許多組織選擇通過多種方式共享網(wǎng)絡(luò)威脅情報(Cyber Threat Intelligence, CTI)訂閱各種信息源，其中包括妥協(xié)指標方案(Indicators of Compromise, IOC)。在當(dāng)前市場上，威脅情報最普遍的使用場景是利用IOC情報(Indicators of Compromise, IOC)進行日志檢測來發(fā)現(xiàn)內(nèi)部重要風(fēng)險。這種方式可以發(fā)現(xiàn)傳統(tǒng)安全產(chǎn)品無法發(fā)現(xiàn)的很多威脅，并且因為這其中大多是已經(jīng)被成功攻擊的操作，所以“亡羊補牢”對于安全運營仍會有較大的幫助。該方法的核心是從浩如煙海的日志數(shù)據(jù)中提取出威脅情報，此時，威脅情報的數(shù)目仍然較為龐大，需要從威脅情報中進一步提取出具有實用價值的IOC情報以進一步在安全社區(qū)內(nèi)共享，這就要求根據(jù)情報本身質(zhì)量過濾IOC情報，例如相關(guān)性、及時性、準確性、可指導(dǎo)響應(yīng)的上下文等，上下文問題除了一般會考慮到的風(fēng)險等級、可信度等信息外，還需要提供相關(guān)攻擊團伙和家族的攻擊目的、危害、技戰(zhàn)術(shù)等相關(guān)的內(nèi)容，提供相關(guān)的遠控端是否活躍，是否已經(jīng)被安全廠商接管等信息，以此響應(yīng)團隊可以判定是否需要響應(yīng)，哪個事件的優(yōu)先級更高等。

IOC信息通常通過信息共享和分析中心或組織(Information Sharing and Analysis Center or Organization, ISAC/ISAO)來傳播。在這些信息流中尋找可操作、實用的IOC是一個重大挑戰(zhàn)，只有實用的IOC才能為網(wǎng)絡(luò)防御提供實質(zhì)性的好處，然而即使是實用的IOC中大部分也通常在未使用或丟失直到不再有價值時才使用，此時網(wǎng)絡(luò)攻擊者往往會迅速停止使用特定IOC。

圖1 CTI“無悔”策略的應(yīng)用流程

通過多項研究和試點工作，約翰·霍普金斯大學(xué)申請的應(yīng)用物理實驗室(Applied Physics Laboratory, APL)已成功部署威脅源，可在幾分鐘內(nèi)收集、提取、識別可操作的IOC，并將其共享給共享組織，如ISAC或ISAO，該方法被稱為基于“無悔”策略的方法。圖1提供了該過程的可視化示意圖。本文簡要概述該方法和流程，以幫助其他組織利用這些功能滿足社區(qū)的網(wǎng)絡(luò)防御需求。

“無悔”策略方法

對網(wǎng)絡(luò)防御采用“無悔”策略意味著什么?簡而言之，這意味著使用“利益”與“遺憾”評估算法來決定是否需要自動化操作。這導(dǎo)致相應(yīng)的組織將問題的重點轉(zhuǎn)移到何時采取行動以自動執(zhí)行操作，而不是是否應(yīng)自動執(zhí)行操作。關(guān)于基于網(wǎng)絡(luò)威脅情報的自動響應(yīng)，“無悔”與“有悔”的定義如下：

• “無悔”：對網(wǎng)絡(luò)威脅情報采取自動操作極低概率擾亂正常運營，無論情報評估是否正確。
• “有悔”：對情報采取自動操作大概率會對正常運營造成影響。

有關(guān)“無悔”策略的方法的更多詳細信息可通過APL GitHub頁面免費獲取：

https://github.com/JHUAPL/Low-Regret-Methodology.

應(yīng)用“無悔”策略對威脅情報進行分類

如本文所述，將“無悔”策略應(yīng)用于CTI分類，圍繞ISAC/ISAO概念展開。惡意網(wǎng)絡(luò)活動，如勒索軟件，通常針對工業(yè)部門內(nèi)的特定行業(yè)或社區(qū)。這一部分本文詳細介紹了ISAC/ISAO等共享組織如何使用開發(fā)自動化以快速識別和共享“無悔”策略IOC的方法給他們的社區(qū)。

提取可疑指標

信息共享組織從多個信息來源收到大量IOC(其他威脅源、系統(tǒng)警報、成員提交等)。這個過程的第一步關(guān)鍵是從每天收到的大量情報中提取可疑的IOC。這不僅僅是利用正則表達式(regular expression, REGEX)等指標對IOC進行相似匹配，任何信息共享組織都還應(yīng)根據(jù)潛在的惡意指標所在的上下文識別流程對IOC進行匹配。這可以通過惡意簽名、標簽或其他工具實現(xiàn)共享組織內(nèi)部用于識別具有與惡意網(wǎng)絡(luò)活動有關(guān)的指紋標識。如果沒有指紋標識這一步，那么要分析的數(shù)據(jù)太龐大，無法為一個不斷受到網(wǎng)絡(luò)攻擊的網(wǎng)絡(luò)主體提供需要的可操作IOC情報。

對這種提取應(yīng)用“無悔”策略的核心原則是“潛在惡意指標”，許多信息共享機制未能在可采取行動的時間范圍內(nèi)提供數(shù)據(jù)，因為它們希望在共享數(shù)據(jù)之前無可辯駁地證明IOC是惡意的。但是做出這一決定的時間通常比網(wǎng)絡(luò)攻擊者積極使用IOC的時間還要長。因此，識別潛在惡意指標的過程必須自動化，并利用可重復(fù)的編碼步驟來確定潛在惡意指標。這并不意味著忽略所有其他數(shù)據(jù)，因為這是ISAC/ISAO內(nèi)部額外情報處理能力的關(guān)鍵功能。

刪除已知的誤報

簽名并不完美，而且源信息中總是存在潛在的不一致。某些威脅針對流行或業(yè)務(wù)關(guān)鍵型網(wǎng)站，這意味著與惡意行為相關(guān)的某些IOC實際上可能非常“遺憾”。由于初始提取是完全自動化的，因此需要實現(xiàn)自動化，以過濾出潛在的惡意IOC，如果這些IOC被自動阻止，它們很可能會影響操作。這些被認為是“高度遺憾”，必須通過其他方式進行評估。在這方面，以社區(qū)為中心的共享組織(如ISAC/ISAO)的力量可以顯著改善這一過程。然而，一些與互聯(lián)網(wǎng)服務(wù)提供商有關(guān)的內(nèi)容，如互聯(lián)網(wǎng)服務(wù)提供商的IP地址等，也可以很容易地維護其重要的網(wǎng)絡(luò)服務(wù)，即使它們對該社區(qū)的影響在全球并不廣為人知。

確定“無悔”策略的指標

一旦已知的誤報被消除，自動化系統(tǒng)將準備對IOC進行評分，以便根據(jù)組織的政策和風(fēng)險承受能力的定義標準來識別哪些是極不可能影響運營的錯誤。這一步的關(guān)鍵是了解此類惡意IOC通常具有的共同屬性，但授權(quán)IOC不共享這些屬性。確定這些屬性后，下一步是找出在何處以及如何訪問有關(guān)該屬性的信息，以便為IOC做出此項決定。然后可以通過自動化方法訪問這些信息，再通過基于指標類型的幾個快速查詢來評估“無悔”分數(shù)指標。這些查詢可能包括但不限于：

• 域名期限：新注冊的域名不太可能成為關(guān)鍵資產(chǎn);
• 映射域的數(shù)量：歷史上解析為一個或兩個域的IP IOC，即使駐留在共享基礎(chǔ)設(shè)施上，也不太可能跨Internet遷移到關(guān)鍵資產(chǎn);
• 已知的惡意行為：惡意文件通常具有分析軟件標記的特定特征，而合法文件不具備這些特征;
• 分析人員審查的IOC：如果共享組織的分析人員或威脅公告的可信來源高度信任IOC是惡意的，并且IOC出現(xiàn)在過程中，則應(yīng)將其標記為“無悔”，因為它很可能是惡意的;

不符合這些檢查要求的IOC不容忽視。相反，它們是威脅情報分析人員將要研究的情報庫(現(xiàn)在要小得多)。如果分析人員確定IOC確實威脅到惡意活動，IOC可以再次通過分類流程，并貼上“分析人員審查”標簽。

為網(wǎng)絡(luò)防御源準備指示器

一旦自動化識別出滿足“無悔”策略的IOC，它就可以快速轉(zhuǎn)錄將每個IOC轉(zhuǎn)換為可共享的格式，例如結(jié)構(gòu)化威脅信息表達(Structured Threat Information expression, STIX)標準。用于確定IOC為“低遺憾”的信息還應(yīng)包括在IOC的機器可讀數(shù)據(jù)對象中，以便接收者無需重復(fù)信息共享執(zhí)行的步驟組織。

與社區(qū)分享

一旦IOC被正確格式化，自動化系統(tǒng)就可以共享數(shù)據(jù)通過機器速度傳遞機制，如可信賴的自動變速器智能信息交換(the Trusted Automated exchange of Intelligence Information , TAXI)協(xié)議或其他可接受的機器速度社區(qū)采用的轉(zhuǎn)移機制。不管分享在所采用的機制中，確保接收者接收所有相關(guān)上下文是至關(guān)重要的。

結(jié) 論

“無悔”策略的使用能夠提取運營成本中目前被網(wǎng)絡(luò)防御行動忽視的許多CTI的價值。它不是一個靈丹妙藥，它不會捕獲從CTI的積極分析中得出的見解，但它可以提供社區(qū)成員可在其安全操作中使用的可操作數(shù)據(jù)，以破壞針對其網(wǎng)絡(luò)的惡意活動。

簡而言之，“無悔”策略即對系統(tǒng)面臨的所有網(wǎng)絡(luò)威脅進行針對性的特征提取，這種“無悔”之處體現(xiàn)在當(dāng)威脅被自動處理時，無論自動處理的方法是否得當(dāng)，都不會較大程度影響系統(tǒng)的正常業(yè)務(wù)，因此被稱為“無悔”，在處理方式上，“無悔”策略的價值之處在于低影響下的自動處理，因此對實時性支持較好，有利于威脅的快速發(fā)現(xiàn)與響應(yīng)。

參考文獻

翻譯修改自《APPLYING “LOW-REGRET” METHODOLOGY FOR CYBER THREAT INTELLIGENCE TRIAGE：Rapidly Sharing Actionable Intelligence for Network Defense》，作者Charles Frick(Applied Physics Laboratory，JOHNS HOPKINS UNIVERSITY)