中孚智库观察 | 内部威胁情报库及其应用
随着网络攻击日益复杂化、持续化和智能化,全球网络空间安全威胁成为个人、企业和国家关注的焦点。特别是随着网络规模和数据规模的日益扩大,传统网络安全产品越来越难以满足应对网络安全威胁的需要,网络安全已经从被动事后分析向主动事前防御的方向发展。特别安全风险与组织防御能力不对等时,围绕威胁情报建设全新防御理念下的原生安全体系成为应对未知威胁的有效途径和主流发展趋势。
越来越多的组织和机构开始相互共已知的威胁信息与防御手段,借助联动分析和攻击溯源等手段形成联动防御效应,以掌握瞬息万变的网络威胁态势。Gartner认为,威胁情报共享机制对于企业组织的安全计划具有重要的实际价值,通过不同层次(产品、系统和组织)间威胁信息共享和交换,才提升整体安全检测和防护能力[1],这种发展趋势使得专业机构和行业联盟间外部威胁情报来源日益扩充。
然而组织在面对内部威胁时,最有价值的情报实际上应该来源于组织网络内部,任何第三方都没有办法比得上组织对自身网络系统的了解程度,内部威胁情报库也是整个威胁情报系统不可或缺的重要组成部分。本文在介绍了网络威胁情报的定义及内外部威胁情报库组成的基础上,剖析了内部威胁情报库对组织的作用,并以Proofpoint(ObserveIT)的内部威胁管理工具为代表,分析内部威胁情报库在此类安全解决方案中的应用。
1.网络威胁情报概述
1.1
什么是网络威胁情报CTI
(Cyber Threat Intelligence)
关于网络威胁情报,业界普遍接受Gartner对给出的定义,即“威胁情报是一种基于证据的知识,包括关于现有或新出现的资产威胁或危害的背景、指标、含义、机制和可操作的建议,可用于为主体对该威胁或危害的响应决策提供信息。”[2]实际上,威胁情报是一种场景信息,它使组织能够采取主动行动来预防或至少减轻网络攻击。它与潜在攻击者及其意图、动机和能力等信息有关,同时也与可能的威胁指标(IoC)有关。这些信息可以帮助组织做出更快、更明智的安全决策,从而更好地应对网络威胁。
管理咨询公司和技术服务供应商埃森哲(Accenture)的iDefense专家Josh Ray认为威胁情报可以在网络防御周期的各个阶段加速安全操作,这个周期通过威胁情报通知的安全功能为威胁做好准备,在此基础上预测和检测违规行为,对事件做出响应并快速中恢复[3]。
图1 网络威胁情报周期
1.2
网络威胁情报的分类
根据网络威胁情报产生的来源和后期的应用场景来看,网络威胁情报可以分为外部威胁情报和内部威胁情报,两者相互补充。其中内部威胁情报主要指组织掌握的情报,包括:
各类网络和终端日志数据
揭示组织曾经受过什么样的攻击或检测到有哪些异常,其获取渠道包括防火墙、漏洞检测系统、防病毒系统、入侵检测系统IDS、终端安全管理系统等基础安全检测系统,以及安全信息与事件管理系统SIEM、安全运营中心SOC、安全管理平台等综合安全分析系统。
资产及流量数据
表明组织正在保护哪些资产以及有无异常流量,主要利用探针等技术获取信息资产信息,以及网络流量安全信息,如IP数据包信息、漏洞信息、流量特征信息、行为信息等。
安全知识库数据
安全事件库、黑客组织库、漏洞库、病毒样本库、设备指纹库以及安全分析师对异常流量信息、资产信息等的综合关联分析知识等等。
蜜罐数据
利用部署的蜜罐密网系统,捕捉相关威胁攻击信息数据。
实际上,网络安全态势预判所需的情报数据大,种类多,可能是绝大多数组织无法获得的,此时外部威胁情报就成为非常必要的补充。外部威胁情报主要包括以下三部分内容:组织不知道的情报、组织将会被怎样攻击以及组织应当保护哪些资产。除此以外常见的威胁情报类型还包括恶意URL地址、僵尸网络地址以及0-day漏洞信息等。
关联内外部威胁情报源的威胁情报平台可从多种数据源和格式集中收集威胁数据,数据汇聚后以标准化可解释的格式呈现。
2.内部威胁情报库与内部威胁管理
2.1
内部威胁情报库的作用
专业的威胁情报供应商,其产品往往遍及全球,会从世界不同地区收集、处理和关联数据,网络威胁情报搜集能力非常卓越。而现实中应用外部威胁情报的效果可能并不像想象中的那么完美,一方面组织内部若缺乏对自身应用环境的深入理解能力,以及对最大风险威胁的排序能力,往往就无法实现威胁情报库的本地化应用;另一方面最有价值的情报实际上应该来源于组织网络内部,任何第三方都没有办法比得上组织对自身网络系统的了解程度。因此内部威胁情报库也是组织整个威胁情报系统更重要的组成部分。
另外内部威胁情报库是内部威胁检测重要情报来源之一。来自IDS、IPS、防火墙、应用程序日志和、SIEM和SOC日志的数据可以揭示组织网络中发生的许多事情,利用这些情报可以区分内部普通用户行为和外部网络攻击行为,识别需要预防的潜在系统漏洞,也可以追踪并监控数据访问活动,识别组织内部的恶意活动模式。有了这些情报,组织就可以对外部公司提供的威胁情报进行有目的判断,并将其与内部观察到的情况联系起来,得出可靠的结论。否则,仅依靠外部威胁情报来进行威胁检测和风险分析可能是非常片面,将导致大量的误报和漏报。
2.2
内部威胁管理(ITM)
内部威胁管理(ITM)和用户实体行为分析(UEBA)这些支持内部威胁检测场景的解决方案,其效果的优劣从一定意义上都讲依赖于内部威胁情报库的完备性。ITM解决方案通过构建内部人员的用户活动和数据交互的上下文数据来检测威胁,而UEBA技术则依靠人工智能从信息技术和安全解决方案日志中收集的二手数据中识别异常。两者相辅相成,才能提升内部威胁检测的效果。
以色列威胁管理提供商ObserveIT专门从事终端安全和内部威胁检测,其为87个国家/地区的1900名客户提供实时企业网络管理提供解决方案,在检测到可疑行为时发出告警,并协助企业进行与网络安全相关的法律合规工作。该公司2019年被美国Proofpoint已收购以2.25亿美元的全现金收购,2020年Proofpoint-ObserveIT入选Gartner内部风险管理解决方案中的代表性供应商。
图2 ObserveIT内部威胁管理基本流程
ObserveIT提供了一种全面的内部威胁管理(ITM)解决方案,用于识别和消除内部威胁和数据泄露,该解决方案包括内部威胁库、用户活动监视、文件活动监视、实时活动再现、策略通知和执行、网站分类、保持隐私合规性、高效的告警规则管理。
内部威胁情报库(Insider Threat Library):该库利用告警规则涵盖了风险用户活动的最常见情况。通过内置的策略通知,提高用户的安全意识并降低公司的整体风险。规则可以映射到用户类型,例如特权用户、日常用户和远程供应商等。
用户活动监测(User Activity Monitoring):跟踪在工作站和服务器上具有可疑或超出策略范围操作的用户,关注其在本地的、基于Web的和云托管的应用程序和系统中的各种活动。根据ObserveIT的“风险仪表板”确定用户的优先级,以进行进一步调查,该仪表板会评估整个企业中的风险用户活动。
文件活动监测(File Activity Monitoring):跟踪使用浏览器或基于Web的应用程序从Internet或Intranet下载或导出的文件活动,并适时提出告警信息。关注文件复制或移动的各类活动,或者将文件复制或下载到连接的USB设备的时间信息等。
实时活动再现(Live Activity Replay):在触发策略外告警之前和之后的预设时间段内,捕获用户操作和文件移动的屏幕快照。这有助于在对合法商业目的进行严格限制的环境中满足隐私合规性,以防止内部威胁。使用会话记录来持续监控用户和服务器。
策略通知和执行(Policy Notification and Enforcement):通过使用ObserveIT的灵活警告和对任何违反组织安全策略和规则的用户进行实时阻止通知。使用灵活的即用型预防规则来阻止恶意或未经授权的Linux命令被执行。通过强行注销未授权的计算机并关闭有害的应用程序,阻止用户违反安全政策。
网站分类(Website Categorization):自动检测最终用户正在浏览的网站类别,从而可以在浏览类别(例如游戏,成人内容,受感染或恶意网站,网络钓鱼网站等)上生成告警。Observe IT提供了42个现成的网站分类。
保持隐私合规性(Maintain Privacy Compliance):仪表板和Web控制台中的用户匿名化保护了用户隐私。
高效的告警规则管理(Efficient Alert Rule Management):告警规则按类别分组并分配给用户列表。
通过基于Active Directory组的权限进行部门级风险管理(Department level risk management via Active Directory Group-based permissions):大型组织可以管理其员工在部门或组中的风险,每个部门或组均由专门的安全团队成员或经理参与管理。
整个Observe IT体系结构通信流程为如图3所示。
图3整个Observe IT体系结构通信流程
3.Observe IT的内部威胁情报库
Observe IT提供了现成的内部威胁检测情报库,组织用户和管理员可以使用它们来检测系统上的内部威胁。内部威胁库由Observe IT内容管理器维护,并作为ZIP文件发布给客户,从而为客户提供最新的内部威胁方案。
内部威胁检测情报库内置了300多个规则,涵盖了可能会生成告警的危险用户活动的最常见情况。这些规则具有内置的策略通知,旨在提高用户的安全意识并降低公司的整体风险。告警规则方案库根据安全类别进行分组,以简化其操作和维护。规则也可以映射到用户组的类型,例如特权用户,日常用户,远程供应商等,每个用户组具有特定的风险级别。告警规则方案库内置了29类告警规则类别,分别是:
数据泄露、数据过滤、隐藏信息和掩盖踪迹、未经授权机器访问、未经授权数据访问、绕过安全控制、不可接受的使用、粗心的行为、创建后门、时间欺诈、服务器上未经授权的活动、运行恶意软件、执行未经授权的管理任务、侵犯版权、搜索信息、使用未经授权的通讯工具、安装/卸载可疑软件、未经授权的ActiveDirectory活动、未经授权的DBA活动、Shell攻击(Unix/Linux)、攻击准备、未经授权的Shell打开、IT破坏、执行特权提升、身份盗窃、系统篡改、观察Observe IT组件、GIT可疑活动、Docker和容器可疑活动等。
以数据泄露规则和创建后门为例,Observe IT给出的告警规则及其描述如表2和表3所示:
4.基于内部威胁情报库的风险分析
Observe IT[4]的ITM解决方案提供了一个分析平台,可以依赖内部威胁情报来评估每个用户的风险,分析和评估用户活动,目的是识别出不合理、可疑或违反安全策略的用户行为,该平台包括两个功能:
用户风险仪表板,提供一段时间内用户风险和行为趋势的整体视图。在仪表板中,可以查看内部人员威胁带来的总体组织风险,并查看对组织带来最大风险的用户和应用程序的优先列表。
用户活动资料,能够访问有风险的用户资料,以查看和调查有关用户活动的汇总信息,以便组织可以更轻松地识别和解决内部威胁。
图4为用户活动资料展示页面。
图4 Observe IT用户活动资料
通过内部威胁情报库规则引发的告警,可以计算内部用户的风险评分,如图5,用户风险仪表板的“风险用户”部分中列出了每个用户的风险分数:
图5“高风险用户”分析界面中的风险分数
用户风险评分的计算是基于上一个用户期限(默认为30天)的汇总评分,风险变化值定义为昨天以来的风险变化。
图6用户风险评分及其风险变化值
整个评分是由“风险应用程序”和“告警”两个要素出发来对用户进行风险评分的。如图7所示:
图7存在风险的应用与告警信息
在“风险应用程序”列中,显示每个风险应用程序对用户风险评分的贡献百分比。请注意,有风险的应用程序下的行的长度也代表了应用程序的贡献百分比。在“告警”列中,由特定告警规则触发的告警实例数显示在“响铃”图标旁边。图7中的数据表明:
Microsoft管理控制台为用户风险得分贡献了30%。在当前期间(截止当天),与该应用程序相关的告警事件有29个(2个高级,8个中级和19个低级)。
SQL Server Management Studio为用户得分贡献了22%。在当前期间(截止当天),与该应用程序相关的告警实例有13个(全部为中级告警)。
Windows资源管理器为用户得分贡献了20%在当前期间(截止当天),与该应用程序相关的告警实例有8个(4个高和4个中)。
5.结论
内部威胁管理(ITM)通过海量数据对内部用户威胁行为进行分析,根据规则和异常行为建模结果确定内部用户的风险值,从而为多维度实时监控员工的动态提供依据,在此基础上系统根据监控结果成风险分析报告,有助于安全管理人员快速了解内部用户的风险状态,为安全管理人员提供可靠的审计依据。
内部威胁情报库不只包括是Observe IT所采用的内部威胁检测规则库一种形式,还包括企业的重要信息资产库、设备指纹库、用户行为基线库等等,所有有助于帮助组织抵御外部攻击及内部威胁的各种知识库对于组织构建全面的、主动的防御体系至关重要。(来源:中孚信息研究院 冯静 李玲)
参考文献:
[1] https://www.gartner.com/imagesrv/media-products/pdf/iSight/iSight-1-254H72D.pdf
[2]R.McMillan,“Definition: threat intelligence.”
https://www.gartner.com/doc/2487216/definition-threat-intelligence, 2013. Retrieved January, 2019
[3]https://www.accenture.com/us-en/blogs/blogs-cyber-intelligence
[4] https://www.observeit.com/