IoC真的重要嗎?細節決定成敗
安全行業已經從僅專注特征碼,轉變到了將IoC(入侵指標)也納入進來。因為各方面看來,IoC都更加便捷,也兼容各種不同檢測平臺。是時候重視IoC并更加有效地使用它們了。
然而,這個轉變過程中,IoC遭到了不公正的責難。個中原因很容易理解:指標有時候可能只是缺乏上下文的一些數據片段。安全人員在努力保護公司環境的時候,往往苦于從數據中提煉出有意義的東西,不知道該到哪里去發現真正的價值。
大多數安全人員真正想要的,是對對手的了解——對手所用的工具以及戰術、技術和規程(TTP)。通過了解對手來強化自身防御,讓壞人的日子不好過。但這一層次的信息,往往不會輕易交到安全人員手上。正如老話所說,“細節決定成敗”,這里的細節,就是IoC。
很多公司當前的安全基礎設施都是碎片化的,幾十種安全產品各自為戰。因為這些產品沒有集成到一起,架構中的每一層都創建自己的日志和事件,產生大量數據。系統日志中充斥著不良IP地址和域名,昭示著可能的C2服務器通信、數據滲漏或非法服務;還有對應特定/惡意文件的散列值;以及指向敵手的網絡和終端。所有這些指標都能揭示惡意行為,但安全分析師卻難以確知要先找尋和調查什么。
IoC的重要性就體現在這里了。IoC是所有這些迥異日志的最小公約數,是將各安全工具的所有輸出整合在一起的切實方法。IoC可以讓你構建整體視圖,從指標追蹤到敵人或攻擊活動,對自身環境中正在發生的事情有更深刻的了解。
舉個例子。你看到一個沒見過的IP地址,需要有關該地址的更多信息,于是你從外部威脅情報平臺盡可能地收集相關數據。通過這些分析,你可能發現該IP地址與某個攻擊活動或對手相關聯。然后你決定收集更多關于該攻擊活動或對手的情報,了解他們會用的TTP和其他相關指標。
所以我們不妨假設與該特定對手相關聯的指標有21個。你已經看到一個了(IP地址),所以檢查一下有沒有其他20個是有意義的。好吧,仔細一找,又發現了10個指標。于是,很可能你已經被這個對手侵入了。而如今你可以主動發送剩下10個指標來強化安全基礎設施,抵御該特定對手。
如上述例子所示,IoC是成功調查與防護的關鍵因素。但你需要一個資源庫來整合內部各系統產生的數據和外部威脅饋送的數據,并添加進上下文豐富這些數據。否則,指標僅僅是噪音而已。缺乏整合和上下文豐富,正是IoC蒙受不白之冤的原因所在。
威脅情報平臺(TIP)可以聚合并規范化威脅和數據,然后關聯數據并應用進上下文。于是,在能提供有價值洞見的IoC加持下,你便能用它導向對手和他們所用的TTP。反映敵人活動的相關指標看得更全面更清楚了,自家公司被入侵的確鑿證據也就昭然若揭了。而對敵手所用方法有進一步的了解,惡意活動阻止起來也會更快些,還可以防止未來的類似攻擊。
從僅使用特征碼遷移到包含進IoC的利用非常充分。然而不幸的是,遷移過程中安全團隊被自身各種各樣的安全日志和威脅饋送數據所淹沒,這些數據有些來自商業源,有些是開源的,有些是行業內的,有些則來自現有安全廠商。所有這些數據都能提供巨大價值,但卻通常處于未被開發狀態。與其無視IoC,不如抓緊時間更有效地利用起來,用以對抗無孔不入的各路敵手。
