作者：Derek Banks，InfoSec 101
紫色团队，威胁情报源

更多关于威胁情报源的内容

Derek Banks //
咨询： 本博客文章中引用的技术和工具可能已过时，不适用于当前情况。然而，这篇博客文章仍可能作为学习机会，并可能更新或集成到现代工具和技术中。

John 对威胁情报源的批评文章让我思考。作为一名前蓝队成员，现在坚定地属于紫色团队，我并不讨厌威胁情报（抱歉，John）。但我不会不同意 John 的观点（不仅仅是因为他签我的工资单），因为他是对的。

购买黑名单 IP 地址和域名的数据源，并将这些数据流导入安全设备以检测或阻止，并贴上威胁情报标签，这种做法并不那么有效。购买最新的超级设备，承诺在攻击者甚至还没喝早晨咖啡时就阻止所有高级攻击，实际上并不能阻止坚定的攻击者。

如果这是您组织对威胁情报的理解和使用方式，那么您做错了。在这种模式下，您要么会向信息安全人员发送大量无意义的警报，没有上下文说明为什么某些东西可能有害，要么更糟的是，在用户访问某些内容时阻止访问，比如 Google.com 不知何故进入了您无法控制输入内容的威胁情报源（当然这永远不会发生，对吧！？）

那么，威胁情报对谁有用？对于已经为基本安全问题（如补丁和漏洞管理）建立了有效且经过测试的控制措施，并准备开始主动搜寻网络中的攻击者的组织。如果您的组织已经有效解决了 CIS 关键控制，那么您可能已经足够成熟，可以开始使用威胁情报。

那么，威胁情报到底是什么？供应商 XYZ 告诉我，他们的超级设备使用威胁情报在攻击发生前三十分钟就阻止所有高级攻击！与计算世界中的许多事物一样，描述技术的术语最终成为供应商用来销售更多产品的流行语——威胁情报似乎就是这种情况。

对我来说，威胁情报分为两类。第一类是原子指标（IOCs）。这些是无法进一步分解为其他数据的东西，如 IP 地址、域名和文件哈希。这些通常是您在威胁情报源中看到的内容。

原子指标然后用于帮助描述下一类——工具、技术和程序（TTPs）。这描述了攻击者使用的工具、他们使用这些工具的技术，以及他们为实现特定目标而遵循的程序。这通常不是您在威胁情报源中找到的内容。

例如：“当攻击者从这个 IP 地址的服务器发送电子邮件时，带有此文件哈希的恶意附件创建了一个命令和控制通道到该 IP 地址的服务器。然后攻击者下载并使用了此远程访问工具，通过 SMB 在内部网络中横向移动，并从这些系统中收集了此类敏感数据，并使用此压缩方法打包数据并将其外泄到另一个 IP 地址。”

等等，这听起来很难弄清楚，设备怎么能做到这一点？！确实，非常困难。设备或数据源无法进行这种分析，人才进行这种分析。攻击者可以相对容易地更改原子指标。当他们这样做时，数据源就不再帮助检测该攻击者，直到某个地方的实际人员进行分析并添加新数据。

有效使用威胁情报需要一个专门的安全分析师团队，他们的唯一工作是检测和响应网络中的潜在攻击者。这不能通过购买设备或指标源来实现，交给那位已经不注意来自未调优 IDS 的每天 3,000 条警报的安全人员，因为他正在试图弄清楚为什么一个补丁破坏了人力资源部门的 12 台工作站。

现在我们有了一个团队，并希望开始有效使用威胁情报，我们从哪里开始？首先，寻找并参与分析并分享与您行业特定信息的安全分析师社区。这些群体确实存在，您从贡献情报的分析师那里获得的数据将比服务于每个行业的供应商的数据源有更多上下文。

此外，生成您自己的威胁情报。当 C 级高管报告一封电子邮件可疑，并且附件是一个武器化文档时，花时间进行分析并获取一些自己的指标。毕竟，来自那次钓鱼尝试的指标更可能是实际攻击您组织的人，而不是供应商数据源中的任何指标。

现在您对为什么某个特定原子指标对您的组织有害有了一些上下文，您该怎么做？我建议查看您的日志文件，看看是否曾经在您的网络中看到过任何此类指标。接下来，将其放入适当的检测设备中，以便在未来看到时通知您，但要意识到原子指标的生命周期相对较短。

如果这是您从自己的分析中发现的数据，请将其贡献回您现在所属的信息共享社区。尽可能详细地提供原子指标，说明攻击者使用的 TTPs。仅仅一个近期和特定攻击者活动的原子指标可能有助于防止事件，但 TTPs 对攻击者来说更难更改，并且比单独的原子指标有效时间更长。

这种与信息共享群体进行分析反馈模型是一种更有效的方式，可以实际使用威胁情报来发现网络中的攻击者，并帮助其他人做同样的事情。

准备好了解更多吗？
通过 Antisyphon 的实惠课程提升您的技能！
按您所能付费培训
提供直播/虚拟和点播形式