威胁情报:突破企业安全能力上限的“魔戒”
点击蓝字关注我们
安全牛评
如果把企业比作球队,那么安全能力的下限——软硬件安全体系,决定你能否保级,而安全能力的上限——教练和情报工作,决定你能否晋级或夺冠,一球成名还是“突然死亡”。今天,没有人再怀疑威胁情报的重要性,但是在威胁情报的概念、实践和运营方面,企业界依然存在一些误区和难点,例如过于依赖供应商而不是“与业务共生迭代”、缺乏建设评估标准、威胁情报与安全运营体系难以形成闭环等等。以下安全牛邀请到H3C攻防团队梁力文,就威胁情报如何定位、如何规划评估、如何选型等关键问题展开探讨:
2019年底,一场突如其来的疫情让全国陷入危机,新型冠状病毒也成了百姓闻之色变的词语。如何确诊、如何看待第一代核酸检测的高漏报率、为何提倡物理隔离、如何进行交通管制… 作为网络安全从业者,为疫情揪心的同时,又觉得这些跨领域的命题是如此熟悉!因为在赛博空间,我们几乎每天都会面临类似的事件… 主机中毒、开始感染、迅速断网隔离、线下杀毒、同时搜寻高可疑目标、对其升级加固、最后对事件还原、路径追溯、总结复盘…情形何其类似!我们也看到,这次全国疫情攻坚战中,大数据技术在人员扩散监测、疫情流向、治疗资源精准投放中也发挥了巨大的作用。那么,作为大数据安全典型代表的威胁情报,又是如何帮助企业免于感染、甚至提前预警、主动反制的呢?具体的,它如何与态势感知系统一起,做到全网有效监测、绘制疫情地图、预测疫情走向、回溯感染路径的呢?下文,我们将一起探讨。
从2013年Gartner为情报给出定义,到今天,威胁情报也不算新鲜词汇了。从甲方公司尝试威胁狩猎、行业联盟如火如荼,到情报人才的招聘价位上都能看出其热度有增无减。的确,大部分企业也认同在安全态势日益复杂化、动态化、常态化的今天,静态、单层的防御已经不再有效,转而寻求动态的、主动的防御,情报就是其中一种。
不少企业开始建设边界+终端+管道+大数据多位一体的防御战线,情报作为大数据安全的典型代表,能充分拉高整体安全防御的天花板,通过加强未知威胁的发现和防护能力,缩短攻击检测和响应周期、 提升企业安全分析水平的价值是被充分认可的。但具体落实到如何选择、怎样发挥价值、误报的解决和处置,仍是企业客户的困扰。今天我们从情报的概念开始,来尝试解决和探讨这几个话题。
【是什么】威胁情报知多少?
与安全界的很多术语一样,“威胁情报”也是从军事领域泊来的,这里用《辞海》对情报的解释,来代替Gartner 2013对威胁情报的定义可能更好理解:情报即“获得的他方有关情况以及对其分析研究的成果”。安全情报也一样,都是主动了解、分析对手,并对其重要关键信息确认、加工后的产物,最终的目标是指导决策,这也是“情报”不同于“数据”和“信息”的价值。
威胁情报可以分为战略情报、战术情报和运营情报。其中战略情报比较宽泛抽象,多以报告、指南、框架文件等形式提供给高级管理者阅读,侧重安全态势的整体性描述,以辅助组织的安全战略决策。战术级情报则泛指机读情报的收集和输出,多以IoCs(Indicators of Compromise)的形式输出,如某个木马的C2服务器IP地址、钓鱼网站的URL或某个黑客组织常用工具hash…;运营情报是建立在对战术级情报进行多维分析之上而形成的更高维情报知识,如银行的哪些客户信息已经外泄并被利用于业务欺诈、某个APT攻击的杀伤链是怎么构成的、其影响面等,主要用于制定针对性的整体防御、检测和响应策略。
从类别上,又可以分为漏洞情报、资产情报、事件情报。从内容上分,包括IP地址情报、域名情报、恶意软件情报等。至于交付方式,可以有结构化文档交付(如漏洞/样本/APT事件分析报告)、人机界面交付(如提供查询和溯源) 、API接口交付(主要与其他平台对接)和Feed交付(安全设备本地集成的主流方式)等。
从应用领域,又可以分为:机读情报(MRTI)、人读情报(PRTI)、画像情报和知识情报四类。其中机读情报应用最广,基本已经被各大乙方安全厂商在设备中集成,多以IoC或者Yara的形式存储。人读情报的格式比较宽泛,包括安全公告、漏洞预警、病毒/APT分析文章都属于这个类别。画像情报则是介于机读和人读情报中的一种,通常用结构化的标签和非结构化的备注来描述,针对单一的威胁、资产、漏洞、事件进行分析形成的知识集,也可以加入场景标注。而知识情报的提法主要是针对态势感知、SOC、SIEM类平台产品的,平台内置的先验规则如关联规则和知识图谱都属于这一类。
总结:目前最普遍得到应用和分享的,还是以机读情报为代表的战术情报,通过IoC(病毒hash、C&C域名、IP地址等)呈现和集成。
【为什么】纵深防御可否代替情报?
答案是不能。前文提及,搭建四位一体的安全防护体系、积极转型主动防御、充分调动云管端和外脑的力量是我们信息安全建设的目标,除此之外,还有几个更朴素的原因:
大量的安全设备产生的海量日志可能导致运维人员疲于应对,反而忽略了严重的失陷事件;而威胁情报的价值之一就在于一些情报的命中的确是失陷的铁证。运维人力跟不上告警处置速度时,简单的决策就是盯着情报日志优先处置,高质量的情报的确能很大程度节省企业安全运维投入的开销。
即使近年各行业整体信息安全体系建设水位大幅提升,裸奔的单位没有了,静态的防御上去了,但死角依然存在。内网无人看守、边界不清晰、策略太老旧…在这几年大大小小的护网演习中,攻不破的堡垒还是少数,更多的企业还是在层层防御下被不自觉的突破了。如何有效弥补管道和端点防御的疏漏?如何在损失发生前预警,在危害造成后溯源反制?代价最小、最行之有效的,就是部署威胁情报,它与固有的安全体系/产品能充分融合,不强制要求组网变更,能迅速形成云端+本地+管道的主动防御能力覆盖。
从黑产到APT,我们的对手经历了组织、目标、武器、技战法的多次迭代,我们便不能停留在十年前的防御水平。不可避免的漏检情况有很多,包括厂商或者客户没有及时更新先验规则、以及越来越多的无文件攻击无法用传统引擎检测的情况,一些恶意代码也通过混淆、逃逸和沙盒对抗来避免动态调试。威胁情报的工作机制正好弥补了这个盲点。(这里不是否认传统安全产品和特征库技术的作用,实际上,多种防御方法和手段都有其不可替代的优势,被动防御和主动防护是依赖共生而非彼此淘汰的关系)。总结:威胁情报能有效解决告警懈怠、代表企业安全主动防御的华丽转型,并能有效弥补传统引擎无法检测新型攻击的短板,实属企业信息安全建设之必备利器。
【如何用】威胁情报与安全设备,1+1>2
再好的内容都需要有工具载体才能被广泛利用,除了少数单位有自建SoC/SIEM的能力而自行采购情报之外,多数情况下威胁情报还是需要安全设备/平台作为载体来进行价值体现。
机读情报目前已经有了国标,厂商如果遵循统一规范,很容易在不同的设备间进行兼容。主要的覆盖手段可以通过网络设备和安全管理软件内置集成,以达到管道侧的检测覆盖和全景视角上的关联分析。也可以在EDR上集成,打造云管端三重覆盖的主动防御体系。Feed(IoCs)在不同产品的集成策略各有侧重:设备侧由于实时匹配性能有限,本地集成的Feed的原则通常会考虑时效性、破坏性和准确性,兼顾流行度。可以简单理解为“重封堵,轻分析”。态势感知平台正好弥补了这一问题,大数据集群的架构优势,可以容纳更大的情报规模和更丰富的属性字段,最大程度支持研判分析,以及进一步的知识图谱匹配。此外云端情报中心内置的海量情报可以用作手工的查询,提供更加丰富的画像内容和人读情报,支持深度分析和溯源。云端情报中心可以用内置链接的方式与设备或者监控平台进行关联。值得一提的是,相对于传统特征库一到两周的更新频率,情报feed的更新更快,云端甚至可以做到随时更新。关键时刻,实时动态刷新的情报信息对攻击的及时掣肘有决定性的影响。
在具体使用场景中,也可以设计丰俭皆宜的联动处置方案。最简单的是情报在管道设备如NTA/IPS/NGFW中集成后,对来往流量关键KEY进行IoC匹配,视匹配结果近源或者多点封堵。
更有效的用法,则是借助态势感知全景感知的能力,联合上下文情报来完成全网联动响应。举个例子,某企业态势感知通过分析探针日志结合情报匹配上报事件,网内一台主机已被感染,外联域名指向木马a,更多情报显示a是知名远控家族A的一个变种,历史情报表明感染A家族后会迅速展开内网扫描,利用老旧浏览器漏洞进行攻击,进一步下载木马程序,安装DDoS后门,并造成对外网的DDoS行为。
同时该病毒只感染指定版本的Windows机器,不影响Linux操作系统;此时针对这条情报可以做出有效预案,在经验时间窗内尽快行动,联动EDR对受害机器进行断网隔离,结合漏扫结果对符合感染条件的机器进行补丁升级/端口封堵、联合管道安全设备增加特征以切断横向传播,最大程度减小对现有业务的影响。甚至依赖态感系统的日志关联分析,还原攻击路径、绘制疫情地图,并对可能的感染趋势进行预测(结合满足感染的技术条件)。
进一步还可以通过详细研读TTP情报,对发起攻击的黑客团伙技术背景进行掌握,了解其攻击意图和作战手法,行业CSO或许需要据此进行下一步的资源分配和战略决策。该场景对探针的密度\质量以及态势感知关联分析和知识图谱等底层能力也有一定要求。
综上所述,威胁情报在安全整体解决方案中的应用,将安全防御体系中对单点日志的关注,转变成对攻击技术、攻击向量、攻击面的研究。对攻击的提前发现和反制有绝对的意义。
Gartner在威胁情报用例中指出,当组织成熟度达到中高级,就应该将威胁情报用例由基础的情报消费推向更高级的本地情报生产,以更精准的、更好的服务于组织业务发展。情报的场景化,个人理解有两个方面,广义上的指场景化标签,由各行业、企业上报,情报机构进行分析标注;狭义的场景化指企业内部,情报在部署、调优中,不断与业务磨合,达到内化共生的理想状态。
为什么要场景化,其实很好理解。由于体量庞大是威胁情报的典型特征,全球的情报数据每天达到上亿的规模,任何设备产品和企业都不可能如数拉取、全部匹配。如果不在组织中自学习、自生产、自验证,则情报可能就是一堆无关的数据(试想,金融场景的情报,在工控行业可能发挥的价值寥寥,而客户却要为情报的规模和海量告警买单)。场景化就是让威胁情报在企业内部进行“消费”和“生产”的循环,甚至与网络设备、安全防御设备的的联动,落地的好,基本就本着企业内部的安全自洽去了。在上一个场景中:态感上报一台机器中毒的同时,针对对这台中毒机器自身地址、外联C&C域名、相关横向移动利用的漏洞、暴破使用的端口、协议等做出的反应,也对应了该企业场景化情报的提取过程,这种情报,应该提高命中优先级,加强监控,并通知上级/同级单位提前防范,进一步的,专业安全团队介入对样本进一步的关联分析,或在重绘攻击路径中发现的新的投递载荷、新的外联地址、样本hash,钓鱼邮箱,都可以作为内生出来的新情报,一方面继续反哺到情报系统中,高优先级下发匹配,另一方面,也可以上报ANVA等国家情报机构,或行业开源共享,作为对整个情报生态圈的贡献。
场景化情报可以在事件解除后手工老化,也可以一段时间内保持存活。如果说威胁情报的采集使用属于“知彼”,场景化落地需要“知己”,只有做到对外了解攻击者,对内了解自家业务,知己知彼使用情报才能发挥其最大价值。
一句话总结:威胁情报是安全能力在不断演进中的能力叠加,让企业主动安全防御更高、更快、更强。
【怎么选】威胁情报建设的评价标准
在威胁情报的获取渠道上,大家也各显神通。除了少数有专业安全攻防和病毒分析师的团队具备自研潜质外,多数企业还是通过开源社区获取、业内交换和商业购买来获得。那么如何衡量威胁情报建设的好坏呢?威胁情报的终极目标是指导响应,因此,建议从四个维度来设置评价标准—— 延迟、精度、运营、闭环。
情报的时效性是相对短暂的,根据Fire HOL的数据显示,78.89%的blacklist_net_ua IP在26小时后被删除,76.81%的atlas_attacks IP 48小时后被删除。对于这种短则数小时、多则两三天就老化的数据,疏于维护也会导致情报质量的大幅降低。其次是高精度,只有黑/白的情报是不可解释、无法运营的。不知道该事件具体属于什么家族,没有进一步的关联分析信息,对事后的处置、溯源,都将产生极大的影响。情报的有效性也是精度的一个范畴:一个扫描器的IP,如何设置老化时间?一个水坑或广告件下载链接,能否据此给IP或域名判黑?虽然情报只是提供失陷指标,对误报有一定的包容性,但也不能因为情报的引入,让一个在日志中疲于应对的运维又陷入假阳性事件分析的泥潭中。考虑到本地化情报承载的规模,机读情报可以只简单的按照STIX/TAXII 或者国标(《信息安全技术网络安全威胁信息格式规范》)对情报描述、家族归属和时效性进行简单集成。进一步的TTP(战术、技术、过程)、详细信息、黑客画像等可以到额外的情报溯源产品上实现,但同样需要保持高精度、高准确度的水平。
可运营、能闭环是对企业安全整体建设和运营成熟度提的要求,类似看完病得开药、漏洞跟进响应后必须修复一样,情报命中之后的事件分析、处置加固、分析溯源、甚至做完联动策略,事件才算闭环。可运营也依赖于情报精度,一个情报命中后,现场运维人员基本没有能力和精力去分析家族信息,制定下一步排查计划的。
目前可以获取情报的渠道比较多,包括专业情报厂商购买、开源情报社区拉取、以及加入一些行业联盟进行共享和交换,但过于开源的渠道也可能导致参差不齐的质量,因为数量庞大到无法抽检、衡量。同时,由于各家情报厂商在专业领域优势和积累的差异,导致覆盖侧重点不同,只靠单一来源提供有价值的威胁情报基本是不可能的。
一般情报库会选取国内外多个来源的数据,结合自研、商业合作、共享交换等形式,整合CERT/ANVA、CNNVD、VT等数据,并提供全球情报整合平台,可以根据客户需求定制拉取,并正基于厂商、行业、黑客组织进行标记,提供更多的筛选标签。攻防团队的专业分析师会对情报进行覆盖率和准确性进行再一次的研判调优,并在各行业实验局、公司自有网络内部署充分验证后,再将数据分发给安全防御设备和态势感知上集成。
总结
威胁情报最高价值在于业务共生、自我迭代,情报的有效运营,需要依靠流程、自动化+人的共同保障,需要企业客户、安全厂商和情报供应商一起努力。如果情报的生产和消费脱离用户实际场景的多样化检验,那么威胁情报还会一直停留在乙方虚假繁荣而甲方饱受质疑的层面。我们希望情报发挥的效果,是“研判溯源有依据,全网联动可落地”,这就不光关乎威胁情报的规模和质量,而是人、设施、技术、流程全方位的支撑,是长期的、在网的、多方位的磨合。网络安全体系建设从合规到实战从不是一日之功,所幸我们已经在路上。
相关阅读
合作微信:aqniu001
投稿邮箱:editor@aqniu.com