??

一、背景

當(dāng)前網(wǎng)絡(luò)空間安全形勢(shì)非常復(fù)雜，入侵手段不斷攀升，比如匿名網(wǎng)絡(luò)(The Onion Router簡(jiǎn)稱(chēng)Tor)、網(wǎng)絡(luò)跳板、僵尸網(wǎng)絡(luò)(Botnet)、惡意URL地址等方式在網(wǎng)絡(luò)攻擊者大量使用，發(fā)現(xiàn)困難、追蹤更難，這些都攻擊手段的出現(xiàn)帶來(lái)了新的挑戰(zhàn)。傳統(tǒng)方法往往只能獲取局部攻擊信息，無(wú)法構(gòu)建出完整的攻擊鏈條，網(wǎng)絡(luò)空間希望有類(lèi)似國(guó)際刑警組織能夠獲取到各地網(wǎng)絡(luò)中的威脅信息，從而為網(wǎng)絡(luò)攻擊檢測(cè)防護(hù)、聯(lián)動(dòng)處置、信息共享提供一個(gè)決策信息平臺(tái)。

近幾年在網(wǎng)絡(luò)安全領(lǐng)域逐步興起的威脅情報(bào)(Threat Intelligence)分析為網(wǎng)絡(luò)態(tài)勢(shì)感知提供了技術(shù)支持。所謂威脅情報(bào)系統(tǒng)就是在網(wǎng)絡(luò)空間里，找出網(wǎng)絡(luò)威脅(各種網(wǎng)絡(luò)攻擊)的直接或間接證據(jù)，這些證據(jù)就隱藏在大量威脅源中，系統(tǒng)會(huì)在海量數(shù)據(jù)中甄別出你感興趣的內(nèi)容，要理解威脅情報(bào)系統(tǒng)所做的工作還必須對(duì)攻擊事件有所了解。

當(dāng)發(fā)生網(wǎng)絡(luò)入侵事件后，網(wǎng)管首先要確定入侵源，實(shí)現(xiàn)這一目的主要通過(guò)日志、流量(異常流量意味著某種攻擊活動(dòng)，如內(nèi)網(wǎng)主機(jī)在與某僵尸網(wǎng)絡(luò)進(jìn)行通訊)。要實(shí)現(xiàn)威脅情報(bào)分析，首先需要它能夠?qū)崿F(xiàn)態(tài)勢(shì)感知，能理解威脅并能夠預(yù)測(cè)即將呈現(xiàn)的狀態(tài)，以實(shí)現(xiàn)決策。

二、攻擊事件分析

網(wǎng)絡(luò)中沒(méi)有單純的攻擊事件，很多網(wǎng)絡(luò)攻擊由一系列事件所組成，通常為有序的或相互依賴(lài)的多個(gè)步驟，通常大家只會(huì)關(guān)注某一個(gè)事件，很難從全局上看問(wèn)題。

下面舉個(gè)入侵事件的例子，黑客利用漏洞(CVE -2014-6324)特權(quán)提升，對(duì)Web服務(wù)器進(jìn)行入侵，獲得Web服務(wù)器的本地訪問(wèn)權(quán)限，由于Web服務(wù)器可連接到NFS服務(wù)器，黑客還修改了文件服務(wù)器中的數(shù)據(jù)，一旦黑客掌握了NFS服務(wù)器的控制權(quán)，便可以文件服務(wù)器上安裝木馬，待安裝完成，便等待一名內(nèi)部用戶(hù)在該工作站上運(yùn)行這個(gè)事先已安插好的木馬，一旦用戶(hù)激活木馬，黑客進(jìn)一步獲得更高級(jí)別的控制權(quán)，企業(yè)內(nèi)部資料就這樣源源不斷的被秘密傳輸?shù)街付ǖ牡攸c(diǎn)，這就是常說(shuō)的APT攻擊，這種攻擊持續(xù)很長(zhǎng)時(shí)間，能穿越了各種廠家的設(shè)備，不易被發(fā)現(xiàn)。

大家平時(shí)工作中遇到類(lèi)似這樣的入侵問(wèn)題，大多都是猜測(cè)，對(duì)這種潛在攻擊活動(dòng)的感知能力十分有限(因?yàn)榇蠹叶紱](méi)有在網(wǎng)絡(luò)中間部署分布式的IDS傳感器)，這時(shí)利用IDS系統(tǒng)能提前對(duì)這種異常行為在故障發(fā)生前，發(fā)出預(yù)警信息，這也是威脅情報(bào)源的一種類(lèi)型。

三、安全威脅情報(bào)

安全威脅情報(bào)(Security Threat Intelligence)，它是網(wǎng)絡(luò)安全機(jī)構(gòu)為了共同應(yīng)對(duì)APT(Advanced Persistent Threat高級(jí)持續(xù)性威脅)攻擊，而逐漸興起的一項(xiàng)熱門(mén)技術(shù)，它實(shí)際上是我們從安全服務(wù)廠商、防病毒廠商、和安全組織得到安全預(yù)警通告、漏洞通告、威脅通告等。這些信息用于對(duì)網(wǎng)絡(luò)攻擊進(jìn)行追根溯源，這些信息由安全廠商所提供，數(shù)據(jù)來(lái)源則是通過(guò)收集大量基礎(chǔ)信息、監(jiān)測(cè)互聯(lián)網(wǎng)流量，或?qū)⒖蛻?hù)的網(wǎng)絡(luò)也納入檢測(cè)的范圍，以獲得該客戶(hù)的特定安全情報(bào)信息。然后利用蜜網(wǎng)、沙箱、DPI等技術(shù)進(jìn)行數(shù)據(jù)分析加工，最終形成報(bào)告。這些數(shù)據(jù)深度加工任務(wù)只有專(zhuān)業(yè)安全廠商才能做到，對(duì)于傳統(tǒng)企業(yè)來(lái)講，無(wú)法達(dá)到專(zhuān)業(yè)廠家的實(shí)力，主要還是收集內(nèi)部網(wǎng)絡(luò)的威脅信息源，訂閱各種安全威脅情報(bào)信息和漏洞信息，但匯總、分析這些信息的工作就落到安全人員身上，執(zhí)行的效果完全取決于專(zhuān)業(yè)能力。

四、技術(shù)框架

威脅情報(bào)系統(tǒng)的技術(shù)框架如圖1所示，從圖中可看出它包含了內(nèi)部威脅和外部威脅兩個(gè)方面的共享和利用。

??

圖1 威脅情報(bào)系統(tǒng)總體框架

外部威脅情報(bào)主要來(lái)自互聯(lián)網(wǎng)已公開(kāi)的情報(bào)源，及各種訂閱的安全信息，漏洞信息、合作交換情報(bào)信息、購(gòu)買(mǎi)的商業(yè)公司的情報(bào)信息。公開(kāi)的信息包含了安全態(tài)勢(shì)信息、安全事件信息、各種網(wǎng)絡(luò)安全預(yù)警信息、網(wǎng)絡(luò)監(jiān)控?cái)?shù)據(jù)分析結(jié)果、IP地址信譽(yù)等。在威脅情報(bào)系統(tǒng)中能夠提供潛在的惡意IP地址庫(kù)，包括惡意主機(jī)、垃圾郵件發(fā)送源頭與其他威脅，還可以將事件與網(wǎng)絡(luò)數(shù)據(jù)與系統(tǒng)漏洞關(guān)聯(lián)，全球IP信譽(yù)顯示如圖2所示。

在圖1中顯示的合作交換的信息主要來(lái)自安全廠商的固定客戶(hù)，比如AlienVault公司的OSSIM USM可將客戶(hù)上報(bào)的威脅匯聚為一個(gè)威脅數(shù)據(jù)庫(kù)在云端共享，其他客戶(hù)可以共享這些情報(bào)，好處是，只要有一個(gè)客戶(hù)在內(nèi)網(wǎng)中發(fā)現(xiàn)了某種威脅，并上報(bào)便可通過(guò)網(wǎng)絡(luò)立即跟其他客戶(hù)分享。

只要在系統(tǒng)中發(fā)現(xiàn)可疑IP，立即通過(guò)威脅系統(tǒng)里的IP信譽(yù)數(shù)據(jù)庫(kù)能夠發(fā)現(xiàn)到該惡意IP的信息，詳情如圖3所示。

??

圖3 通過(guò)IP信譽(yù)查詢(xún)的惡意IP的情報(bào)信息

內(nèi)部威脅情報(bào)是相對(duì)容易獲取的，因?yàn)榇罅康墓魜?lái)自網(wǎng)絡(luò)內(nèi)部，內(nèi)部威脅情報(bào)源主要是指網(wǎng)絡(luò)基礎(chǔ)設(shè)施自身的安全檢測(cè)防護(hù)系統(tǒng)所形成的威脅數(shù)據(jù)信息，有來(lái)自基礎(chǔ)安全檢測(cè)系統(tǒng)的也有來(lái)自SIEM系統(tǒng)的數(shù)據(jù)。企業(yè)內(nèi)部運(yùn)維人員主要通過(guò)收集資產(chǎn)信息、流量和異常流量信息、漏洞掃描信息、HIDS/NIDS信息、日志分析信息以及各種合規(guī)報(bào)表統(tǒng)計(jì)信息。

五、威脅情報(bào)系統(tǒng)的選擇

與其他IT系統(tǒng)發(fā)展相比，網(wǎng)絡(luò)威脅情報(bào)系統(tǒng)發(fā)展還處于初級(jí)階段，但這個(gè)領(lǐng)域的主導(dǎo)廠商以國(guó)外的為主，包括FireEye、Cyveilance、IBM X-Force Exchange、LogRhythm、VeriSign、AlienVault;國(guó)內(nèi)的360威脅情報(bào)中心和微步在線Threatbook從2015年剛起步，離一個(gè)完整、成熟的威脅情報(bào)平臺(tái)還有一段路要走。如果您是正在關(guān)注威脅情報(bào)的企業(yè)，不要盲目加入威脅情報(bào)的行列，不要被銷(xiāo)售人員夸夸其談所吸引，還是要理性的看待問(wèn)題。我認(rèn)為前期首先利用開(kāi)源軟件來(lái)實(shí)現(xiàn)情報(bào)威脅系統(tǒng)，而這種功能的開(kāi)源工具非OSSIM莫屬，該系統(tǒng)中OTX所提供的功能可滿(mǎn)足威脅情報(bào)系統(tǒng)的要求。OSSIM具體部署與使用大家可參考《開(kāi)源安全運(yùn)維平臺(tái)-OSSIM最佳實(shí)踐》一書(shū)。

六、威脅情報(bào)利用

說(shuō)道威脅情報(bào)所發(fā)揮的作用，再接著看看APT攻擊事件威脅情報(bào)利用。通常，APT攻擊事件很可能持續(xù)很長(zhǎng)時(shí)間，它在OSSIM系統(tǒng)中反映出來(lái)的是一組可觀測(cè)到的事件序列，這些攻擊事件顯示出了多臺(tái)攻擊主機(jī)的協(xié)同活動(dòng)，如圖4所示，顯示出在攻擊檢測(cè)中的價(jià)值。

??

圖4 一組網(wǎng)絡(luò)攻擊圖

與刑事犯罪取證類(lèi)似，網(wǎng)絡(luò)安全分析人員需要綜合各種不同的證據(jù)，以查清互聯(lián)網(wǎng)全球性攻擊現(xiàn)象的根本原因。這種工作，往往很枯燥，非常需要耐心，在網(wǎng)上很難根據(jù)關(guān)鍵詞來(lái)獲取答案，主要依靠分析師的專(zhuān)業(yè)技能，它涉及攻擊事件的若干不同維度的特征。

對(duì)上述攻擊，顯示了9條關(guān)聯(lián)出來(lái)的安全事件，如圖5所示。

??

圖5 關(guān)聯(lián)出的事件

攻擊圖和告警關(guān)聯(lián)工具可以結(jié)合在一起進(jìn)行評(píng)估，告警關(guān)聯(lián)關(guān)系工具可以把特殊的、多步攻擊的零散報(bào)警，合理的組合在一起，以便把攻擊者的策略和意圖清晰的告訴安全分析人員。除了以上例舉實(shí)例之外還有包括安全分析和事件響應(yīng)，這里就不一一舉例。

七 總結(jié)

本文主要通過(guò)實(shí)例例舉介紹了個(gè)人對(duì)威脅情報(bào)系統(tǒng)的理解、威脅情報(bào)的分類(lèi)及使用場(chǎng)景、選擇適合的威脅情報(bào)系統(tǒng)等方面的問(wèn)題，當(dāng)然威脅情報(bào)應(yīng)用的例子還遠(yuǎn)不止這些，這里只是例舉了一些典型的例子，希望引起更多人的興趣。如果您是正在關(guān)注威脅情報(bào)的企業(yè)，不要盲目加入威脅情報(bào)的行列，不要被銷(xiāo)售人員夸夸其談所吸引，從企業(yè)自身網(wǎng)絡(luò)安全需求出發(fā)，理性的看待問(wèn)題。