网络安全之情报浅析
一次性进群,长期免费索取教程,没有付费教程。
教程列表见微信公众号底部菜单
进微信群回复公众号:微信群;QQ群:460500587
微信公众号:计算机与网络安全
ID:Computer-network
大多数人从事某种形式的情报分析往往没有经过正式培训,许多安全团队有意无意中会使用与情报分析类似的过程进行调查工作。当企业和政府开展情报运营工作时,是基于多年来已经形成的正式流程和原则。此外,用于网络安全和事件响应过程的情报运营是有专门正式流程的。涉及的关键概念,其中有一些概念来自情报,一些来自安全,还有一些是二者的结合。我们将从抽象概念开始,这些概念主要是从情报原则中提取出来的,然后再转向可直接应用于事件响应调查的具体概念。
一、数据与情报
“数据”和“情报”都是安全社区的重要术语,许多从业者很难说明两者之间的差异。然而,它们往往是可互换使用的。
“Joint Publication 2-0”是美军的主要联合情报教条,是目前仍在使用的基础情报文件之一。它在介绍中指出:“信息本身可能对指挥官有用,但是当涉及有关运行环境的其他信息,并根据过去的经验来考虑时,会引起对信息的新的认识,这可能被称为情报。”
数据是一条信息、事实,或统计结果,数据是用来描述某些事情的。在网络安全领域,IP地址或域名是数据。如果没有任何额外的分析来提供上下文,它们只是一个事实。当我们收集并关联分析各种数据后,具备了为某种需求提供洞察能力,这时它们便成了情报。
情报来自收集、处理和分析数据的过程。完成情报分析后,必须通过传播才能使情报更有用。没有合适受众的情报不是好情报。瑞典文学家Wilhelm Agrell(威廉·艾格瑞尔)是研究和平与冲突的专家,他曾经痴迷地说:“情报分析是一门结合了新闻动态与解决科学问题的学科。”
数据和真正的情报之间的区别在于分析。情报需要基于一系列要求进行分析,目的是回答问题。没有分析,安全行业生成的大部分数据仍然是数据。然而,同样的数据,一旦根据需求进行了适当的分析,就成为情报,因为它包含了回答问题和支持决策所需的背景内容。
IOC
有一段时间,许多人将IOC(攻陷指标)视为威胁情报的代名词。IOC可以帮助我们在系统或网络日志中寻找某类特征数据来发现已被入侵的目标,这类特征数据包括与C2服务器或恶意软件下载相关联的IP地址和域名、恶意文件的哈希值,以及其他可以表明入侵的基于网络或主机的特征。
二、来源与方法
既然我们已经澄清了数据和情报之间的区别,接下来的一个问题是:“从哪里获取数据,以便将其分析并产生情报?”
传统的情报来源通常围绕于各种INT,它们描述了从哪里收集数据:
HUMINT(人工情报)
人工情报来源于人类,无论是通过地下秘密收集,还是通过外交方式公开收集,人工情报是情报收集最古老的形式。关于网络威胁情报是否可以从HUMINT得出是有争议的。一个例子是尝试与那些参与入侵或入侵经验丰富的人进行面谈或对话。另外一个被认为最接近HUMINT的例子是通过那些受限的或仅限会员的在线论坛,与黑客互动获得信息。这种类型的情报收集也可以被视为SIGINT,因为它来自于电子通信。
SIGINT(信号情报)
信号情报包括从电子信号中获取的情报,包括通信情报(COMINT)、电子情报(ELINT)以及外部仪器信号情报(FISINT)。大多数技术情报收集属于SIGINT,毕竟电脑的功能来自于电子信号,所以从电脑或其他网络设备导出的任何东西都可以被视为SIGINT。
OSINT(公开情报)
公开的信息来源包括新闻、社交媒体、商业数据库以及其他来源。其中关于网络安全威胁的公开报告是OSINT的一种类型。另一种类型是可公开访问的IP地址或域名的技术细节,例如,WHOIS查询恶意域名注册人的详细信息。
IMINT(图像情报)
图像情报是从视觉表征中收集的,例如照相和雷达。IMINT通常不是网络威胁情报的来源。
MASINT(测量与特征情报)
MASINT是指除了信号和图像之外,通过技术手段收集的情报。MASINT通常包括核、光、射频、声学以及地震特征的特性。由于MASINT不包含信号情报,它通常也不是网络威胁情报的典型来源。
GEOINT(地理空间信息情报)
地理空间信息情报来自于地理空间数据,包括卫星图像、侦查地图、GPS数据以及其他与地点有关的数据来源。一些企业认为IMINT是GEOINT的一部分,有些企业认为它是一门单独的学科。与IMINT类似,GEOINT不是网络威胁情报的典型来源,但它可以提供有关威胁的上下文信息,以帮助你了解攻击者如何使用网络域来实现其目标。
可能很多人会提出近年来出现的各种INT概念,例如网络情报(CYBINT)、技术情报(TECHINT)和金融智能(FININT),但这些新术语中的大多数已经被其他情报收集方法所覆盖。比如,网络情报主要来源于ELINT和SIGINT。对现存的INT数量进行论证并不重要,重要的是我们需要理解数据的来源。如果这些INT概念有助于将特定的收集类型归纳起来,那么我们不需要再去纠结,让我们聚焦于如何解决这一领域中可能会出现的术语冲突。
上面我们介绍了一些传统情报收集的方法,其中有一些收集方法经常被用于网络威胁情报。了解特定威胁数据的来源是非常有用的。
事件和调查
这些数据是从数据泄露和事件响应活动的调查中收集的。这通常是网络威胁情报中最丰富的数据集之一,因为调查人员能够识别威胁的多个因素,包括黑客所使用的工具和技术,并且通常可以识别入侵背后的意图和动机。
蜜罐
这些设备被配置成虚拟的机器或网络,并收集有关与这些设备的交互信息。蜜罐有很多种类:低交互蜜罐、高交互蜜罐、内部蜜罐以及边界蜜罐。蜜罐信息非常有用,只要我们理解蜜罐的类型,它们正在监控的内容以及交互的性质。蜜罐上捕获到的攻击尝试流量(尝试在系统上进行漏洞利用或安装恶意软件),往往要比分析网络扫描流量或Web爬虫流量有用多了。
论坛和网站
很多公司都声称自己拥有地下网络或暗网的情报收集能力。在许多情况下,这些公司是指通过互联网访问那些受限的论坛和聊天室。在这些论坛网站上,许多人会在完成信息分析后互相交换有价值的信息。这种类型的网站数量非常庞大,几乎任何一家公司都不可能完全覆盖这些暗网。这里我们要知道,每家公司收集情报的范围往往是有限的,且不同于其他公司宣称的拥有相似数据。
这些技术是过去常见技术的新迭代,但随着技术的发展,新瓶换旧酒,对于情报来说并没有什么不同。正如George Santayana(乔治·桑塔亚纳)所说的,忘记过去与以往一样真实。
军事术语
网络安全的一个共同点就是使用军事术语。情报工作已经存在了几个世纪,并被编纂进军事机构的文件中。大多数非军事情报的应用仍然非常重视这些文件中所记载的普适原则,这导致现代情报分析中出现了大量的军事术语。同样地,在网络威胁情报领域,也从这些军事原则中大量攫取概念。然而,正如营销一样,军事术语在某些情况下也是有用的,而在其他情况下无用。如果使用军事术语阻碍了信息的传递,那么可能不是使用这些术语的好时机。
三、流程模型
模型通常用于构建信息,以便对其进行分析和处理。此外,在情报生成过程中,我们还使用了几种模型。下面介绍用于有效地产生和采取行动的两个情报模型。第一个是OODA循环,可用于快速做出时间敏感型的决策;第二个是情报周期,可用于生成更多正式的情报产品,它们的用途多样,比如情报通报策略或情报规划。
有效地使用模型
George E.P.Box说过:“所有模型都是错误的,少数模型是有用的。”每一个模型都是一个有助于理解问题的抽象。另一方面,存在一个非常自然的现象,每一个模型都是还原主义者,它容易丢掉重要的细节。因此,能否将所有数据适配到特定模型中并不重要,但使用模型作为理解和改进思维方式的方法始终是有价值的。
1、OODA循环
安全领域经常被引用的一个军事概念是OODA循环,OODA是“观察(Observe),定位(Orient),决策(Decide),行动(Act)”的缩写。如图1所示,OODA循环是在20世纪60年代由战斗机飞行员、军事研究员以及战略家John Boyd发明的。他认为战斗机飞行员面对着装备与能力都比自己强大的对手时,使用OODA循环通过果断行动更快地对周边环境进行反应,可有效地攻击对手,将可能最终获胜。
图1 OODA循环
以下为OODA循环四个阶段的介绍:
观察
观察阶段聚焦于信息收集。在这个阶段,我们收集来自外部世界的任何有用的信息。比如,如果我们想抓住棒球,这个阶段就是观察棒球以确定其速度和轨迹。同理,如果我们试图捕获网络攻击者,观察阶段则包括收集日志、系统监控,以及收集任何可以帮助识别攻击者的外部信息。
定位
定位阶段将观察阶段收集的信息根据已知的信息转换成上下文内容。这里需要考验我们过去的经验,预设的概念、期望和模型。还是以棒球为例,定位需要依靠观察者对棒球移动方向、速度以及轨迹的判断,预测它的方向以及抓住它时所产生的冲击力。在网络攻击示例中,定位需要从日志中提取监测数据,并将其与有关网络,相关攻击组织以及先前识别的攻击手法(如特定IP地址或进程名称)等知识相结合。
决策
在这一环节中,信息已被收集(观察)并完成上下文关联(定位),所以现在是确定行动方式的时候了。决策阶段不是关于执行操作,而是评审各种行动方案,直到最后决定采取哪个行动为止。
在处理网络攻击的情况下,这意味着决定是否等待并继续观察攻击者的动作,是否启动事件响应动作,还是忽略该活动。任何一种情况下,防御方决定实现其目标的下一步。
行动
很显然,行动阶段比较直观:个人遵循所选择的行动方案。行动结果并不意味着100%成功,需要在下一个OODA循环的观察阶段进行确定,如此循环,反复进行。
OODA循环是每个人每天经历数千次的基本决策过程的泛化。它解释了个人如何作出决定,也解释了团队和企业如何做出决定。它解释了网络防御者或事件响应者在收集信息并了解如何使用它时所经历的过程。
OODA循环不只是单方在使用。我们作为网络防御者,在许多情况下,经历了观察、定向、决策和行动的过程,攻击者也是如此。攻击者观察着网络和网络防御者在该网络中的行为,并决定如何采取行动改变环境并试图胜出。与大多数场景一样,能够观察和更快适应的一方往往会赢得胜利。图2显示了攻击者和防御者的OODA循环。
图2 防御者和攻击者的竞争OODA循环
多防御者OODA循环
除了攻防双方OODA循环外,思考多防御方OODA循环也是有用的,也就是说,一个防御者的决定如何影响其他防御者也是有用的。一个防御团队所作出的许多决策可以为其他防御者创造竞跑条件。例如,如果一个防御者成功执行了一次安全事件应急响应,然后公开分享关于攻击的信息,那么第一个防御者已经开始向所有其他防御者赋能这种智慧。如果攻击者可以更快地通过OODA循环,找到关于这些活动的公开信息,并且在第二个防御者使用这些信息之前改变他们的策略,那么攻击者将会打一场翻身仗(让自己处于更有利的位置),在这种情况下,第二个防御者的境遇就危险了。
因此,我们需慎重考虑如何将自己的行动分享给其他组织,这里包括对手和盟友。在一般情况下,计算机网络防御都是减缓对手的OODA循环,并加速防御者的OODA循环。
这个广义决策模型提供了一个了解防御者和攻击者决策的模板,这个模型侧重于了解各方的决策过程。
2、情报周期
图3所示的情报周期是生成和评估情报的正式流程。这个周期始于上一次情报过程的结束,周而复始。情报周期并不需要完全遵循此过程。
图3 情报周期
要正确利用情报周期,你需要知道步骤中涉及的内容,接下来将介绍这些步骤。
方向
情报周期的第一步是方向。方向是确立情报打算解决问题的过程。这个问题可以来源于外部,并由情报团队开发实现;或者由内部受益的业务方和情报团队共同开发。这个过程的理想结果是提出一个清晰简明的问题,利益相关者可以找到有用的答案。
收集
下一步是收集回答问题所需的数据。这是一个大型的活动,我们应该着重从多个来源收集尽可能多的数据。冗余的信息在这里会增加价值,因为佐证往往很重要。
这里衍生出一个制订有效情报计划的关键思想:建立收集能力。我们很难准确地知道哪些数据可能最终被证明是有用的,因此建立广泛的收集各种信息的能力很重要。这包括诸如基础架构、恶意软件和漏洞之类的战术信息,以及诸如攻击者目标、社交媒体监控、新闻监控和高级威胁分析文档(研究报告,例如供应商发布的关于攻击组织的报告及其相关信息)等战略操作信息。这里一定要记录来源并注意:新闻故事经常会反复发布或引用相同的原始材料,使得我们很难知道什么是佐证,什么是同一材料的重新组合。如果无法确定特定数据集的源,则尽可能避免将其作为收集源。
收集是一个过程,而不是一次性的动作。使用第一轮收集的信息(如收集IP地址)进行第二轮处理(例如使用反向DNS查找与这些IP地址相关的域),接着继续第三轮收集(使用WHOIS收集有关这些IP地址对应域的信息)。随着收集的层层递进,信息会呈指数级增长。这一阶段的重点并不在于数据之间的关系,而在于扩展尽可能多的信息,之后再慢慢分析。此外,不要忘记考虑内部来源,例如内部事件管理系统,企业往往会发现他们已经非常熟悉的对手或攻击。
命名冲突
命名在情报收集方面是个重大挑战。虽然过去命名的重点放在别名和涵盖术语上,但在今天,该领域与情报收集和命名惯例的不同性质相结合。每个公司、每个情报分析小组以及每个情报机构都有各自的威胁组织名称。对所有这些名称的收集很重要,因为忽视使用特定名称的报告可能导致关键数据丢失。
处理
数据的原始格式或以其收集的格式并不能马上被使用。另外,来自不同来源的数据可能会有不同的格式,有必要将其转换成相同的格式,以便一起分析。使数据可用的处理过程常常是一个被忽视的任务,但没有它,产生情报几乎是不可能的。在传统的情报周期中,处理是收集的一部分。然而,在处理涉及事件响应的数据类型和企业类型时,考虑分开处理是有用的。以下是处理与网络威胁有关数据的一些最常见的方法:
正规化(Normalization)
处理包括将收集的数据归一化为统一格式进行分析。收集过程将产生几乎各种可想到的数据结果。情报数据来自各种不同格式,从JSON到XML到CSV到电子邮件的纯文本。供应商在博客帖子或表格中的网站上分享信息,也可以在基于PDF的报告中甚至YouTube视频中分享信息。同时,企业倾向于以不同的格式存储数据。一些企业使用专门的威胁情报平台,而其他企业则从维基或内部应用程序构建自定义的解决方案。
索引(Indexing)
大量的数据需要可进行搜索。无论是处理诸如网络地址、互斥量(Mutexes)等观察数据,还是处理论坛帖子、社交媒体等操作数据,分析师都需要能够快速有效地进行搜索。
翻译(Translation)
在某些情况下,区域分析师可能会提供源文档的人工翻译,但对于处理来自世界各地信息的大多数企业来说,这通常是不够的。机器翻译虽然不完美,但通常能够提供足够的价值,以便分析人员可以找到感兴趣的项目。如有必要,可请专家进行更准确的翻译。
拓线(Enrichment)
为一条信息提供额外的元数据很重要。例如,域名地址需要解析为IP地址,并提取WHOIS注册数据。Google Analytics跟踪代码应该被交叉引用去发现使用相同代码的其他网站。这个过程应该自动进行,以便相关数据能尽快提供给分析人员。
过滤(Filtering)
并非所有数据都具有相同的价值,分析人员在无休止的无关数据流中被压倒。算法可以过滤掉已知无用的信息(尽管它仍然是可搜索的),并且凸显最有用和最相关的数据。
优先级(Prioritization)
已收集的数据可能需要排序,以便分析人员可以将资源分配给最重要的条目。分析时间是很宝贵的,应该正确地集中于获取情报产品的最大收益上。
可视化(Visualization)
数据可视化有效果显著的意义。虽然许多分析师通常会对供应商杂乱的仪表盘内容望而生畏,但是根据分析人员的需要(而不是营销和高管认为看起来不错)设计可视化,有助于减少认知负荷。
花时间处理数据可以有效地实现和改进未来的情报工作。
分析
分析像科学一样艺术,力求回答在“方向”阶段中确定的问题。在情报分析的过程中,我们将收集到的数据与其他可用数据进行特征化处理,并对其含义和影响进行评估。这里经常会对未来的影响进行预测。分析的方法有很多种,但最常见的是使用分析模型来评估和构建信息。除了预设模型之外,分析人员还可以开发自己的模型,使用它们的特定数据集或解释信息的方法。
分析阶段的目标是回答在情报周期“方向”阶段中确定的问题。答案的类型取决于问题的性质。在某些情况下,分析可能会以报告的形式生成新的情报产品,或者可以像“是或否”此类答案一样简单,最常见的情况是输出一个可信值。开始分析时,理解最终的输出形式是很重要的。
分析不是一门完美的科学,常常在信息不完整的情况下进行。分析人员必须识别并明确说明其分析中的任何信息差距,这一点很重要。这使得决策者能够意识到分析中的潜在盲点,并且还可以推动收集过程以识别新的来源,从而减少这种差距。如果差距太大,分析师认为无法使用当前信息完成分析,则可能需要返回收集阶段并收集其他数据。在这种情况下,暂缓分析要比最终提供有缺陷的分析更好。
需要强调的是,所有的情报分析都是由人工完成的。如果它是自动化的,实际上是一种处理,这是情报周期中的关键步骤,但不是真正的分析。
传播
到了这一阶段,我们已经产生了真实的情报:在“方向”阶段提出的问题已经找到答案。不与相关受益者(可以使用这个情报的人)分享的答案报告是没有用的。在大量文献记载的失败情报中,分析是真实有效的,但在传播阶段掉了链子。情报内容必须以相关受益者觉得最有用的形式共享,因此传播取决于受众。如果这个产品针对高管,重要的是考虑内容长度和措辞。如果其目标是在技术系统(如IDS或防火墙)中实施,则可能需要符合特定供应商的程序化格式。无论如何,情报最终必须给相关受益者使用。
反馈
经常被遗忘的反馈阶段是继续情报工作的关键。反馈阶段询问生成的情报是否符合问题的方向。最终只有两个结果:
成功
如果情报过程回答了这个问题,这个循环可能就结束了。然而,在许多情况下,成功的情报过程会导致新问题的出现,或根据答案所采取的行动需要更多的情报。
失败
在某些情况下,情报过程会失败。此时反馈阶段应该重点确定未正确回答问题方向的原因。在下一个“方向”阶段应特别注意解决此次失败的原因。这通常会因为在“方向”阶段出现结构失误,没有定义好目标范围;或者是因为不完整的“收集”阶段,无法收集足够的数据来回答问题;抑或是不正确的“分析”没有从可用数据中提供准确的(至少是有用的)答案。
3、情报周期的应用案例
让我们考虑如何利用情报周期来了解一个新的对手。
“这个威胁组织我听说过,我们对它有哪些了解?”,这是首席信息安全官(简称为CISO)最常问的问题之一。CISO想知道这个威胁组织的能力和意图的基本情况,有时会了解特定组织的相关评估。在这种情况下,情报过程应如何开展?这是一个例子,介绍了情报周期的每个步骤,以满足CISO的需求:
方向(Direction)
方向来自一个重要的相关受益者:CISO。“我们对X威胁组织有什么了解?”寻求的正确答案是一个目标清单。
收集(Collection)
从原始来源开始,很有可能是新闻文章或报告。这些文档通常能够提供一些上下文内容来启动收集工作。如果存在IOC攻陷指标(如IP、URL等),请尽可能地通过进一步关联来深入探索。数据来源可能会引用IOC特征、TTP情报(攻击者的战术、技术和攻击过程)或其他分析的额外报告。
处理(Processing)
这个过程非常依赖于企业的工作流。将所有收集到的信息集中到可以最有效使用的地方,这里有点像将所有信息都放入单个文档中,实际操作中可能需要将其全部导入分析框架。
分析(Analysis)
面对已收集的信息,分析师将尝试回答以下关键问题:
这些攻击者盯上了什么?
他们通常使用什么策略和工具?
防御者如何检测这些工具或策略?
这些攻击者是谁?(虽然这个问题一直存在,但未必值得花时间回答。)
传播(Dissemination)
对于具有指定需求方(CISO)的情报产品,简单的电子邮件就可以满足。尽管在某些情况下限制情报产品的传播范围是有道理的,但是积极分享给他人的真正产品总是会产生更大的价值。
反馈(Feedback)
关键问题是:CISO是否对结果感到满意?是否引发其他问题?这些反馈能否帮助闭环,并开始一系列可能的新循环。
情报周期是一个普适的模型,大小问题都可以回答。但我们要重点注意的是,上述步骤不会自动产生良好的情报,我们将在下面讨论情报的质量。
四、有质量的情报
情报质量主要依赖于两个方面:收集来源和分析。很多时候在网络威胁情报中,数据处理不下去往往是因为我们没有收集自身的数据,因此了解这些信息对我们来说至关重要。当我们生成自身的情报时,同时也需要确保我们了解数据源头,并在分析中解决偏见。这里有一些应该考虑的事情,以确保产生有质量的情报:
收集方法
了解信息是从事件或调查中收集的,还是从自动收集系统(如蜜罐或网络传感器)中收集,这一点非常重要。虽然了解收集的确切细节并不是必须的,一些供应商更愿意保留其来源的机密性,但我们仍可以在不影响收集源的基础上对数据来源有基础的了解。你了解信息收集方式的细节越多,你对这些信息的分析将越好。例如,知道数据来自蜜罐是一件好事,但最好知道它来自一个用于监控远程Web管理工具的暴力破解攻击的蜜罐。
收集日期
大多数收集来的网络威胁数据是很容易过期的,这些数据的使用寿命从几分钟到几个月甚至几年不等,但总归有一个生命周期。了解数据什么时候被收集可以帮助防御者理解如何采取行动。当你不知道何时收集数据时,很难正确分析或利用任何数据。
上下文
收集方法和日期在一定程度上可以为数据提供上下文内容,可用的上下文越多,分析就越容易。上下文可以包括其他细节,例如与信息相关的具体活动以及信息片段之间的关系。
分析解决偏见
所有分析师都有偏见,识别和消除这些偏见,让分析师不受影响地分析是情报质量的关键部分。分析师应该设法规避几种偏见:一种是确认偏见,它试图找出能够支持以前定下的结论的信息;另一种是锚定偏见,它导致分析师过分重视单一信息,而忽略很多其他可能的宝贵信息。
五、情报级别
迄今为止我们所研究的情报模型,聚焦于通过某种分析管道实现信息的逻辑流动。正如事件分析一样,这种方法并不是信息建模的唯一途径。我们可以从不同层次来思考情报的抽象概念,从高度具体的(战术级)到运营支撑的(作业级)到非常通用的(战略级)。当我们审视这些情报级别时,请记住,这个模型代表了一个连续的光谱,它们之间有灰色区域,而不是离散的孤立点。
1、战术情报
战术情报是低等级的且极易过时的支撑安全运营和事件响应的信息。战术情报的客户包括安全运营中心(SOC)分析师和计算机事件响应小组(CIRT)调查员。在军方,这种情报支撑小分队的行动。在网络威胁情报(CTI)中,这通常包括IOC特征以及观测报告,例如高细粒度的TTP,描述对手如何部署特定的能力。战术情报使防御者能够直接对威胁作出反应。
战术情报的一个例子是与新发现的漏洞利用有关的IOC特征。这些战术级IOC包括执行漏洞扫描探测的IP地址、域名托管的恶意软件(漏洞攻击成功后植入),以及利用和安装恶意软件过程中生成的各种基于主机的组件。
2、作业情报
在军事上,作业情报在战术情报的基础上进一步加强。这些信息支持后勤工作,分析地形和天气对较大行动的影响。在CTI中,通常包括行动相关信息和高阶TTP内容。它还可能包括有关指定威胁组织的特点、能力和意图等信息。这是许多分析师理解的难点之一,因为有时它介于一般的战术情报和特定的战略情报之间。作业情报的客户包括高级数字取证和事件响应(DFIR)分析师和其他CTI团队。
回顾一下上面讲的漏洞利用战术情报的例子,作业情报将包括漏洞利用攻击的影响面有多大,是定向的还是广撒网式的,谁是定向攻击的目标,恶意软件被安装的目的是什么,以及执行攻击的黑客组织的任何细节。了解这些细节可以支持后续情报的产生,比如可能发生的其他威胁,威胁的严重程度等,从而帮助防御者制订应急响应计划。
3、战略情报
在军事上,战略情报涉及国家和政策层面的信息。在网络威胁情报(CTI)中,我们认为它可支持高级管理人员和董事会对风险评估、资源分配和组织战略做出正式决策。这些信息包括态势、威胁企业的动机和分类。
在前面的例子中,战略情报将包括关于攻击者动机的信息,尤其是如果攻击活动出现新的或未知的威胁,以及可能需要更高级别响应的针对新战术或攻击目标的信息,比如需要制定新的安全策略或涉及安全架构的变动。
六、置信级别
如前所述,情报通常具有与之相关的不同置信级别。这些置信级别反映了分析师对信息的正确性和准确性的信任。对于某些类型的数据,这种置信可能用数字度量(例如从0到100),并使用传统的统计方法计算。而在其他情况下,置信评估是由分析人员直接提供的。确定以下两个重要领域的置信级别非常重要:对信息来源的置信,以及对分析师结论的置信。
源可靠性描述的一个常见方法是《FM 2-22.3》(美军人工情报收集操作手册)中记录的“Admiralty Code”或“NATO System”。这里包括两个维度。首先根据先前的信息来评估源的可靠性,范围从A(可靠)到E(不可靠)。第二个维度评估信息内容本身的可靠程度,从1(确认)到5(不可能)。这两个分数根据来源和具体内容合并在一个特定的信息中,例如,具有有效信息历史的来源中已知的真实信息可能被评估为B1,但来自具有无效信息历史的来源的不太可能的信息将被评估为E5。
Sherman Kent(谢尔曼·肯特)被很多人称为情报分析之父,在1964年他写了一篇名为“Words of Estimative Probability”的文章,其中描述了各种定性方式来描述分析师对置信级别的判断。在这篇文章中,Kent分享了他和他的团队用来分配和描述置信的图表之一(如图4所示),但同时他也提到,为便于理解,图中涉及的术语,在保持一致性的前提下可以相互替换。
图4 Sherman Kent的概率估计图
七、结语
情报是事件响应的关键组成部分,许多流程可用于将情报原则整合到事件响应调查中。了解我们所依赖的情报来源很重要,我们对来自自身网络中发生过的历史事件的信息,以及来自外部蜜罐的信息的处理方式有很大差异,这两种信息都是有价值的,只是它们有不同的应用。用于构建情报分析和响应的流行模型是OODA循环和情报周期。
微信公众号:计算机与网络安全
ID:Computer-network