ThreatConnect是威脅情報(bào)代表性企業(yè)之一，著名的鉆石模型理論提出者。ThreatConnect近期發(fā)布了一份報(bào)告，講述企業(yè)如何通過威脅情報(bào)平臺(tái)來增強(qiáng)SIEM/SOC的安全能力，以便更全面的理解威脅、消除誤報(bào)，形成主動(dòng)、智能的防御體系。小編帶您一起具體了解下這份報(bào)告的內(nèi)容。

1. 從SIEM的本質(zhì)出發(fā)，它是用來做什么的?有哪些局限?

安全信息與事件管理系統(tǒng)(SIEM)在國(guó)內(nèi)我們通常更傾向于稱之為安全運(yùn)營(yíng)中心(以下簡(jiǎn)稱SOC)，主要用于發(fā)現(xiàn)整個(gè)企業(yè)中的趨勢(shì)和態(tài)勢(shì)，從多種事件和具有上下文信息的數(shù)據(jù)源中收集和分析安全事件， SIEM支持威脅檢測(cè)和安全事件響應(yīng)——即：一個(gè)界面可以連接所有數(shù)據(jù)。大多數(shù)企業(yè)使用SIEM來收集日志數(shù)據(jù)，并將安全事件與多個(gè)系統(tǒng)(入侵檢測(cè)設(shè)備，防火墻等)內(nèi)部安全日志和事件數(shù)據(jù)相關(guān)聯(lián)。它是有效關(guān)聯(lián)內(nèi)部數(shù)據(jù)和提取的威脅數(shù)據(jù)信息流的起點(diǎn)，還可以自動(dòng)報(bào)警并進(jìn)行阻斷。然而，隨著攻擊者的不斷“創(chuàng)新”，企業(yè)需要越來越多的了解威脅的本質(zhì)、意圖、技術(shù)和造成損害的能力，SIEM的局限性開始顯現(xiàn)。隨著SIEM投產(chǎn)與運(yùn)營(yíng)。不斷增加的噪音和系統(tǒng)復(fù)雜性中的“傳感器疲勞”會(huì)逐步壓垮SIEM和它的安全技術(shù)團(tuán)隊(duì)。企業(yè)安全團(tuán)隊(duì)正在努力從已部署的SIEM中發(fā)現(xiàn)真正價(jià)值，原因如下：

[[188625]]

• 太多原始“噪音”：SIEM的一個(gè)重大困難在于其中輸入的數(shù)據(jù)需要大量的過濾。如果過量的威脅元數(shù)據(jù)進(jìn)入SIEM，可能會(huì)產(chǎn)生大量的誤報(bào)，降低SIEM性能，也會(huì)強(qiáng)烈干擾監(jiān)控和事件響應(yīng)團(tuán)隊(duì)。此外，當(dāng)無效的原始威脅信息流開始并入到SIEM中，它就無法分別情報(bào)的好壞。如果您的SIEM都無分辨，您又如何做到?

• 知己欠缺知彼： 雖然SIEM可以關(guān)聯(lián)事件，或分析可疑或惡意活動(dòng)，精確定位威脅。但是它缺乏專注于對(duì)手的意圖或基于過去觀察到的行為顯示入侵者下一步可能做什么的能力。

• 只對(duì)已知威脅有反應(yīng)：由于SIEM通常只能識(shí)別和標(biāo)記已知威脅，而當(dāng)您試圖在惡意行為之前提前采取行動(dòng)時(shí)，這將成為問題。如果一個(gè)持續(xù)的攻擊者使用新的技術(shù)或工具來抵御企業(yè)的檢測(cè)，SIEM本身無法檢測(cè)到它，因?yàn)樗鼘?duì)這種新方法并不熟悉。

2. 將威脅情報(bào)集合到SIEM中的好處

• 許多機(jī)構(gòu)認(rèn)為， SIEM和態(tài)勢(shì)感知系統(tǒng)是解決安全分析困境的靈丹妙藥，實(shí)際上它們只是一個(gè)起點(diǎn)。因?yàn)閭鹘y(tǒng)SIEM不是設(shè)計(jì)用來處理非結(jié)構(gòu)化、具備多種格式的威脅情報(bào)，并且這些情報(bào)是分析所必需的，來自于不同來源。如果輸入太多未經(jīng)驗(yàn)證的數(shù)據(jù)，這些數(shù)據(jù)將會(huì)在實(shí)質(zhì)上以垃圾信息的方式來阻礙企業(yè)的安全動(dòng)脈，會(huì)快速導(dǎo)致SIEM消化不良并拖垮稀缺的安全分析資源。所以希望將一大堆未經(jīng)審查的威脅數(shù)據(jù)輸入SIEM，來實(shí)現(xiàn)一個(gè)所謂的威脅情報(bào)解決方案的，一定請(qǐng)三思。

• 威脅情報(bào)為安全團(tuán)隊(duì)提供了“及時(shí)識(shí)別和應(yīng)對(duì)攻陷指標(biāo)的能力“。雖然有關(guān)攻擊的信息比比皆是，威脅情報(bào)在過程中識(shí)別攻擊行為的實(shí)質(zhì)是將這些信息與攻擊方法和攻擊進(jìn)程的上下文知識(shí)緊密結(jié)合。

• 將SIEM與威脅情報(bào)匹配。企業(yè)將以敏捷和快速反應(yīng)的方式應(yīng)對(duì)不斷發(fā)展的、大批量、高優(yōu)先級(jí)的威脅。如果不進(jìn)行匹配，企業(yè)則是在盲目地努力并且還要面對(duì)混亂報(bào)警的局面。

• 在SIEM中觀察威脅會(huì)過度關(guān)注內(nèi)部細(xì)節(jié)。所有形式的威脅數(shù)據(jù)，不論是結(jié)構(gòu)化還是非結(jié)構(gòu)化的，都需要從更“全球化”的角度進(jìn)行綜合分析和研究。當(dāng)使用篩選后的高質(zhì)量威脅情報(bào)來預(yù)警時(shí)，你才能開始形成對(duì)于威脅的態(tài)勢(shì)感知能力(它們可以對(duì)你做什么以及它們?nèi)绾巫?，黑客基礎(chǔ)設(shè)施和武器(它們從哪來)，動(dòng)機(jī)(為什么它們這么做)以及它們的目的和資源的全面的了解。

3. 用威脅情報(bào)來構(gòu)建SIEM的主要部分，將SIEM與威脅情報(bào)平臺(tái)綁定聯(lián)動(dòng)。

威脅情報(bào)平臺(tái)可以幫助企業(yè)完成經(jīng)常超過企業(yè)自身能力的、需要耗費(fèi)大量勞動(dòng)力的對(duì)于威脅情報(bào)的威脅分析。威脅情報(bào)平臺(tái)是一個(gè)動(dòng)態(tài)系統(tǒng)，從許多不同的來源自動(dòng)采集威脅數(shù)據(jù)，然后將該數(shù)據(jù)相互關(guān)聯(lián)，將其豐富，并將其無縫與基礎(chǔ)安全設(shè)施聯(lián)動(dòng)。

通過威脅情報(bào)平臺(tái)，企業(yè)可以匯總和合理化威脅數(shù)據(jù)自動(dòng)篩選出攻陷指標(biāo)(IOC)作為可機(jī)讀威脅情報(bào)(MRTI)，并且使用現(xiàn)存的日志對(duì)比匹配以便輕松發(fā)現(xiàn)不常見的趨勢(shì)或線索，并對(duì)其有效執(zhí)行操作。通過將團(tuán)隊(duì)、流程和工具結(jié)合在一起，威脅情報(bào)平臺(tái)為安全團(tuán)隊(duì)提供了對(duì)于威脅來自哪里前所未有的視野，并可以從頭到尾跟蹤整個(gè)事件，通過報(bào)告，可指導(dǎo)安全響應(yīng)并進(jìn)行阻斷。節(jié)省了追蹤傳統(tǒng)SIEM產(chǎn)生的誤報(bào)所花的大量時(shí)間。

在威脅情報(bào)平臺(tái)聚合的威脅情報(bào)和SIEM可讓您對(duì)威脅進(jìn)行有效的控制、驗(yàn)證、度量威脅情報(bào)的價(jià)值，并在SIEM中成熟地使用它來進(jìn)行警報(bào)和阻斷。通過威脅情報(bào)平臺(tái)，可以確信您的數(shù)據(jù)是與威脅相關(guān)的并已經(jīng)進(jìn)行優(yōu)先性排序的，以便您在SIEM中更正確地處置。

4. SIEM+威脅情報(bào)平臺(tái)：如何充分利用您的威脅情報(bào)?

• 如果正確實(shí)施的話，威脅情報(bào)可以增強(qiáng)檢測(cè)和響應(yīng)能力，節(jié)省時(shí)間，并幫助您做出更好的戰(zhàn)略安全決策。但要充分利用威脅情報(bào)，威脅情報(bào)平臺(tái)提供的一些最佳實(shí)踐和工作流程能夠幫助統(tǒng)一人員、流程和技術(shù)。

• 日志，事件和數(shù)據(jù)的進(jìn)一步分析：基于兩個(gè)系統(tǒng)之間的雙向數(shù)據(jù)流，來自威脅情報(bào)平臺(tái)的攻陷指標(biāo)將自動(dòng)發(fā)送到SIEM中進(jìn)行警報(bào)，并將來自SIEM的特定事件發(fā)送回威脅情報(bào)平臺(tái)來進(jìn)行關(guān)聯(lián)分析、數(shù)據(jù)挖掘和優(yōu)先性排序。在威脅情報(bào)平臺(tái)通過確定哪些來源或工具被識(shí)別出的惡意行為，可在網(wǎng)絡(luò)中進(jìn)行定位，分析人員可以鎖定惡意行為的所在位置。

• 建立企業(yè)自身威脅知識(shí)庫：綜合性威脅情報(bào)平臺(tái)可以作為企業(yè)的中央威脅信息庫。幫助企業(yè)了解網(wǎng)絡(luò)犯罪分子的工具、流程、受害者和預(yù)期目標(biāo)?？梢暂p松地將來自過去的攻擊者活動(dòng)的信息與當(dāng)前的信息進(jìn)行關(guān)聯(lián)，并從過去的攻擊中學(xué)習(xí)，主動(dòng)阻止攻擊者當(dāng)前和未來可能的攻擊。

• 優(yōu)化企業(yè)安全投資：利用內(nèi)置的工作流程，威脅情報(bào)平臺(tái)也可以將更智能的做法轉(zhuǎn)移到SIEM及其他入侵檢測(cè)安全工具中。

• 根據(jù)企業(yè)網(wǎng)絡(luò)環(huán)境生成和優(yōu)化情報(bào)：威脅情報(bào)平臺(tái)沒有像SIEM那樣關(guān)注一系列事件找出矛盾的地方，而是增加了上下文信息和關(guān)系豐富的指標(biāo)，從而使企業(yè)能夠更好地了解威脅的性質(zhì)、對(duì)企業(yè)的風(fēng)險(xiǎn)，更有效地做出全面的反應(yīng)。幫助企業(yè)從戰(zhàn)略上挫敗攻擊者，而不是玩打地鼠的游戲。

• 形成主動(dòng)防御：威脅情報(bào)平臺(tái)允許安全響應(yīng)團(tuán)隊(duì)跨過自己的網(wǎng)絡(luò)尋找線索和聯(lián)系，這可以顯示攻擊企業(yè)的威脅與可能存在的威脅之間的關(guān)系，并發(fā)現(xiàn)新的相關(guān)的情報(bào)。使用這些信息，幫助安全團(tuán)隊(duì)變被動(dòng)防御轉(zhuǎn)為主動(dòng)防御。

[[188626]]

一個(gè)高效的威脅情報(bào)平臺(tái)(Threat Intelligence Platform,TIP)致力于精準(zhǔn)發(fā)現(xiàn)內(nèi)部失陷主機(jī)，幫助安全團(tuán)隊(duì)快速并準(zhǔn)確定位威脅所在，提供威脅相關(guān)的豐富的上下文信息以供分析和響應(yīng)。比如微步在線是基于龐大的威脅分析云，經(jīng)驗(yàn)豐富而專注的分析師團(tuán)隊(duì)，深度學(xué)習(xí)技術(shù)積累，國(guó)內(nèi)外領(lǐng)先的網(wǎng)絡(luò)基礎(chǔ)數(shù)據(jù)和威脅情報(bào)社區(qū)，幫助客戶實(shí)現(xiàn)以下檢測(cè)目標(biāo)：

(1 ) 以結(jié)果驅(qū)動(dòng)的數(shù)據(jù)收集體系。

威脅情報(bào)中心是以實(shí)際的檢測(cè)和分析能力輸出作為驅(qū)動(dòng)，與SIEM最大的差別在于不是數(shù)據(jù)的吸塵器，收集過多的數(shù)據(jù)只會(huì)產(chǎn)生更大的噪聲，并對(duì)影響性能。僅收集必要的多源數(shù)據(jù)，極大降低了投入和運(yùn)維成本，縮短建設(shè)周期，可快速見效，有助于幫助管理層逐步樹立對(duì)大數(shù)據(jù)安全建設(shè)的信息。這也是國(guó)內(nèi)知名威脅情報(bào)公司定位于聚焦威脅，情報(bào)驅(qū)動(dòng)的初衷。

( 2) 能夠快速準(zhǔn)確的檢測(cè)威脅，發(fā)現(xiàn)被控主機(jī)。

要基于海量數(shù)據(jù)和強(qiáng)大分析師團(tuán)隊(duì)提取遍布全球的惡意域名、IP等攻擊基礎(chǔ)設(shè)施在網(wǎng)絡(luò)流量中準(zhǔn)確發(fā)現(xiàn)失陷主機(jī)與被控端的連接。此外應(yīng)用深度學(xué)習(xí)方法的DGA算法，發(fā)現(xiàn)對(duì)惡意動(dòng)態(tài)生成域名的訪問。TIP還在通過在主機(jī)端指定目錄和進(jìn)程中進(jìn)行惡意軟件和木馬的發(fā)現(xiàn)，進(jìn)一步幫助定位失陷主機(jī)。

(3 ) 結(jié)合威脅情報(bào)數(shù)據(jù)和海量基礎(chǔ)數(shù)據(jù)提升客戶對(duì)威脅事件的分析能力。

有效的將企業(yè)安全分析所需的海量網(wǎng)絡(luò)基礎(chǔ)數(shù)據(jù)、黑客組織畫像等基礎(chǔ)能力植入本地TIP平臺(tái)，幫助客戶形成一整套用于威脅分析的能力體系。

( 4) 在實(shí)際應(yīng)用當(dāng)中，一個(gè)高效的威脅情報(bào)中心還應(yīng)具備的實(shí)戰(zhàn)應(yīng)用特性，如微步在線TIP：

• 基于出站流量檢測(cè)，實(shí)現(xiàn)更全面的失陷主機(jī)發(fā)現(xiàn)。
• 具備主機(jī)Webshell和流行黑客工具檢測(cè)功能。
• 具備主機(jī)惡意文件云端沙箱與多引擎分析，這是對(duì)未知威脅的有效檢測(cè)機(jī)制。
• 可實(shí)現(xiàn)內(nèi)部溯源分析：最大范圍地發(fā)現(xiàn)內(nèi)部被攻擊的節(jié)點(diǎn)，幫助企業(yè)更快響應(yīng)和處理。
• 可對(duì)安全事件進(jìn)行關(guān)聯(lián)分析。
• 能夠與企業(yè)安全現(xiàn)有方案有效結(jié)合。
• 具備企業(yè)整體安全狀態(tài)可視化能力滿足企業(yè)態(tài)勢(shì)感知需求。
• 部署靈活簡(jiǎn)單：可安裝在虛擬機(jī)或者硬件設(shè)備上，對(duì)機(jī)器配置要求低，部署簡(jiǎn)單且維護(hù)成本低。

5. 結(jié)論：SIEM是非常重要的安全系統(tǒng)，但是它需要幫助才能發(fā)揮最大的潛能。

很簡(jiǎn)單：在配備威脅情報(bào)平臺(tái)的情況下， SIEM才能發(fā)揮最大效能。威脅情報(bào)平臺(tái)是分析人員理想的工作地點(diǎn)，通過將數(shù)據(jù)合并在一起，能夠更全面地了解威脅。威脅情報(bào)平臺(tái)幫助分析人員從所有來源獲取數(shù)據(jù)，融合內(nèi)部和外部數(shù)據(jù)，優(yōu)化數(shù)據(jù)以進(jìn)行更快分析。

• 通過將SIEM與威脅情報(bào)平臺(tái)相結(jié)合，企業(yè)可以將所有人、過程和技術(shù)統(tǒng)一在智能驅(qū)動(dòng)的防御背后，獲得強(qiáng)大的效果：
• 識(shí)別重要威脅：匯集企業(yè)內(nèi)部日志，并將其與威脅情報(bào)相結(jié)合，以快速識(shí)別哪些反饋?zhàn)钸m合企業(yè)環(huán)境。
• 更好地了解威脅的本質(zhì)：超越SIEM的能力，為警報(bào)和事件添加情景和關(guān)聯(lián)豐富的上下文，幫助企業(yè)更好地了解風(fēng)險(xiǎn)，做出更有針對(duì)性的反映。
• 豐富企業(yè)內(nèi)部能力：通過共享威脅數(shù)據(jù)，并使用可靠的情報(bào)來源豐富企業(yè)能力。
• 數(shù)據(jù)共享和存儲(chǔ)：將平臺(tái)用作歷史威脅數(shù)據(jù)的知識(shí)庫，幫助應(yīng)對(duì)重新出現(xiàn)或持續(xù)存在的威脅。
• 優(yōu)化工作流程和編排：使用平臺(tái)工作流程，通過與其他安全基礎(chǔ)架構(gòu)的集成來驅(qū)動(dòng)行動(dòng)，將自身的事件數(shù)據(jù)轉(zhuǎn)化為內(nèi)部威脅情報(bào)(這是最有價(jià)值的情報(bào))。并且從一個(gè)中心平臺(tái)來消除碎片化，管理企業(yè)安全基礎(chǔ)架構(gòu)。

參考文獻(xiàn)：SIEM + Threat Intelligence: Quickly Identify the Threats that Matter to You