Recorded Future是威胁情报领域的领导者,最近出版了第四版本威胁情报手册,主题是《建立以情报为主导的安全计划的路线图》,这本书很容易理解,几乎没有什么门槛。这本书是免费电子书,所有人都能研读,笔者参考安全社区和安全人员的读书笔记,给读者再重新梳理一下:

介绍

术语“威胁情报”和“安全情报”通常与对传统 IT 系统的威胁信息相关。

术语“安全团队情报”或简称“情报”更广泛,除了威胁情报外,还包括第三方风险、品牌保护、地缘政治风险、欺诈情报、身份情报等。

什么是安全情报?

数据、信息、情报

  • 数据:为情报分析而收集的离散事件和统计数据(例如,IP 地址、URL、哈希)

  • 信息:结合多个数据点来回答特定问题(例如,回答问题:“本月我的组织机构在社交媒体上被提及多少次?”)

  • 情报:一种分析数据和信息的发现模式,为决策提供上下文参考。它必须指向具体的决策或行动,并为特定的个人、团体、系统进行定制,以便使用它来决策或采取行动

成功的安全情报流程的特征

  • 协作流程和框架(跨部门共享)

  • 360 度可见性(覆盖各种来源)

  • 广泛的自动化和集成(减少人工;与各种安全解决方案集成)

  • 与组织机构和安全用例保持一致(仅收集和处理与组织机构优先级相关的信息;使情报易于使用)

类型和来源

运营(或技术)情报

  • 有关主动攻击、安全事件、攻击活动的知识

  • 被防守者使用

  • 通常来自机器

战略情报

  • 组织机构的整个威胁形势的广泛概述

  • 面向决策者即高管的业务内容

  • 通过报告或简报介绍

  • 必须由专家创造

  • 资料来源:安全公司的趋势和研究报告、政府或非政府组织的政策文件、新闻、发表的文章、中小企业

情报生命周期

生命周期

  1. 方向:为情报计划设定目标

  2. 收集:收集信息以解决最重要的情报要求

  3. 处理:将收集到的信息转换为可用格式

  4. 分析:将信息转化为情报,为决策提供信息

  5. 传播:将完成的情报输出到需要的地方

  6. 反馈:了解情报消费者的需求和优先级,相应调整您的流程

向非技术领导报告

  • 简洁(一页备忘录或几张幻灯片)

  • 避免混淆术语和技术术语

  • 用商业术语表达问题

  • 推荐落地可行方案

SecOps 情报部分 - 分类

组织机构只能调查他们收到总量安全告警中的 48% ,而在被调查的安全告警中,其中也可能只有 26% 是正确的。

漏洞情报

大多数零日只是某种技术的变种,以略微不同的方式利用旧漏洞。因此,与其关注零日漏洞,不如识别和修补组织真正在使用的软件中的漏洞。

如果漏洞在宣布后的 2 周到 3 个月内没有被利用,那么它就不太可能被利用。因此,修补旧漏洞不是优先事项。

您的目标不应该是修补最多的漏洞,甚至是最多的零日威胁,而是要识别和解决最有可能被利用来攻击您的组织的漏洞。

漏洞数据库的价值受限于它们专注于技术可利用性而不是主动利用,而且它们的更新速度太慢,无法对快速传播的威胁发出警告。

通过交叉引用来自多个来源的信息,您可以专注于存在最大实际风险的漏洞,而不是试图修补所有漏洞。

威胁情报部分 - 了解攻击者

暗网社区

  • 低级别地下论坛

  • 更高级别的暗网论坛

  • 暗网市场

  • 许多参与者在低级和高级论坛上发帖,但实际的网络犯罪市场在很大程度上与看到的论坛是脱节的

第三方情报

55% 的组织机构存在来自第三方的入侵违规行为。29% 的人认为他们的合作伙伴会通知他们已经失陷。

需要监控的第三方风险

  • 勒索软件

  • 数据泄露

  • 恶意网络活动

  • 泄露的用户凭据

  • 暗网活动

安全情报分析框架

网络杀伤链

  • 准确描述攻击的 7 个阶段:侦察、武器化、交付、利用、安装、命令和控制、达成目标(数据渗漏)

  • 没有考虑现代攻击(例如,忽略网络钓鱼的利用阶段)

钻石模型

  • 跟踪攻击组织随着时间的推移演变,而不是单个攻击的进展

  • 攻击者的钻石模型不是静止的,它随着攻击者调整 TTP 和更改基础设施和目标而演变

  • 跟踪对手(攻击者)、能力、基础设施(由攻击者使用)、受害者。还可以跟踪阶段、结果、方向、方法、资源

  • 钻石模型需要大量的专家维护,因为攻击可能会迅速变化

MITRE 框架

  • 可信自动情报信息共享 (TAXII):使组织能够共享情报并使用 API 命令提取情报的传输协议。

  • 结构化威胁信息表达 (STIX):用于呈现情报的标准格式。

  • Cyber Observable eXpression (CybOX):在网络安全事件中跟踪可观察的方法。

MITRE ATT&CK

  • 随着时间的推移跟踪对手的行为。

  • 描述与特定对手相关的指标和策略。

  • 14 种战术类别:侦察、资源开发、初始访问、执行、持久性、特权升级、防御规避、凭证访问、发现、横向移动、收集、命令和控制、渗透、影响

情报数据源和类型

暗网情报

规则

  • YARA 规则描述文件中唯一的字符串和字节模式,因此安全产品可以识别、分类和阻止恶意软件

  • Sigma 规则是 SIEM 的威胁签名,用于识别与攻击相关的日志事件

  • Snort 规则帮助 IDS/IPS 系统识别恶意网络活动(扫描、探测等)

自建情报之旅

情报报告内容

  • 可能的威胁参与者

  • TTP

  • 组织机构中的可能目标

  • 威胁是否代表对组织的真正危险

  • 现有安全控制可以缓解威胁的可能性

  • 建议措施

发展核心安全情报团队

情报团队技能

  • 将外部数据与内部遥测相关联

  • 逆向工程恶意软件和复现攻击(取证)

  • 为安全控制提供威胁态势感知和建议

  • 主动寻找内部威胁

  • YARA、Sigma等安全数据工程和签名检测

  • 就网络威胁对员工和客户进行教育

  • 与更广泛的情报社区互动

  • 识别和管理信息源

声明:本文来自QZ的安全悟道,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。