初识信息网络安全威胁情报

一、前言

过去的一段时间对威胁情报做了一些相关的调研，本文包含了现有的一些研究成果（如侵权可联系删除）和个人见解。其实，威胁情报早在几年前就被提出，国内外也慢慢的有了一定的发展，许多安全厂商也开始建立自己的威胁情报平台，一时间好像不做些和威胁情报相关的事情，就会变得过时。尤其从WannaCry事件之后，人们对于现有防御体系开始出现不断地质疑，而威胁情报被给予了厚望。本文试图对威胁情报做一个全面的概述，让更多的人能够了解参与。

​​二、基本信息

2.1定义

​目前无论是工业界还是学术界对威胁情报都还没有一个统一的定义，许多机构或论文都对威胁情报的概念进行过阐述，目前接受范围较广的是Gartner在2014年发表的《安全威胁情报服务市场指南》（Market Guide for Security Threat Intelligence Service）中提出的定义，即：

​​威胁情报是关于IT或信息资产所面临的现有或潜在威胁的循证知识，包括情境、机制、指标、推论与可行建议，这些知识可为威胁响应提供决策依据。

​​2.2分类

​按照不同标准威胁情报有多种不同的分类方式，首先根据数据本身威胁情报可以分为HASH值、IP地址、域名、网络或主机特征、TTPs（Tactics、Techniques & Procedures）这几种，其源于David J. Bianco在《The Pyramid of Pain》一文中提出的威胁情报相关指标（单一的信息或数据一般算不上威胁情报，经过分析处理过的有价值的信息才称得上威胁情报）的金字塔模型。

 

 

 

​​​​左侧是能够利用的情报，右侧是这些情报给攻击者造成的困难程度。一般来说情报中价值最低的是Hash值、IP地址和域名（也就是常说的信誉库），其次是网络/主机特征、攻击工具特征，对攻击者影响最大的是TTPs（战术、技术和行为模式）类型的威胁情报。这里分别做个简单介绍：

 ​​HASH值：一般指样本、文件的HASH值，比如MD5和SHA系列。由于HASH函数的雪崩效应，文件任何微弱地改变，都会导致产生一个完全不同也不相关的哈希值。这使得在很多情况下，它变得不值得跟踪，所以它带来的防御效果也是最低的。

​​IP地址：常见的指标之一，通过IP的访问控制可以抵御很多常见的攻击，但是又因为IP数量太大，任何攻击者均可以尝试更改IP地址，以绕过访问控制。

​​域名：有些攻击类型或攻击手法也或者出于隐藏的目的，攻击者会通过域名连接外部服务器进行间接通信，由于域名需要购买、注册、与服务器绑定等操作使得它的成本相对IP是比较高的，对域名的把控产生的防御效果也是较好的。但是对于高级APT攻击或大规模的团伙攻击，往往会准备大量备用域名，所以它的限制作用也是有限。

​​网络或主机特征：这里指的特征可以是很多方面，比如攻击者浏览器的User-Agent、登录的用户名、访问的频率等，这些特征就是一种对攻击者的描述，这些情报数据可以很好的将攻击流量从其他的流量中提取出来，就会产生一种较好的防御效果。

​​攻击工具：这里是指获取或检测到了攻击者使用的工具，这种基于工具的情报数据能够使得一批攻击失效，攻击者不得不进行免杀或重写工具，这就达到了增加攻击成本的目的。

​​TTPs：Tactics、Techniques & Procedures的缩写，这里是指攻击者所使用的攻击策略、手法等，掌握了些信息就能明白攻击者所利用的具体漏洞，就能够针对性的布防，使得攻击者不得不寻找新的漏洞，所以这也是价值最高的情报数据。

​​另一种分类方法是按使用场景，可以将情报分为3类：以自动化检测分析为主的战术情报、以安全响应分析为目的的运营级情报，以及指导整体安全投资策略的战略情报。

​​战术级情报：战术情报的作用主要是发现威胁事件以及对报警确认或优先级排序。常见的失陷检测情报（CnC 情报，即攻击者控制被害主机所使用的远程命令与控制服务器情报）、IP情报就属于这个范畴，它们都是可机读的情报，可以直接被设备使用，自动化的完成上述的安全工作。

​​运营级情报：运营级情报是给安全分析师或者说安全事件响应人员使用的，目的是对已知的重要安全事件做分析（报警确认、攻击影响范围、攻击链以及攻击目的、技战术方法等）或者利用已知的攻击者技战术手法主动的查找攻击相关线索。

​​战略级情报：战略层面的威胁情报是给组织的安全管理者使用的，比如CSO。它能够帮助决策者把握当前的安全态势，在安全决策上更加有理有据。包括了什么样的组织会进行攻击，攻击可能造成的危害有哪些，攻击者的战术能力和掌控的资源情况等，当然也会包括具体的攻击实例。

三、意义

​传统的防御机制根据以往的“经验”构建防御策略、部署安全产品，难以应对未知攻击；即使是基于机器学习的检测算法也是在过往“经验”（训练集）的基础寻找最佳的一般表达式，以求覆盖所有可能的情况，实现对未知攻击的检测。但是过往经验无法完整的表达现在和未来的安全状况，而且攻击手法变化多样，防御技术的发展速度本质上落后与攻击技术的发展速度。所以需要一种能够根据过去和当前网络安全状况动态调整防御策略的手段，威胁情报应运而生。通过对威胁情报的收集、处理可以直接将相应的结果分发到安全人员（认读）和安全设备（机读），实现精准的动态防御，达到“未攻先防”的效果。

​​四、开放平台

​​现在国内外已经建立了许多的威胁情报开放平台。

　　w  ​​绿盟威胁分析中心

　　w  ​​360威胁情报中心

　　w  ​​​微步在线

　　w  ​​​​Virustotal

　　w  ​​​​Threatcrowd

　　w  ​​​​​Riskiq

​​五、使用场景

​​5.1攻击检测与防御

​​基于威胁情报数据，可以创建IDPs或者AV产品的签名，或者生成NFT（网络取证工具）、SIEM、ETDR（终端威胁检测及响应）等产品的规则，用于攻击检测。比如IP、域名、URL等作为机读情报IOC（国际上通行的机读威胁情报标准有多种，包括：STIX、OpenIOC、IODEF、CIF、OTX等），直接导入设备，进行进出口流量的访问控制。这个方面做的比较好的厂商是Fireeye，其核心产品都可以使用威胁情报数据来增强检测和防御能力。而其他大部分厂商的产品依然无法直接使用威胁情报，这也是阻碍威胁情报落地的困难之一。

​​​乍一看这跟传统的黑白名单似乎没有区别，但实际上IOC具有更好的时效性，情报厂商不断的产生新的IOC，使用者可以不断地获取与自身相关的情报，使得在防护设备中始终保持一份“最新的热名单”，始终保持着对新型攻击的防护能力。一个比较好的例子：http://www.chinaz.com/news/2017/0630/766058.shtml

​​5.2攻击溯源

​​安全分析及事件响应中攻击溯源是重要的工作内容之一，同样可以依赖威胁情报来更简单、高效的进行处理。在攻击范围确定中可以利用预测类型的指标，预测已发现攻击线索之前或之后可能的恶意活动，来更快速的明确攻击范围；同时可以将前期的工作成果作为威胁情报，输入SIEM类型的设备，进行历史性索引，更全面的得到可能受影响的资产清单或者其它线索。尤其是借助现有的威胁情报平台可以很好的对一些关键信息紧缩检索，比如在设备日志中发现了一些可以的ip，那么就可以根据ip进行威胁情报搜索，通过ip的历史通信记录、是否与恶意样本存在过关联、PDNS、反向域名解析结果等判断ip的性质，若为恶意ip也可以根据结果顺藤摸瓜进一步查询。

​​这一部分可以参考elknot大佬的文章：

​​https://zhuanlan.zhihu.com/p/30105006

​​https://zhuanlan.zhihu.com/p/30160133

​​https://zhuanlan.zhihu.com/p/30197024

​​5.3态势感知

​​态势感知也是一个说了很多年的比较大的概念，在很多人看来好像也没起到多大的防护效果。这里我们可以换一个更接地气的名字：安全运营。现在一个稍大一点的企业都会招募自己的安全团队吗，建立自己的安全运营中心SOC（Security Operations Center）。SOC的作用一般负责应急响应、安全监测及制定整体的安全策略等工作，随着威胁情报的兴起，情报驱动的安全运营中心ISOC（Intelligence-Driven Security Operations Center ）开始被提出来。ISOC具有融合分析大数据的能力，可以产生与企业相关本的自身情报，形成对自身的感知能力（知己）；也可以调用外部开源或付费的威胁情报接口，获取最新的外部咨询，形成对外的感知能力（知彼），由此产生一定的态势感知能力。

​​六、未来

​​构建威胁情报体系，协同联动，扭转攻防失衡的局面。攻击初始化阶段，大部分操作在分钟级就可以完成；数据获取阶段，在分钟级、时级或者天级可以完成大部分操作；发现阶段，要在月级才能完成大部分操作；数据恢复和防御阶段，要在天级以上才能完成。通过对时间的对比就可以看出攻防两端实际上是不对称的，这就是为什么这么多年的安全建设依然无法防御网络上形形色色的威胁。

转载：whatday