更多关于威胁情报源的内容

作者：Derek Banks
发布于2016年3月2日

咨询提示： 本文引用的技术和工具可能已过时，不适用于当前情况。但本文仍可作为学习机会，并可能用于更新或集成到现代工具和技术中。

John对威胁情报源的批评文章让我深思。作为一名曾经的蓝队成员，现在坚定地转向紫队，我并不讨厌威胁情报（抱歉，John）。但我不会不同意John的观点（不仅仅是因为他发我工资），因为他是对的。

购买一份黑名单IP地址和域名的数据流，将其大量数据输入安全设备以检测或阻止，并贴上威胁情报的标签，并不是那么有效。购买最新的超级设备，承诺在攻击者甚至还没喝早晨咖啡时就阻止所有高级攻击，实际上并不能阻止坚定的攻击者。

如果这是您组织对威胁情报的理解和使用方式，那么您做错了。在这种模式下，您要么会向信息安全人员发送大量无意义的警报，没有上下文说明为什么某些东西可能有害；要么更糟的是，当Google.com somehow进入您无法控制的威胁情报源时，阻止用户访问某些内容（当然，这永远不会发生，对吧！？）

那么，威胁情报对谁有用？对于已经为基本安全问题（如补丁和漏洞管理）实施了有效且经过测试的控制措施，并准备开始主动搜寻网络中攻击者的组织。如果您的组织已经有效解决了CIS关键控制，那么您可能已经足够成熟，可以开始使用威胁情报。

那么，威胁情报到底是什么？供应商XYZ告诉我，他们的超级设备使用威胁情报在攻击发生前三十分钟就阻止所有高级攻击！就像计算世界中的许多事物一样，描述技术的术语最终成为供应商用来销售更多产品的流行语——威胁情报似乎就是这种情况。

对我来说，威胁情报分为两类。第一类是原子指标（IOCs）。这些是无法进一步分解为其他数据的东西，如IP地址、域名和文件哈希。这些通常是您在威胁情报源中看到的内容。

原子指标然后用于帮助描述下一类——工具、技术和程序（TTPs）。这描述了攻击者使用的工具、他们使用这些工具的技术，以及他们为实现特定目标而遵循的程序。这通常不是您在威胁情报源中找到的内容。

例如：“当攻击者从这个IP地址的服务器发送电子邮件时，带有此文件哈希的恶意附件创建了一个命令和控制通道到这个IP地址的服务器。然后攻击者下载并使用了这个远程访问工具，通过SMB在内部网络中横向移动，并从这些系统中收集了这种类型的敏感数据，并使用这种压缩方法打包数据，并将其外泄到另一个IP地址。”

等等，这听起来很难弄清楚，设备怎么能做到这一点？！是的，非常困难。设备或数据流无法进行这种分析，是人进行这种分析。攻击者可以相对容易地更改原子指标。当他们这样做时，数据流就不再帮助检测该攻击者，直到某个地方的实际人员进行分析并添加新数据。

有效使用威胁情报需要一个专门的安全分析师团队，他们的唯一工作是检测和响应网络中的潜在攻击者。这不能通过购买设备或指标数据流来实现，交给那个已经不注意来自未调优的IDS的每天3000条警报的安全人员，因为他正试图弄清楚为什么一个补丁破坏了人力资源部门的12台工作站。

现在我们有了一个团队，并想开始有效使用威胁情报，我们从哪里开始？首先，寻找并参与分析并分享与您行业特定信息的安全分析师社区。这些团体确实存在，您从贡献情报的分析师那里获得的数据将比服务于每个行业的供应商的数据流有更多的上下文。

此外，生成您自己的威胁情报。当C级高管报告一封电子邮件可疑，结果发现附件是一个武器化文档时，花时间做一些分析，获得一些您自己的指标。毕竟，来自那次钓鱼尝试的指标更有可能实际上是有人攻击您的组织，而不是供应商数据流中的任何指标。

现在您对为什么某个原子指标对您的组织有害有了一些上下文，您该怎么做？我建议查看您的日志文件，看看是否曾经在您的网络中看到过任何内容。接下来，将其放入适当的检测设备中，以便在未来看到时通知您，但要意识到原子指标的生命周期相对较短。

如果这是您从自己的分析中发现的数据，请将其贡献回您现在所属的信息共享社区。尽可能详细地提供攻击者使用的TTPs的原子指标。仅仅一个最近且具体的攻击者活动的原子指标可能有助于防止事件，但TTPs对攻击者来说更难更改，并且比单独的原子指标有效时间更长。

这种与信息共享团体的分析反馈模型是一种更有效的方式，可以实际使用威胁情报来发现网络中的攻击者，并帮助其他人做同样的事情。

准备好了解更多吗？
通过Antisyphon的实惠课程提升您的技能！
Pay-Forward-What-You-Can培训
提供实时/虚拟和点播选项