关于威胁情报源的更多思考

作者：Derek Banks
发布于：2016年3月2日

注意： 本博文中引用的技术和工具可能已过时，不适用于当前情况。然而，本文仍可作为学习机会，并可能用于更新或集成到现代工具和技术中。

John对威胁情报源的批评文章引发了我的思考。作为一名从蓝队成员转变为紫队成员的安全从业者，我并不讨厌威胁情报（抱歉，John）。但我不会反对John的观点（不仅仅因为他给我发工资），因为他是对的。

威胁情报的误区

购买包含黑名单IP地址和域名的数据流，并将这些数据导入安全设备进行检测或阻止，然后贴上威胁情报的标签，这种做法并不那么有效。购买最新的超级设备，承诺在攻击者早上喝咖啡时就能阻止所有高级攻击，实际上也无法阻止坚定的攻击者。

如果这是您组织对威胁情报的理解和使用方式，那么您做错了。在这种模式下，您要么会向信息安全人员发送大量毫无意义的警报，缺乏上下文说明为什么某些东西可能是恶意的；要么更糟糕的是，在用户访问某些内容时进行阻止，比如Google.com不知何故进入了您无法控制内容的威胁情报源（当然这永远不会发生，对吧！？）

谁真正需要威胁情报？

那么，威胁情报对谁有用？对于那些已经对基本安全问题（如补丁和漏洞管理）建立了有效且经过测试的控制措施，并准备开始主动搜寻网络中攻击者的组织。如果您的组织已经有效解决了CIS关键控制措施，那么您可能已经足够成熟，可以开始使用威胁情报。

什么是真正的威胁情报？

供应商XYZ告诉我，他们的超级设备使用威胁情报在攻击发生前三十分钟就能阻止所有高级攻击！与计算世界的许多事物一样，描述技术的术语最终成为供应商用来销售更多产品的流行词——威胁情报似乎就是这种情况。

在我看来，威胁情报分为两类。第一类是原子威胁指标（IOCs）。这些是无法进一步分解为其他数据的内容，如IP地址、域名和文件哈希。这些通常是您在威胁情报源中看到的内容。

原子指标然后用于帮助描述下一类别——工具、技术和程序（TTPs）。这描述了攻击者使用的工具、他们使用这些工具的技术以及他们为实现特定目标而遵循的程序。这通常不是您在威胁情报源中找到的内容。

例如：“当攻击者从这个IP地址的服务器发送电子邮件时，带有此文件哈希的恶意附件创建了一个命令和控制通道到这个IP地址的服务器。然后攻击者下载并使用了这个远程访问工具，通过SMB在内部网络中横向移动，并从这些系统中收集了这类敏感数据，并使用这种压缩方法打包数据并将其外泄到另一个IP地址。”

等等，这听起来很难弄清楚，设备怎么能做到这一点？！确实非常困难。设备或数据流无法进行这种分析，只有人才能进行这种分析。攻击者可以相对容易地更改原子指标。当他们这样做时，数据流就不再有助于检测该攻击者，直到某个地方的实际人员进行分析并将新数据添加回去。

有效使用威胁情报的关键

有效使用威胁情报需要一个专门的安全分析师团队，他们的唯一工作就是检测和响应网络中的潜在攻击者。这不能通过购买设备或指标数据流来实现，然后交给那个已经因为要弄清楚为什么一个补丁破坏了人力资源部门的12台工作站而无法关注每天3000条来自未调优的IDS警报的唯一安全人员。

如何开始有效使用威胁情报？

现在我们有了一个团队，想要开始有效使用威胁情报，我们应该从哪里开始？首先，寻找并参与分析并分享特定于您行业信息的安全分析师社区。这些团体确实存在，从为情报做出贡献的分析师那里获得的数据将比服务于每个行业的供应商提供的数据流具有更多上下文。

此外，生成您自己的威胁情报。当C级高管报告可疑电子邮件，并且发现附件是武器化文档时，花时间进行分析并获取一些自己的指标。毕竟，来自那次钓鱼尝试的指标比供应商数据流中的任何指标都更有可能确实是有人在攻击您的组织。

如何处理获得的威胁情报？

既然您已经了解了为什么某个特定原子指标对您的组织有害，那么该如何处理它？我建议查看您的日志文件，看看是否曾经在您的网络中看到过任何此类指标。接下来，将其放入适当的检测设备中，以便在未来看到时通知您，但要意识到原子指标的生命周期相对较短。

如果这是您通过自己的分析发现的数据，请将其贡献回您现在所属的信息共享社区。尽可能详细地提供原子指标，说明攻击者使用的TTPs。仅仅一个最近且具体的攻击者活动的原子指标就可能有助于防止事件发生，但TTPs对攻击者来说更难更改，并且比单独的原子指标有效期更长。

这种与信息共享团体建立的分析反馈模型是一种更有效的方式，可以实际使用威胁情报来发现网络中的攻击者，并帮助其他人做同样的事情。