我們已經(jīng)看過許多威脅情報的演講和文章，也向很多專業(yè)人員咨詢過威脅情報怎樣利用的問題。其中抱怨最多的就是：現(xiàn)在所謂的威脅情報根本就是聚焦點很窄的平面(flat)數(shù)據(jù)。有時候，這些數(shù)據(jù)會派上用場，但多數(shù)時候，根本沒用。

原始數(shù)據(jù)，比如簽名和IP地址列表，只要沒經(jīng)過驗證或者缺乏上下文，就不能稱之為情報。多數(shù)專家認(rèn)為，還是需要一個清楚業(yè)務(wù)需求的人來分析這些平面數(shù)據(jù)并作出判斷。

舉個例子：

一份關(guān)于勒索軟件CryptoLocker及其相關(guān)IP地址的數(shù)據(jù)反饋，并不能解釋清楚如何減輕風(fēng)險，也幫不了公司決策該如何反應(yīng)。換句話說，這么一份反饋，或者說情報，不具備可行性。不幸的是，一些廠商出售的，還就是這樣的東西——未經(jīng)處理的粗陋數(shù)據(jù)反饋。

一位安全從業(yè)人員對此案例評價道：“你最多能用這東西封鎖一些命令和控制服務(wù)器，查看一下數(shù)據(jù)流向，檢查公司里有沒有人的機器被感染了——通常都只是事后補救了，不過至少你可以給點反應(yīng)。這還是在假設(shè)你擁有安全信息和事件管理(SIEM)系統(tǒng)，或者有專門的團隊處理事件響應(yīng)和調(diào)查的情況下。”

選購?fù){情報解決方案的最終目標(biāo)，就是獲得可行性情報支持。而只有經(jīng)過評估和驗證的情報，才具備可行性;否則，就僅僅只是原始信息而已。

基本上，公司和機構(gòu)都希望知道：

誰在攻擊?為什么要攻擊?怎樣攻擊的?

我們的競爭對手也被攻擊了嗎?

商業(yè)合作伙伴有沒有被攻擊?或者，是針對整個行業(yè)的攻擊有所上升?

攻擊能力和攻擊方式是什么?

攻擊者的常用工具和攻擊策略是什么?

可想而知，總有數(shù)據(jù)反饋能夠提供回答所有這些問題的零零散散的信息。但，再次強調(diào)，這沒什么卵用!缺少了上下文，這些信息你用不起來。

對公司而言，威脅情報的長期價值，在于驅(qū)動改變的能力。

經(jīng)驗證的威脅情報(或者有著適當(dāng)上下文的數(shù)據(jù))應(yīng)該能改變行為——無論這些行為是否是安全運營中心(SOC)確定并響應(yīng)警報的做法;是否是用戶判斷并處理網(wǎng)絡(luò)釣魚郵件的方式;是否是決策者和高管投資安全項目或優(yōu)先考慮長期安全計劃的行動。某些情況下，威脅情報將幫助事件響應(yīng)(IR)團隊爭取到更短的檢測和響應(yīng)時間——切實的好處。

一名分析師的案例：

最近金融行業(yè)的一名安全從業(yè)人員接受了采訪，透露了他們的威脅情報使用體驗，以及威脅情報是怎樣影響他們的操作的。出于保護他們公司和客戶的考慮，我們就稱他為M吧。

M說，涉及到數(shù)據(jù)反饋和處理多種來源的大量信息時，一個很大的問題在于，公司能不能成功管理起這些數(shù)據(jù)，能不能獲得需要的定制數(shù)據(jù)。

“目前，我所在的金融公司主要利用日志分析軟件Splunk，將通用黑名單和開源情報反饋與我們邊界設(shè)備記錄下來的地址、蜜罐和金融服務(wù)信息共享與分析中心(FS-ISAC)的通報關(guān)聯(lián)起來。”

作為一名分析師，小M要審查特定的FS-ISAC數(shù)據(jù)，查找金融相關(guān)網(wǎng)絡(luò)釣魚、憑證竊取、詐騙相關(guān)數(shù)據(jù)，并與她的團隊和公司風(fēng)險高管共享這些信息。必要的話，他們有時候也會與FS-ISAC共享網(wǎng)絡(luò)釣魚或詐騙指示器相關(guān)信息。

“我們曾一度采用統(tǒng)一威脅共享工具，付費和開源的都用過。我們從FS-ISAC弄了個早期版本的Soltra服務(wù)器，但那需要大量的數(shù)據(jù)庫知識才能管理。隨著時間的推移，出現(xiàn)了很多需要跨團隊介入才能解決的問題，而我們?nèi)狈θ耸帧?rdquo;

“鑒于我們目前的處理過程適合公司當(dāng)前規(guī)模，在砸錢引進解決方案上我們有一點點顧慮。不是沒有嘗試過一些看起來靠譜的付費產(chǎn)品/設(shè)備，尤其是Vorstack。然而，因為預(yù)算調(diào)整，我們覺得當(dāng)前擁有的東西就足以應(yīng)付需要處理的數(shù)據(jù)/威脅規(guī)模了。”

那么，工作流究竟是怎樣的呢?

小M的大多數(shù)安全設(shè)備，都已經(jīng)可以基于廠商提供的指示器反饋來響應(yīng)/封鎖/報警威脅了。但是，在社會工程和人際互動會引入風(fēng)險的地方，小M的團隊會將這些信息與員工們共享。

比如說，向HR發(fā)出簡歷相關(guān)的攻擊行動警報。但人工篩查只在必要的時候進行，因為他們覺得，當(dāng)我們已經(jīng)向非以安全為中心的團隊提供了太多數(shù)據(jù)時，警報疲憊就相當(dāng)可觀了。

那么，事關(guān)警報，多少數(shù)據(jù)才算太多呢?

“我們現(xiàn)在只尋找特別針對金融公司的威脅了，比如與已知詐騙活動相關(guān)的數(shù)據(jù)、面向金融行業(yè)的DDoS威脅、網(wǎng)絡(luò)釣魚/憑證竊取、高管級鯨釣嘗試、具金融性質(zhì)的特定水坑攻擊……”

政治活動相關(guān)的威脅也要進行監(jiān)測和走勢預(yù)測，以防存在攻擊者重疊。不過，通常，暴力攻擊IP本質(zhì)上很雜亂，小M的公司啟用了他們的防火墻、入侵檢測系統(tǒng)、負(fù)載平衡廠商的黑名單，以及其他啟發(fā)式/流量行為檢測機制來對抗。

“例如，針對政府的水坑攻擊、匿名攻擊等等，對我們的影響就沒有那些可以在較大型金融機構(gòu)遭到攻擊時提前聽說的銀行木馬、偶發(fā)匿名金融攻擊等的大。”

FS-ISAC在價值，在于對社會工程誘餌、詐騙策略，以及特定攻擊“詭計”的描述和建議。這些具體信息能幫助安全團隊準(zhǔn)備對員工的培訓(xùn)，通過內(nèi)部網(wǎng)絡(luò)釣魚演練和一般的安全意識培養(yǎng)都能達到效果。

原始數(shù)據(jù)的相互關(guān)聯(lián)非常有用。只要收到能幫安全團隊理解攻擊模式的情報，他們通常都可以預(yù)測出相關(guān)的攻擊工具變體，通報給事件響應(yīng)團隊和可能會被盯上的員工。攻擊指征(Indicator)是很好用的，但如果團隊理解了攻擊行為或目標(biāo)，而不是只面對一堆靜態(tài)數(shù)據(jù)，它們也就不是那么重要了。

“之前就這么說的，但情報總是太多太雜，公司真正需要的是可行性情報，跟那些24小時前遭到的每條暴力攻擊原始情報數(shù)據(jù)完全不是一碼事，到那時候，我們的設(shè)備早都收到新的黑名單了。”

“每個行業(yè)都有自己特別的需求，大多數(shù)威脅情報提供商給出的是高壓水槍式噴涌的數(shù)據(jù)，需要空間管理和人力審查，得精挑細(xì)選出對公司真正有影響的，以及真正應(yīng)該響應(yīng)的。”

原文地址：http://www.aqniu.com/news-views/14250.html