在這篇哈巴爾網(wǎng)站上的推文中，我們將解釋 TI 縮寫背后的含義、為什么需要它、Positive Technologies?收集哪些網(wǎng)絡(luò)威脅數(shù)據(jù)以及如何幫助企業(yè)預(yù)防網(wǎng)絡(luò)威脅。我們將以四種情況為例，說(shuō)明公司如何使用?PT Threat Intelligence Feeds?來(lái)發(fā)現(xiàn)惡意活動(dòng)并預(yù)防攻擊。

什么是 TI

當(dāng)公司建立防御系統(tǒng)時(shí)，該系統(tǒng)就像一座堡壘。堡壘有保護(hù)它的圍墻，有允許任何人進(jìn)入的大門，也有將不速之客拒之門外的大門。瞭望塔是堡壘的重要組成部分。建造瞭望塔是為了在敵人靠近時(shí)發(fā)出預(yù)警。甚至在攻擊開(kāi)始之前，就可以從瞭望塔上預(yù)先知道敵方是誰(shuí)，從哪兒來(lái)，計(jì)劃用何類武器攻擊。在信息安全系統(tǒng)中，這樣的“瞭望塔”就是威脅情報(bào) (threat intelligence) 的數(shù)據(jù)和利用這些數(shù)據(jù)的工具。

Threat intelligence (TI) 是描述現(xiàn)有或潛在網(wǎng)絡(luò)威脅的信息。這類數(shù)據(jù)可以多種形式存在：從詳細(xì)描述攻擊者動(dòng)機(jī)、基礎(chǔ)設(shè)施、戰(zhàn)術(shù)和技術(shù)的報(bào)告，到觀察與網(wǎng)絡(luò)威脅相關(guān)的特定 IP 地址、域、文件和其他人為產(chǎn)物。

網(wǎng)絡(luò)威脅的形勢(shì)不斷變化——新的黑客組織不斷涌現(xiàn)，新的漏洞定期被發(fā)現(xiàn)，攻擊者正在從零開(kāi)始編寫或修改現(xiàn)有的惡意軟件。跟蹤這些變化，尤其是考慮到行業(yè)的特殊性，這是一項(xiàng)復(fù)雜的任務(wù)，需要安全運(yùn)營(yíng)中心 (SOC) 團(tuán)隊(duì)投入大量資源。

遺憾的是，盡管網(wǎng)絡(luò)攻擊（包括有針對(duì)性的攻擊），的數(shù)量不斷增加，但信息安全工具缺乏對(duì)當(dāng)前信息安全威脅的了解，因此無(wú)法及時(shí)發(fā)現(xiàn)這些威脅。此外，公司本身也并非總能有效應(yīng)對(duì)意外事件。?

根據(jù)最新的《Devo?SOC?性能報(bào)告》，26%?的公司表示，分析師要處理的警報(bào)太多，使安全運(yùn)營(yíng)中心?(SOC)?的工作變得苦不堪言。此外，29%?的受訪企業(yè)表示無(wú)法招聘和留住技術(shù)熟練的專業(yè)人員，這一因素也致使企業(yè)難以快速發(fā)現(xiàn)和應(yīng)對(duì)網(wǎng)絡(luò)威脅。此外，我們的實(shí)踐經(jīng)驗(yàn)表明，專家需要花費(fèi)大量時(shí)間來(lái)評(píng)估威脅的危險(xiǎn)性并確定響應(yīng)任務(wù)的優(yōu)先級(jí)——即使成功發(fā)現(xiàn)網(wǎng)絡(luò)隱患事件，他們也可能需要花費(fèi)幾分鐘到幾個(gè)小時(shí)的時(shí)間來(lái)查明威脅：誰(shuí)攻擊了公司、攻擊的目的是什么以及攻擊者可能采取的進(jìn)一步措施。

利用 threat intelligence 數(shù)據(jù)，企業(yè)可以加快與事件風(fēng)險(xiǎn)評(píng)估和優(yōu)先級(jí)安排有關(guān)的流程，并快速識(shí)別誤報(bào)，及早發(fā)現(xiàn)攻擊。

Positive Technologies 收集哪些網(wǎng)絡(luò)威脅數(shù)據(jù)

很多公司嘗試使用有關(guān)網(wǎng)絡(luò)威脅的開(kāi)放信息源，但面臨此類數(shù)據(jù)質(zhì)量低劣的問(wèn)題。更糟糕的是，開(kāi)放源碼不定期更新數(shù)據(jù)、缺乏補(bǔ)充背景的信息，而且包含許多假陽(yáng)性破壞指標(biāo)，這只會(huì)使威脅管理過(guò)程更加復(fù)雜。結(jié)果顯示，安全運(yùn)營(yíng)中心 (SOC) 團(tuán)隊(duì)非但沒(méi)有減少工作量，反而要額外耗時(shí)來(lái)清理這些數(shù)據(jù)。

我們不斷收集和分析網(wǎng)絡(luò)威脅，然后以數(shù)據(jù)流的形式發(fā)布結(jié)果，其中包含破壞指標(biāo)（信息源）。它們集成到公司的監(jiān)管和信息保護(hù)系統(tǒng)中，為公司提供快速發(fā)現(xiàn)危險(xiǎn)活動(dòng)所需的背景信息，從而提高工作效率。破壞指標(biāo)有助于安全運(yùn)營(yíng)中心 (SOC) 團(tuán)隊(duì)及時(shí)預(yù)防與已知攻擊相關(guān)的網(wǎng)絡(luò)事件。?

很多人可能想知道，我們從何處獲取以及如何處理這些數(shù)據(jù)以用于信息源？處理網(wǎng)絡(luò)威脅數(shù)據(jù)首先要從各種來(lái)源的文件開(kāi)始。這些來(lái)源包括收集和檢查文件是否為惡意軟件的在線服務(wù)，以及開(kāi)發(fā)和銷售惡意軟件的專業(yè)黑客論壇。PT Threat Intelligence Feeds?的主要特點(diǎn)是基于我們專家安全中心?(PT Expert Security Center)?專家們積累的威脅情報(bào)。這些數(shù)據(jù)來(lái)自對(duì)真實(shí)攻擊的調(diào)查和對(duì)全球黑客組織（包括 APT 組織）活動(dòng)的研究。此外，我們的專家還跟蹤針對(duì)具體行業(yè)公司的特定威脅。?

上一步收集的文件會(huì)被發(fā)送至處理器，在處理器中被分成兩個(gè)文件流。PT Sandbox?會(huì)動(dòng)態(tài)分析第一個(gè)文件流中的文件。第二個(gè)文件流在靜態(tài)模式下進(jìn)行自動(dòng)化分析。它由我們的 threat intelligence 團(tuán)隊(duì)開(kāi)發(fā)，專門處理文件并從中提取有用信息。然后將分析結(jié)果進(jìn)行混合并進(jìn)入一個(gè)專門的系統(tǒng)，該系統(tǒng)會(huì)對(duì)收到的信息進(jìn)行預(yù)處理和酌量。系統(tǒng)隨后生成數(shù)據(jù)片段，即信息源。所有破壞指標(biāo)都要經(jīng)過(guò)誤報(bào)檢查和算法驗(yàn)證，因此信息源中數(shù)據(jù)的質(zhì)量很高。

PT Threat Intelligence Feeds?的數(shù)據(jù)處理流程圖?

Positive Technologies?破壞指標(biāo)數(shù)據(jù)庫(kù)包含?IP?地址、URL、域和文件哈希值。

指標(biāo)數(shù)據(jù)庫(kù)中已處理數(shù)據(jù)的平均數(shù)?

Positive Technologies 數(shù)據(jù)庫(kù)包含近百個(gè)黑客組織和 800?多個(gè)惡意軟件系列的破壞指標(biāo)。此外，我們還確定了?IP?地址的地理位置。注意：這些數(shù)據(jù)不能用于確定來(lái)自某個(gè)國(guó)家的威脅等級(jí)。

十大黑客組織?

當(dāng)前十大惡意軟件系列??

獨(dú)特的 Positive Technologies 指標(biāo)數(shù)據(jù)庫(kù)統(tǒng)計(jì)?

信息源的用途

要使關(guān)于網(wǎng)絡(luò)威脅的數(shù)據(jù)為公司帶來(lái)最大利益，對(duì)其來(lái)說(shuō)擁有破壞指標(biāo)的背景是非常重要的。因此，除指標(biāo)外，信息源還應(yīng)包括各種信息，以幫助了解具體組織所面臨威脅的背景。我們的數(shù)據(jù)庫(kù)包含不同的信息源（及其集合），具體取決于公司的需求、規(guī)模和所在行業(yè)，目前共有 40?多個(gè)信息源。例如，我們可以收集與當(dāng)前針對(duì)性威脅有關(guān)的側(cè)面信息或包含?sinkhole?節(jié)點(diǎn)?IP?地址的信息源。?

信息源的內(nèi)容多樣。讓我們通過(guò)具體實(shí)例了解信息源中的數(shù)據(jù)構(gòu)成。

包含與針對(duì)性網(wǎng)絡(luò)威脅相關(guān)的破壞指標(biāo)的信息源構(gòu)成

信息源中包括指向其他對(duì)象的鏈接、重要性評(píng)級(jí)和標(biāo)簽。在我們看來(lái)，后者是最有用的，因?yàn)樗鼈兇鎯?chǔ)了大量背景信息，可供分析人員自由解讀。在信息充實(shí)時(shí)，我們會(huì)收集外部數(shù)據(jù)。標(biāo)簽既可以由我們手動(dòng)添加，也可以由外部系統(tǒng)添加。?

?

包含上個(gè)月仍活躍的惡意軟件系列指標(biāo)的信息源構(gòu)成

包含活躍惡意軟件活動(dòng)指標(biāo)的信息源構(gòu)成

?

包含 IP 地址的信息源

?

包含由 GeoIP 分配的 IP 地址的信息源?

事實(shí)上，信息源中的內(nèi)容遠(yuǎn)比截圖上的內(nèi)容要多。我們只展示了一些片段。用戶可以自行選擇他們想要包含的數(shù)據(jù)。

目前，我們已編制包括以下內(nèi)容的信息源：

• 域、文件哈希值、URL 和 IP 地址的白名單；
• 中等威脅級(jí)別的域、文件哈希值、URL 和 IP 地址列表；
• CDN IP 地址；
• 惡意的域、URL 和 IP 地址的下載；
• 以前在網(wǎng)絡(luò)攻擊中使用過(guò)的域名、URL 和 IP 地址。

今后，我們計(jì)劃在信息源中添加新的數(shù)據(jù)，特別是根據(jù) MITRE ATT&CK 矩陣提供的有關(guān)攻擊者的戰(zhàn)術(shù)、技術(shù)和方法的信息，這將有助于安全運(yùn)營(yíng)中心 (SOC) 團(tuán)隊(duì)根據(jù)黑客所處的攻擊階段選擇正確的應(yīng)對(duì)措施。順便說(shuō)一下，為了讓信息安全專家可以更容易地理解攻擊者的行動(dòng)和調(diào)查事件，我們已將 MITRE ATT&CK 矩陣翻譯成俄語(yǔ)，并以交互式形式發(fā)布。請(qǐng)將其保存至您的網(wǎng)頁(yè)書簽，以便隨時(shí)查閱！

使用包含破壞指標(biāo)的數(shù)據(jù)流的情景

網(wǎng)絡(luò)威脅數(shù)據(jù)的使用場(chǎng)景有很多：可以將信息源上傳到?SIEM 系統(tǒng)（這可以幫助發(fā)現(xiàn)對(duì)公司而言極其重要的使用破壞指標(biāo)的信息安全事件），上傳到其他安全工具（通過(guò)威脅數(shù)據(jù)豐富公司的信息安全系統(tǒng)并提高其有效性）或TI 平臺(tái)（可以擴(kuò)展公司現(xiàn)有的有關(guān)威脅的知識(shí)庫(kù)并添加背景信息和獨(dú)家數(shù)據(jù)）。?

讓我們以 PT Threat Intelligence Feeds 為例，考慮可使用破壞指標(biāo)數(shù)據(jù)的情景，它可以幫助安全專家快速發(fā)現(xiàn)企業(yè)網(wǎng)絡(luò)上的危險(xiǎn)活動(dòng)并預(yù)防攻擊。

公司使用多種防御工具的復(fù)雜場(chǎng)景

1. 網(wǎng)絡(luò)流量分析 (network?traffic?analysis,?NTA) 系統(tǒng)借助?activity?feed?檢測(cè)惡意活動(dòng)。這些信息被傳輸至安全信息和事件管理（security?information?and?event?management,?SIEM）系統(tǒng)。
2. 在?SIEM?系統(tǒng)中，借助?severity feed?對(duì)事件進(jìn)行優(yōu)先級(jí)排序。事件卡片被傳輸至安全編排自動(dòng)化與響應(yīng)(security orchestration, automation and response, SOAR)?系統(tǒng)。
3. 在?SOAR?平臺(tái)上為端點(diǎn)威脅檢測(cè)和響應(yīng)?(endpoint detection and response, EDR)?系統(tǒng)創(chuàng)建任務(wù)，以查找端點(diǎn)上的相關(guān)破壞指標(biāo)。
4. 在端點(diǎn)檢測(cè)與響應(yīng)的介質(zhì)上運(yùn)行響應(yīng)情景。

內(nèi)部攻擊者實(shí)施攻擊的情景

1. TOR node feed 和 VPN feed 是用于發(fā)現(xiàn)與 TOR 資源和流量分析 VPN 系統(tǒng)交互企圖的信息源。?
2. TOR node feed?被用于阻止訪問(wèn)新一代的防火墻?(next-generation firewall, NGFW)。
3. 內(nèi)部攻擊者試圖從影子論壇安裝惡意軟件。
4. 與 TOR 網(wǎng)絡(luò)的交互被阻止。

擴(kuò)展數(shù)據(jù)采樣的情景

1.在回顧性分析中，信息源用于搜索事件：

• retrospective IPs feed——在?NetFlow?和國(guó)際電信聯(lián)盟的日志文件中；
• retrospective domains feed——在?NTA?和?DNS?日志文件中
• retrospective hashes feed——在分析郵件附件或使用?EDR?掃描端點(diǎn)時(shí)。

2.檢測(cè)到之前漏掉的網(wǎng)絡(luò)釣魚郵件。

3.從檢索到的樣本中識(shí)別出受損節(jié)點(diǎn)。

4.網(wǎng)絡(luò)分析器提供的信息對(duì)受損節(jié)點(diǎn)進(jìn)行了補(bǔ)充。

主動(dòng)防御的情景

1. Phishing malicious domains/URLs/IPs?信息源用于預(yù)防最危險(xiǎn)的攻擊載體——網(wǎng)絡(luò)釣魚。
2. Malicious class feed?用于對(duì)付最危險(xiǎn)的惡意軟件類別——加密程序。
3. Malicious group feed?用于發(fā)現(xiàn)具體的活動(dòng)群組（如?Cloud Atlas）的攻擊。

總結(jié)

外部威脅情報(bào)可讓您了解誰(shuí)在以何種方式攻擊您的業(yè)務(wù)。為了有效抵御網(wǎng)絡(luò)攻擊，信息源必須是最新的，并提供背景信息，以幫助做出正確的應(yīng)對(duì)決策。例如，PT Threat Intelligence Feeds 會(huì)定期更新，安全運(yùn)營(yíng)中心 (SOC) 團(tuán)隊(duì)可以關(guān)注最新的威脅，包括針對(duì)特定行業(yè)、地區(qū)或具體公司的威脅，并利用它們主動(dòng)防御威脅。此外，數(shù)據(jù)處理應(yīng)盡可能自動(dòng)化，以減少專家分析威脅的時(shí)間。

在評(píng)論中分享您使用 threat intelligence 數(shù)據(jù)的經(jīng)驗(yàn)。您取得了哪些成效？

?文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-609044.html

?

?

?

?

?

到了這里，關(guān)于網(wǎng)絡(luò)安全系統(tǒng)中的守護(hù)者：如何借助威脅情報(bào) (TI) 提高安全性的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！