通过阐述威胁情报在收集、处理和分析等各环节等场景应用,了解威胁参与者的动机、目标和攻击行为的数据,使组织机构能够做出更快、更明智、有数据支持的安全决策,并在对抗威胁参与者时将其行为从被动变为主动。
威胁情报(Threat Intelligence)也被称作安全情报(Security Intelligence)、安全威胁情报(Security Threat Intelligence)。随着网络攻击日益复杂化、持续化和智能化,全球网络空间安全威胁成为个人、企业和国家关注的焦点。特别是当前网络规模和数据规模日益扩大,安全风险与政企机构的防御能力不对等时,传统网络安全技术手段和服务越来越难以应对网络安全威胁的需要,网络安全已经从被动事后分析向主动事前防御的方向转变。与此同时,围绕威胁情报建立完善全新防御的理念也逐渐成熟,基于威胁情报的原生安全体系逐步成为应对未知威胁的有效途径和主流发展趋势。
进入数字经济时代,越来越多的组织和机构开始相互共享已知的威胁信息与防御手段,借助联动分析和攻击溯源等手段形成联动防御效应,以掌握瞬息万变的网络威胁态势。Gartner认为,威胁情报共享机制对于企业组织的安全计划具有重要的实际价值,通过不同层次间威胁信息共享和交换,能够不断提升整体安全检测和防护能力,这种发展趋势使得专业机构和行业联盟间外部威胁情报来源覆盖面日益广泛。
威胁情报的基本概述
威胁情报是识别和分析网络威胁的过程,包括筛选数据、根据上下文检查数据以发现问题,并针对发现的问题部署解决方案。威胁情报能够协助组织有针对性地采取行动,形成响应决策,而不单是提供数据,每一条威胁情报都必须引起足够的关注,通过研判和归类威胁情报,有助于检测和预防攻击。
威胁情报是可以让组织预防或减轻网络攻击的知识库。威胁情报来源于数据,提供清晰的流程化上下文,例如谁在攻击,他们的动机和能力是什么,在目标系统中寻找哪些,对于受影响的组织危害指标有多大,进而帮助使用者做出关于网络安全态势的决策。通过对威胁情报的梳理和筛选,组织可以宏观地了解在可预见的未来所面临的潜在攻击以及如何检测和阻止这些攻击的信息。同样,网络威胁情报内也会包含有关当前威胁是何种类型及其来源等信息,某些类型的威胁情报可以输入防火墙、Web应用程序防火墙(WAF)、安全信息和事件管理(SIEM)系统以及其他安全产品,使它们能够更有效地识别和阻止威胁,通过以上信息可提炼形成“威胁画像”。
威胁情报的类型
网络安全威胁情报通常分为三类:战略威胁情报、战术威胁情报和运营威胁情报。战略威胁情报通常是为组织的中高层决策管理者(非专业技术人员)提供服务支持,它涵盖了可能影响更广泛业务决策的网络安全事件,着眼于总体趋势和动机。战略威胁情报的收集通常基于开源情报,是最广泛信息来源合集的提炼和加工。战术威胁情报侧重于可以预见的未来,为专业技术人员提供具有可操作性的支持。它基于已经发生的入侵指标(IOC)进行识别。IOC不仅仅包含哈希、IP地址和域名,还有很多可以作为取证的数据,帮助安全分析师监测系统是否存在潜在恶意活动的迹象,如HTML响应包大小、异常DNS请求、计划外系统补丁、突然的系统文件更改、数据库读取量增加、DDo S行为、不匹配的端口应用程序流量、访问外网的异常流量、本不该存在的数据集。
IOC有着危险预警的作用,辅助检测攻击的早期迹象。然而,仅仅有一个常见IOC的静态列表,并在此基础上定期运行检测规则是不够的。网络攻击的复杂性在不断增长,必须跟踪新出现的指标,并确保适当的检测规则到位。一个高效的IOC既可能简单得像元数据中的某个元素,也可能复杂如一段注入的代码,而这些代码处于数以PB计且不断流动的日志数据中,可以想象其识别起来的困难程度。网络安全专业人员需要寻找各种IOC之间的关联性,分析并跟踪攻击前后的事件,以形成有效的检测策略。
威胁情报的定义和重要性
威胁情报的定义有时会与其他网络安全术语混淆。最常见的是将“威胁数据”与“威胁情报”混为一谈。威胁数据是一个可能的威胁列表,存在一定的局限性和特定性。而威胁情报着眼于更大的图景,通过广泛收集、关联数据来构建可以为决策提供信息的叙述。
从本质上讲,威胁情报使组织能够做出更快、更明智的安全决策,它鼓励在对抗网络攻击时采取主动而非被动的行为。威胁情报是任何网络安全生态系统的重要组成部分。例如,网络威胁情报(Cyber Threat Intelligence,CTI)可以防止数据丢失。实际上,威胁情报是一种场景信息,它使组织能够采取主动行动来预防或至少减轻网络攻击。它与潜在攻击者及其意图、动机和能力等信息有关,同时也与可能的IOC有关。这些信息可以帮助组织做出更快、更明智的安全决策,从而更好地应对网络威胁。
通过结构良好的CTI计划,组织可以发现网络威胁并防止数据泄露释放敏感信息。提供安全措施指导:通过识别和分析威胁,CTI可发现黑客使用的模式,帮助组织实施安全措施以防范未来攻击。
威胁情报在网络安全中的应用优势
如今,移动信息、云和开源技术在推动增长的同时,也为互联网安全漏洞创造了条件。近年来,勒索软件一直占据互联网主要攻击类型的首位,其在2021年的占比高达21%。在网络安全领域,高级持续性威胁(APT)和防御者进行着持续的相互博弈。各类组织和各级政府机构面临的网络安全压力与日俱增。客观原因也包括在行业范围内相关专业技术人员的不足,以及威胁的数量以及狡猾程度呈现爆发式增长。通过构建的威胁情报体系,可以减轻可能导致声誉和财务损失的网络安全事件风险。针对上述情况,威胁情报计划的实施应有助于组织和机构识别网络攻击并降低风险,其应用优势主要包括降低风险、避免数据泄露、降低成本等方面。
1.降低风险
威胁情报可帮助各类规模的企业处理威胁数据,以便更好地了解攻击者、更快地响应危机并预测威胁者的下一步行动。拥有网络安全团队的企业可以通过利用外部威胁情报来节省成本并提高漏洞检测效率,以降低数据丢失或日常运营中断的风险。
2.避免数据泄露
一个全面的网络威胁情报系统应有助于避免数据泄露,它通过监控试图与组织系统通信的可疑域或IP地址来实现这一点。一个好的网络威胁情报系统会阻止来自网络、可能会窃取数据的可疑IP地址。如果没有网络威胁情报系统,黑客可能会用虚假流量淹没网络,以执行DDoS攻击。
3.降低企业成本
数据泄露代价高昂。有数据显示,2021年,全球数据泄露的平均成本从386万美元增至424万美元,为历史最高平均总成本数额,这些费用包括法律费用和罚款以及事故后恢复费用等。通过降低数据泄露的风险,网络威胁情报可以帮助组织节省资金。从本质上讲,威胁情报研究有助于组织了解网络风险以及需要采取哪些步骤来减轻这些风险。
威胁情报的生命周期
威胁情报生命周期是将原始数据转换为最终情报以供决策和行动的过程,网络威胁情报不是端对端过程,而是数据的特殊形态。在威胁情报生命周期的循环过程中,一个典型的网络威胁生命周期涉及以下阶段:目标、收集、响应、分析、传播和反馈。
1.第1阶段“目标”
(1)此阶段的重点是为威胁情报计划设定目标。它可能包括:了解组织的哪些方面需要受到保护并可能创建优先顺序。
(2)识别组织需要哪些威胁情报来保护资产和应对威胁。
(3)了解网络违规对组织的影响。
2.第2阶段“收集”
此阶段的内容是收集数据以支持在第1阶段中设定的目标。数据数量和质量对于避免错过严重的威胁事件或被误报误导都至关重要。在这个阶段,组织需要识别它们的数据来源,这可能包括如下内容。
(1)来自内部网络和安全设备的元数据。
(2)来自可靠网络安全组织的威胁数据信息流。
(3)采访知情的利益相关者。
(4)开源新闻网站和博客。
以下为隐藏内容,登录后可见。