知识和情报分析知识。这两者有些地方是重叠的,有些地方则不是。您需要一套技能培训来获取技术知识,而了解如何编写客户可以操作的内容需要完全不同的培训。不幸的是,许多团队没有时间培训新人如何创建有价值的产出。

这种情况导致CTI团队无法为其客户提供所需的支持。通常,情报需求的数量都超过了CTI团队的人数所能提供的支持。当新人加入时,他们经常需要查看先前的交付物,了解我需要写什么,如何写,什么是风格等,这最终导致没有可重复的流程来完成工作,也没有真正的分析培训。

更复杂的情况是,CTI与其客户之间的集成并不总是很好。例如,CTI应为事件响应团队提供支持,但事件响应的行动非常迅速,他们没有时间坐下来阅读大量有关威胁行为体的报告,他们需要了解战术信息,即对手通常如何运行、建立持久性以及他们的可能目标。所以,CTI团队经常无法以让事件响应团队可用的方式工作和提供重要材料。

考虑到这些挑战,CTI蓝图真正关注的是情报周期的开头和结尾部分(计划和方向以及传播和集成)。我们真的相信,关注这两个不太重视的领域将有助于解决许多问题,因为如果您不知道您的客户是谁,不知道他们在问什么问题,不知道他们需要做出什么决定,并且如果您无法以他们易于理解的方式传播情报,那么再好的报告也没用,如果没有人读和使用的话。

所以我们真的想首先关注关键情报需求,了解您的客户通常感兴趣知道什么,他们的工作是什么,CTI可以提供什么数据点来帮助他们做出决策。情报需求总是CTI中非常棘手的一个方面,很难把握好。您真的需要与客户密切合作,来回讨论以试图理解他们的需求。

因为他们有时可能无法告诉你他们需要知道的信息,所以建立关系并试图理解他们的需求非常重要。CTI蓝图通过关注这一方面以及如何将这个产品制作成特定客户将阅读和使用的格式,重点关注这一点。如果您能正确地进行规划、指导和传播与整合,您就有更高的机会生产可操作的高质量产品。所以,CTI蓝图的重点是解决这两个领域的问题。 

因此,我们的解决方案是通过专家开发的模板生成的可操作的情报报告来回答关键问题,这些报告反映了关键信息使用者的用例。我们创建了一套解决方案,包括模板、示例报告和一个软件工具,以帮助解决社区中的一些问题。

解决方案的第一部分是我们的CTI蓝图模板。这些模板是为有针对性的传播设计的,也就是说,每个模板都是针对特定客户设计的,而不是创建一个“万能”的报告,希望它被所有人获取并提取相关部分。通过我们的研究,我们发现这不是最有用的方式来让客户进行操作并能够快速采取行动。此外,对分析师来说,编写一份面向所有人的报告也非常困难。我们发现,为新的和资源不足的团队提供一套基础模板更有效,这些模板描述了目标受众是谁,他们需要做出什么决定,以及CTI提供了什么数据要点应该包含在模板中以回答这些问题。所以,我们真正关注情报需求并帮助分析师能够编写它们。

这些模板包含了必要的指导和信息要点,以回答关键情报问题。我们决定制作四个模板来达到四个关键目标。这四个模板对于新团队和资源匮乏的团队快速培训人员如何进行分析和创建可操作报告非常重要。。。。。。

往期精选

围观

威胁猎杀实战(六):横向移动攻击检测

热文

全球“三大”入侵分析模型

热文

实战化ATT&CK:威胁情报


文章来源: https://mp.weixin.qq.com/s?__biz=MzU0MzgyMzM2Nw==&mid=2247485261&idx=1&sn=3ec5a207fe6cc3595f02d92ed20b4ba5&chksm=fb04c425cc734d33df0097194bef6b02665c5a4d0ff70e764d6b9c519778a05134a2a725b59c&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh