我們已經(jīng)看過(guò)許多威脅情報(bào)的演講和文章，也向很多專業(yè)人員咨詢過(guò)威脅情報(bào)怎樣利用的問(wèn)題。其中抱怨最多的就是：現(xiàn)在所謂的威脅情報(bào)根本就是聚焦點(diǎn)很窄的平面(flat)數(shù)據(jù)。有時(shí)候，這些數(shù)據(jù)會(huì)派上用場(chǎng)，但多數(shù)時(shí)候，根本沒(méi)用。

原始數(shù)據(jù)，比如簽名和IP地址列表，只要沒(méi)經(jīng)過(guò)驗(yàn)證或者缺乏上下文，就不能稱之為情報(bào)。多數(shù)專家認(rèn)為，還是需要一個(gè)清楚業(yè)務(wù)需求的人來(lái)分析這些平面數(shù)據(jù)并作出判斷。

舉個(gè)例子：

一份關(guān)于勒索軟件CryptoLocker及其相關(guān)IP地址的數(shù)據(jù)反饋，并不能解釋清楚如何減輕風(fēng)險(xiǎn)，也幫不了公司決策該如何反應(yīng)。換句話說(shuō)，這么一份反饋，或者說(shuō)情報(bào)，不具備可行性。不幸的是，一些廠商出售的，還就是這樣的東西——未經(jīng)處理的粗陋數(shù)據(jù)反饋。

一位安全從業(yè)人員對(duì)此案例評(píng)價(jià)道：“你最多能用這東西封鎖一些命令和控制服務(wù)器，查看一下數(shù)據(jù)流向，檢查公司里有沒(méi)有人的機(jī)器被感染了——通常都只是事后補(bǔ)救了，不過(guò)至少你可以給點(diǎn)反應(yīng)。這還是在假設(shè)你擁有安全信息和事件管理(SIEM)系統(tǒng)，或者有專門(mén)的團(tuán)隊(duì)處理事件響應(yīng)和調(diào)查的情況下。”

選購(gòu)?fù){情報(bào)解決方案的最終目標(biāo)，就是獲得可行性情報(bào)支持。而只有經(jīng)過(guò)評(píng)估和驗(yàn)證的情報(bào)，才具備可行性;否則，就僅僅只是原始信息而已。

基本上，公司和機(jī)構(gòu)都希望知道：

誰(shuí)在攻擊?為什么要攻擊?怎樣攻擊的?

我們的競(jìng)爭(zhēng)對(duì)手也被攻擊了嗎?

商業(yè)合作伙伴有沒(méi)有被攻擊?或者，是針對(duì)整個(gè)行業(yè)的攻擊有所上升?

攻擊能力和攻擊方式是什么?

攻擊者的常用工具和攻擊策略是什么?

可想而知，總有數(shù)據(jù)反饋能夠提供回答所有這些問(wèn)題的零零散散的信息。但，再次強(qiáng)調(diào)，這沒(méi)什么卵用!缺少了上下文，這些信息你用不起來(lái)。

對(duì)公司而言，威脅情報(bào)的長(zhǎng)期價(jià)值，在于驅(qū)動(dòng)改變的能力。

經(jīng)驗(yàn)證的威脅情報(bào)(或者有著適當(dāng)上下文的數(shù)據(jù))應(yīng)該能改變行為——無(wú)論這些行為是否是安全運(yùn)營(yíng)中心(SOC)確定并響應(yīng)警報(bào)的做法;是否是用戶判斷并處理網(wǎng)絡(luò)釣魚(yú)郵件的方式;是否是決策者和高管投資安全項(xiàng)目或優(yōu)先考慮長(zhǎng)期安全計(jì)劃的行動(dòng)。某些情況下，威脅情報(bào)將幫助事件響應(yīng)(IR)團(tuán)隊(duì)爭(zhēng)取到更短的檢測(cè)和響應(yīng)時(shí)間——切實(shí)的好處。

一名分析師的案例：

最近金融行業(yè)的一名安全從業(yè)人員接受了采訪，透露了他們的威脅情報(bào)使用體驗(yàn)，以及威脅情報(bào)是怎樣影響他們的操作的。出于保護(hù)他們公司和客戶的考慮，我們就稱他為M吧。

M說(shuō)，涉及到數(shù)據(jù)反饋和處理多種來(lái)源的大量信息時(shí)，一個(gè)很大的問(wèn)題在于，公司能不能成功管理起這些數(shù)據(jù)，能不能獲得需要的定制數(shù)據(jù)。

“目前，我所在的金融公司主要利用日志分析軟件Splunk，將通用黑名單和開(kāi)源情報(bào)反饋與我們邊界設(shè)備記錄下來(lái)的地址、蜜罐和金融服務(wù)信息共享與分析中心(FS-ISAC)的通報(bào)關(guān)聯(lián)起來(lái)。”

作為一名分析師，小M要審查特定的FS-ISAC數(shù)據(jù)，查找金融相關(guān)網(wǎng)絡(luò)釣魚(yú)、憑證竊取、詐騙相關(guān)數(shù)據(jù)，并與她的團(tuán)隊(duì)和公司風(fēng)險(xiǎn)高管共享這些信息。必要的話，他們有時(shí)候也會(huì)與FS-ISAC共享網(wǎng)絡(luò)釣魚(yú)或詐騙指示器相關(guān)信息。

“我們?cè)欢炔捎媒y(tǒng)一威脅共享工具，付費(fèi)和開(kāi)源的都用過(guò)。我們從FS-ISAC弄了個(gè)早期版本的Soltra服務(wù)器，但那需要大量的數(shù)據(jù)庫(kù)知識(shí)才能管理。隨著時(shí)間的推移，出現(xiàn)了很多需要跨團(tuán)隊(duì)介入才能解決的問(wèn)題，而我們?nèi)狈θ耸帧?rdquo;

“鑒于我們目前的處理過(guò)程適合公司當(dāng)前規(guī)模，在砸錢(qián)引進(jìn)解決方案上我們有一點(diǎn)點(diǎn)顧慮。不是沒(méi)有嘗試過(guò)一些看起來(lái)靠譜的付費(fèi)產(chǎn)品/設(shè)備，尤其是Vorstack。然而，因?yàn)轭A(yù)算調(diào)整，我們覺(jué)得當(dāng)前擁有的東西就足以應(yīng)付需要處理的數(shù)據(jù)/威脅規(guī)模了。”

那么，工作流究竟是怎樣的呢?

小M的大多數(shù)安全設(shè)備，都已經(jīng)可以基于廠商提供的指示器反饋來(lái)響應(yīng)/封鎖/報(bào)警威脅了。但是，在社會(huì)工程和人際互動(dòng)會(huì)引入風(fēng)險(xiǎn)的地方，小M的團(tuán)隊(duì)會(huì)將這些信息與員工們共享。

比如說(shuō)，向HR發(fā)出簡(jiǎn)歷相關(guān)的攻擊行動(dòng)警報(bào)。但人工篩查只在必要的時(shí)候進(jìn)行，因?yàn)樗麄冇X(jué)得，當(dāng)我們已經(jīng)向非以安全為中心的團(tuán)隊(duì)提供了太多數(shù)據(jù)時(shí)，警報(bào)疲憊就相當(dāng)可觀了。

那么，事關(guān)警報(bào)，多少數(shù)據(jù)才算太多呢?

“我們現(xiàn)在只尋找特別針對(duì)金融公司的威脅了，比如與已知詐騙活動(dòng)相關(guān)的數(shù)據(jù)、面向金融行業(yè)的DDoS威脅、網(wǎng)絡(luò)釣魚(yú)/憑證竊取、高管級(jí)鯨釣嘗試、具金融性質(zhì)的特定水坑攻擊……”

政治活動(dòng)相關(guān)的威脅也要進(jìn)行監(jiān)測(cè)和走勢(shì)預(yù)測(cè)，以防存在攻擊者重疊。不過(guò)，通常，暴力攻擊IP本質(zhì)上很雜亂，小M的公司啟用了他們的防火墻、入侵檢測(cè)系統(tǒng)、負(fù)載平衡廠商的黑名單，以及其他啟發(fā)式/流量行為檢測(cè)機(jī)制來(lái)對(duì)抗。

“例如，針對(duì)政府的水坑攻擊、匿名攻擊等等，對(duì)我們的影響就沒(méi)有那些可以在較大型金融機(jī)構(gòu)遭到攻擊時(shí)提前聽(tīng)說(shuō)的銀行木馬、偶發(fā)匿名金融攻擊等的大。”

FS-ISAC在價(jià)值，在于對(duì)社會(huì)工程誘餌、詐騙策略，以及特定攻擊“詭計(jì)”的描述和建議。這些具體信息能幫助安全團(tuán)隊(duì)準(zhǔn)備對(duì)員工的培訓(xùn)，通過(guò)內(nèi)部網(wǎng)絡(luò)釣魚(yú)演練和一般的安全意識(shí)培養(yǎng)都能達(dá)到效果。

原始數(shù)據(jù)的相互關(guān)聯(lián)非常有用。只要收到能幫安全團(tuán)隊(duì)理解攻擊模式的情報(bào)，他們通常都可以預(yù)測(cè)出相關(guān)的攻擊工具變體，通報(bào)給事件響應(yīng)團(tuán)隊(duì)和可能會(huì)被盯上的員工。攻擊指征(Indicator)是很好用的，但如果團(tuán)隊(duì)理解了攻擊行為或目標(biāo)，而不是只面對(duì)一堆靜態(tài)數(shù)據(jù)，它們也就不是那么重要了。

“之前就這么說(shuō)的，但情報(bào)總是太多太雜，公司真正需要的是可行性情報(bào)，跟那些24小時(shí)前遭到的每條暴力攻擊原始情報(bào)數(shù)據(jù)完全不是一碼事，到那時(shí)候，我們的設(shè)備早都收到新的黑名單了。”

“每個(gè)行業(yè)都有自己特別的需求，大多數(shù)威脅情報(bào)提供商給出的是高壓水槍式噴涌的數(shù)據(jù)，需要空間管理和人力審查，得精挑細(xì)選出對(duì)公司真正有影響的，以及真正應(yīng)該響應(yīng)的。”

原文地址：http://www.aqniu.com/news-views/14250.html