如何快速識別重要威脅
ThreatConnect是威脅情報代表性企業之一,著名的鉆石模型理論提出者。ThreatConnect近期發布了一份報告,講述企業如何通過威脅情報平臺來增強SIEM/SOC的安全能力,以便更全面的理解威脅、消除誤報,形成主動、智能的防御體系。小編帶您一起具體了解下這份報告的內容。
1. 從SIEM的本質出發,它是用來做什么的?有哪些局限?
安全信息與事件管理系統(SIEM)在國內我們通常更傾向于稱之為安全運營中心(以下簡稱SOC),主要用于發現整個企業中的趨勢和態勢,從多種事件和具有上下文信息的數據源中收集和分析安全事件, SIEM支持威脅檢測和安全事件響應——即:一個界面可以連接所有數據。大多數企業使用SIEM來收集日志數據,并將安全事件與多個系統(入侵檢測設備,防火墻等)內部安全日志和事件數據相關聯。它是有效關聯內部數據和提取的威脅數據信息流的起點,還可以自動報警并進行阻斷。然而,隨著攻擊者的不斷“創新”,企業需要越來越多的了解威脅的本質、意圖、技術和造成損害的能力,SIEM的局限性開始顯現。隨著SIEM投產與運營。不斷增加的噪音和系統復雜性中的“傳感器疲勞”會逐步壓垮SIEM和它的安全技術團隊。企業安全團隊正在努力從已部署的SIEM中發現真正價值,原因如下:
- 太多原始“噪音”:SIEM的一個重大困難在于其中輸入的數據需要大量的過濾。如果過量的威脅元數據進入SIEM,可能會產生大量的誤報,降低SIEM性能,也會強烈干擾監控和事件響應團隊。此外,當無效的原始威脅信息流開始并入到SIEM中,它就無法分別情報的好壞。如果您的SIEM都無分辨,您又如何做到?
- 知己欠缺知彼: 雖然SIEM可以關聯事件,或分析可疑或惡意活動,精確定位威脅。但是它缺乏專注于對手的意圖或基于過去觀察到的行為顯示入侵者下一步可能做什么的能力。
- 只對已知威脅有反應:由于SIEM通常只能識別和標記已知威脅,而當您試圖在惡意行為之前提前采取行動時,這將成為問題。如果一個持續的攻擊者使用新的技術或工具來抵御企業的檢測,SIEM本身無法檢測到它,因為它對這種新方法并不熟悉。
2. 將威脅情報集合到SIEM中的好處
- 許多機構認為, SIEM和態勢感知系統是解決安全分析困境的靈丹妙藥,實際上它們只是一個起點。因為傳統SIEM不是設計用來處理非結構化、具備多種格式的威脅情報,并且這些情報是分析所必需的,來自于不同來源。如果輸入太多未經驗證的數據,這些數據將會在實質上以垃圾信息的方式來阻礙企業的安全動脈,會快速導致SIEM消化不良并拖垮稀缺的安全分析資源。所以希望將一大堆未經審查的威脅數據輸入SIEM,來實現一個所謂的威脅情報解決方案的,一定請三思。
- 威脅情報為安全團隊提供了“及時識別和應對攻陷指標的能力“。雖然有關攻擊的信息比比皆是,威脅情報在過程中識別攻擊行為的實質是將這些信息與攻擊方法和攻擊進程的上下文知識緊密結合。
- 將SIEM與威脅情報匹配。企業將以敏捷和快速反應的方式應對不斷發展的、大批量、高優先級的威脅。如果不進行匹配,企業則是在盲目地努力并且還要面對混亂報警的局面。
- 在SIEM中觀察威脅會過度關注內部細節。所有形式的威脅數據,不論是結構化還是非結構化的,都需要從更“全球化”的角度進行綜合分析和研究。當使用篩選后的高質量威脅情報來預警時,你才能開始形成對于威脅的態勢感知能力(它們可以對你做什么以及它們如何做),黑客基礎設施和武器(它們從哪來),動機(為什么它們這么做)以及它們的目的和資源的全面的了解。
3. 用威脅情報來構建SIEM的主要部分,將SIEM與威脅情報平臺綁定聯動。
威脅情報平臺可以幫助企業完成經常超過企業自身能力的、需要耗費大量勞動力的對于威脅情報的威脅分析。威脅情報平臺是一個動態系統,從許多不同的來源自動采集威脅數據,然后將該數據相互關聯,將其豐富,并將其無縫與基礎安全設施聯動。
通過威脅情報平臺,企業可以匯總和合理化威脅數據自動篩選出攻陷指標(IOC)作為可機讀威脅情報(MRTI),并且使用現存的日志對比匹配以便輕松發現不常見的趨勢或線索,并對其有效執行操作。通過將團隊、流程和工具結合在一起,威脅情報平臺為安全團隊提供了對于威脅來自哪里前所未有的視野,并可以從頭到尾跟蹤整個事件,通過報告,可指導安全響應并進行阻斷。節省了追蹤傳統SIEM產生的誤報所花的大量時間。
在威脅情報平臺聚合的威脅情報和SIEM可讓您對威脅進行有效的控制、驗證、度量威脅情報的價值,并在SIEM中成熟地使用它來進行警報和阻斷。通過威脅情報平臺,可以確信您的數據是與威脅相關的并已經進行優先性排序的,以便您在SIEM中更正確地處置。
4. SIEM+威脅情報平臺:如何充分利用您的威脅情報?
- 如果正確實施的話,威脅情報可以增強檢測和響應能力,節省時間,并幫助您做出更好的戰略安全決策。但要充分利用威脅情報,威脅情報平臺提供的一些最佳實踐和工作流程能夠幫助統一人員、流程和技術。
- 日志,事件和數據的進一步分析:基于兩個系統之間的雙向數據流,來自威脅情報平臺的攻陷指標將自動發送到SIEM中進行警報,并將來自SIEM的特定事件發送回威脅情報平臺來進行關聯分析、數據挖掘和優先性排序。在威脅情報平臺通過確定哪些來源或工具被識別出的惡意行為,可在網絡中進行定位,分析人員可以鎖定惡意行為的所在位置。
- 建立企業自身威脅知識庫:綜合性威脅情報平臺可以作為企業的中央威脅信息庫。幫助企業了解網絡犯罪分子的工具、流程、受害者和預期目標。可以輕松地將來自過去的攻擊者活動的信息與當前的信息進行關聯,并從過去的攻擊中學習,主動阻止攻擊者當前和未來可能的攻擊。
- 優化企業安全投資:利用內置的工作流程,威脅情報平臺也可以將更智能的做法轉移到SIEM及其他入侵檢測安全工具中。
- 根據企業網絡環境生成和優化情報:威脅情報平臺沒有像SIEM那樣關注一系列事件找出矛盾的地方,而是增加了上下文信息和關系豐富的指標,從而使企業能夠更好地了解威脅的性質、對企業的風險,更有效地做出全面的反應。幫助企業從戰略上挫敗攻擊者,而不是玩打地鼠的游戲。
- 形成主動防御:威脅情報平臺允許安全響應團隊跨過自己的網絡尋找線索和聯系,這可以顯示攻擊企業的威脅與可能存在的威脅之間的關系,并發現新的相關的情報。使用這些信息,幫助安全團隊變被動防御轉為主動防御。
一個高效的威脅情報平臺(Threat Intelligence Platform,TIP)致力于精準發現內部失陷主機,幫助安全團隊快速并準確定位威脅所在,提供威脅相關的豐富的上下文信息以供分析和響應。比如微步在線是基于龐大的威脅分析云,經驗豐富而專注的分析師團隊,深度學習技術積累,國內外領先的網絡基礎數據和威脅情報社區,幫助客戶實現以下檢測目標:
(1 ) 以結果驅動的數據收集體系。
威脅情報中心是以實際的檢測和分析能力輸出作為驅動,與SIEM最大的差別在于不是數據的吸塵器,收集過多的數據只會產生更大的噪聲,并對影響性能。僅收集必要的多源數據,極大降低了投入和運維成本,縮短建設周期,可快速見效,有助于幫助管理層逐步樹立對大數據安全建設的信息。這也是國內知名威脅情報公司定位于聚焦威脅,情報驅動的初衷。
( 2) 能夠快速準確的檢測威脅,發現被控主機。
要基于海量數據和強大分析師團隊提取遍布全球的惡意域名、IP等攻擊基礎設施在網絡流量中準確發現失陷主機與被控端的連接。此外應用深度學習方法的DGA算法,發現對惡意動態生成域名的訪問。TIP還在通過在主機端指定目錄和進程中進行惡意軟件和木馬的發現,進一步幫助定位失陷主機。
(3 ) 結合威脅情報數據和海量基礎數據提升客戶對威脅事件的分析能力。
有效的將企業安全分析所需的海量網絡基礎數據、黑客組織畫像等基礎能力植入本地TIP平臺,幫助客戶形成一整套用于威脅分析的能力體系。
( 4) 在實際應用當中,一個高效的威脅情報中心還應具備的實戰應用特性,如微步在線TIP:
- 基于出站流量檢測,實現更全面的失陷主機發現。
- 具備主機Webshell和流行黑客工具檢測功能。
- 具備主機惡意文件云端沙箱與多引擎分析,這是對未知威脅的有效檢測機制。
- 可實現內部溯源分析:最大范圍地發現內部被攻擊的節點,幫助企業更快響應和處理。
- 可對安全事件進行關聯分析。
- 能夠與企業安全現有方案有效結合。
- 具備企業整體安全狀態可視化能力滿足企業態勢感知需求。
- 部署靈活簡單:可安裝在虛擬機或者硬件設備上,對機器配置要求低,部署簡單且維護成本低。
5. 結論:SIEM是非常重要的安全系統,但是它需要幫助才能發揮最大的潛能。
很簡單:在配備威脅情報平臺的情況下, SIEM才能發揮最大效能。威脅情報平臺是分析人員理想的工作地點,通過將數據合并在一起,能夠更全面地了解威脅。威脅情報平臺幫助分析人員從所有來源獲取數據,融合內部和外部數據,優化數據以進行更快分析。
- 通過將SIEM與威脅情報平臺相結合,企業可以將所有人、過程和技術統一在智能驅動的防御背后,獲得強大的效果:
- 識別重要威脅:匯集企業內部日志,并將其與威脅情報相結合,以快速識別哪些反饋最適合企業環境。
- 更好地了解威脅的本質:超越SIEM的能力,為警報和事件添加情景和關聯豐富的上下文,幫助企業更好地了解風險,做出更有針對性的反映。
- 豐富企業內部能力:通過共享威脅數據,并使用可靠的情報來源豐富企業能力。
- 數據共享和存儲:將平臺用作歷史威脅數據的知識庫,幫助應對重新出現或持續存在的威脅。
- 優化工作流程和編排:使用平臺工作流程,通過與其他安全基礎架構的集成來驅動行動,將自身的事件數據轉化為內部威脅情報(這是最有價值的情報)。并且從一個中心平臺來消除碎片化,管理企業安全基礎架構。
參考文獻:SIEM + Threat Intelligence: Quickly Identify the Threats that Matter to You
