威脅情報(bào)

介紹對 SOC 檢測能力有影響的 TI 基本組件。

本頁絕不是 TI 的 Codex，而是為您介紹交付 TI 的基本組件，這些組件對 SOC 的檢測能力有影響。英國內(nèi)政部制作了一份有用的指南，更詳細(xì)地探討了 TI 的復(fù)雜性。

威脅情報(bào) (TI) 的作用

威脅情報(bào)是指對攻擊者活動(dòng)的了解。這可以是關(guān)于威脅行為者動(dòng)機(jī)的簡單敘述，也可以是對攻擊者策略、技術(shù)和程序的深入技術(shù)描述。

威脅情報(bào)的價(jià)值取決于您的檢測方法：

• 如果您使用商業(yè)工具來檢測攻擊，則威脅情報(bào)通常由供應(yīng)商進(jìn)行，您可能不需要自己的 TI 功能。
• 如果您要實(shí)現(xiàn)自己的用例和警報(bào)，TI 是嘗試保持領(lǐng)先地位或至少與攻擊者保持同等水平的關(guān)鍵部分。

TI 還提供了在入門時(shí)有用的寶貴見解。

情報(bào)共享

無論采用哪種方法，及時(shí)了解最新的威脅形勢都至關(guān)重要，這就是情報(bào)共享發(fā)揮作用的地方。

NCSC 運(yùn)營一項(xiàng)名為網(wǎng)絡(luò)安全信息共享合作伙伴關(guān)系 (CISP) 的服務(wù)，這是一項(xiàng)行業(yè)和政府聯(lián)合倡議，旨在允許英國組織在安全和保密的環(huán)境中共享網(wǎng)絡(luò)威脅信息。

CISP 適合在組織內(nèi)負(fù)有網(wǎng)絡(luò)安全義務(wù)的專業(yè)人士。這些人必須為英國注冊組織或英國政府工作。

欲了解更多信息，請參閱我們的CISP 頁面。 

TI 格式

在思考 TI 時(shí)，痛苦金字塔很有價(jià)值。它指的是如果您可以檢測到攻擊者的部分攻擊，攻擊者將必須做的額外工作（痛苦）量，突出了 TI 在 SOC 中的重要性。

痛苦金字塔-TI 有多種格式，但您可以將其分為三大類。其實(shí)際使用范圍取決于 SOC 中可用的工具和資源。在理想情況下，SOC 將利用所有類型的 TI。

妥協(xié)指標(biāo) (IoC) - 在最低級(jí)別，開源 TI 源將提供妥協(xié)指標(biāo)。這將包括已知的不良 IP 地址、域、哈希值和字符串等內(nèi)容，所有這些都可以與您的日志進(jìn)行比較。如果匹配則表明系統(tǒng)正在與已知的不良 IoC 進(jìn)行交互。有許多 IoC feed 可以使用并引入到監(jiān)控解決方案中。 

戰(zhàn)術(shù)技術(shù)和程序 (TTP)  - 比 IoC 稍微抽象一些，定性 TI 通常指的是攻擊者 TTP，這對于創(chuàng)建行為分析非常有價(jià)值。例如，與您的組織相關(guān)的某個(gè)威脅參與者一直在利用幾個(gè)特定的系統(tǒng)工具來執(zhí)行權(quán)限升級(jí)。此類信息如果使用正確，可以轉(zhuǎn)化為檢測用例。

情境 - 更抽象的信息可能有助于指導(dǎo)研發(fā)或完善 SOC 策略。這通常包括有關(guān)趨勢和地緣政治局勢的信息。

威脅情報(bào)平臺(tái) (TIP)

小心，這里有龍 和 萬金油！TIP 是 SOC 存儲(chǔ)、關(guān)聯(lián)和管理 TI 的地方。它們配置為從 TI 提供商獲取 TI 源（通常是 IoC），并鏈接到您的 SIEM 工具以實(shí)現(xiàn) IOC 的自動(dòng)檢測。

市場上有多種 TIP，因此找到適合您的工具非常重要。如果無需太多麻煩就需要 TI，那么商業(yè)工具可能非常寶貴，但可能缺乏開源工具帶來的一些自由。（MISP是使用最廣泛的平臺(tái)之一，值得考慮） 

獲得TIP后，需要找到可為SOC提供最大價(jià)值的 TI 源。開源源為您的組織提供一系列情報(bào) (OSINT)。也有一些商業(yè)源可以提供稍微更定制的服務(wù)。

實(shí)施 TIP 的關(guān)鍵部分是：

• 確保不會(huì)陷入低可信度、過時(shí)的 IoC 中 - 請記住，攻擊者很容易更改 IP 地址。請注意，某些威脅源可能不包含“最佳使用日期”，隨著時(shí)間的推移，這可能會(huì)導(dǎo)致 SOC 無意中將合法地址標(biāo)記為惡意地址。
• 不要低估分類定性情報(bào)（白皮書、報(bào)告、新聞文章）的價(jià)值 - 確保分析師有時(shí)間閱讀和消化英特爾報(bào)告將有助于更好地理解和更好的用例。
• 根據(jù)價(jià)值對情報(bào)進(jìn)行評(píng)分 - 如果它不斷產(chǎn)生誤報(bào)，那么也許可以檢查正在使用的來源。
• 確保TI 來源能夠提供價(jià)值。這是一個(gè)競爭非常激烈的市場，因此沒有必要把所有雞蛋放在一個(gè)籃子里。