过去我们所理解的威胁情报就是“威胁数据→SIEM(安全信息与事件管理)→安全保障”,而这个过程中只有少数东西需要分析。Rick Hollan在2012年的一篇博客《我的威胁情报可以完虐你的威胁情报》中就曾提醒我们“这是一条错误的轨道”,他写道:
“只有当你的机构具有自我开发的能力时,才称得上具有真正的威胁情报。”
现阶段,我们可以利用很多已有的威胁情报,并掌握我们如何在内网中更好的利用威胁情报。而这要求我们具备一个对威胁情报的基础了解,以及他们究竟是如何在安全操作环境起作用的。本文旨在帮助对威胁情报感兴趣的人,理解威胁情报和情报分析基础。
威胁情报水平的安全操作:爬取
在决定将威胁情报整合到安全操作之前,公司最好先构建一个以不同方式有效利用威胁情报的框架。
传统中的情报水平即战争中的策略、运作及战术。产生这样对应关系的原因如下:它有助于识别各个层次的决策者;它能识别情报的目的,无论是既定政策、计划中或是检测、组织一次攻击活动;它能够在获得情报后帮助决策者拟定适当的行动。
在所有情报级别中,关键是针对组织进行专门的价值评估。请回答一个问题:“这些信息要如何添加到我们的安全项目中?这些信息对我们做决定有什么帮助?”
战略情报(Strategic intelligence)
战略情报指的是告知董事会与业务部门的情报。这能帮助他们更好地理解他们所面临的趋势,并达成有益发展的策略。战略情报来自更为长期项目的趋势分析,常常采用了例如DBIR和CRS(国会研究服务)的报告形式。战略情报帮助决策者洞悉哪种威胁对业务及公司未来产生最大影响,以及他们应当采取何种措施缓解这些威胁。
运用战略情报的关键是将这些情报融入公司的优先级、数据以及攻击表面中。没有任何商业或年度趋势报告能够告诉你什么是最重要的、某种威胁趋势可能会影响到你。
战略情报和所有其他情报一样,是一个工具,有助于进行未来决策,但无法帮你直接作出决定。
作战情报(Operational Intelligence)
作战情报提供的是针对一个组织特定攻击的相关情报。它源于军事行动的概念——即一系列发生于不同时间或地点的计划、活动,却具有相同的攻击目标。因此它能概括出攻击活动的目标是整个部门,或是黑客针对某个特定机构进行的攻击。
你可以在信息共享和分析中心(ISAC)与组织(ISAO)获取作战情报。
作战情报是面向更为高级的安全人员,而与战略情报不同的是,它需要在短期或者中期内采取必要行动,而非长期。它会在一下情况中发挥作用:
1、 是否增加安全意识培训;
2、 在一次明确的“作战”过程中,如何分配SOC员工;
3、遭遇特殊情况时,是否可以临时拒绝防火墙的请求。
作战情报信息共享是一个非常好的选择。如果你发现一些近期内会影响他人的“东西”,请及时共享出这些信息。它能够帮助其他公司决定是否采取必要行动。
只有当情报获取者有权变更政策或者采取措施应对威胁时,作战情报才真正有用。
战术情报(Tactical Intelligence)
战术情报关注于攻击者的行为意图是“什么”(IoC)以及采取了“怎样”的(战术、技术和程序)检测、阻止攻击行为。攻击者是否倾向于使用特定方法获得初始访问权限,例如社会工程或者漏洞利用?他们是否使用了特定工具或提权手段?你通过哪些IoC发现异常活动?Herman Statman的威胁情报列表为查询战术情报提供了详实的资料。
战术情报主要是面向活跃监测周围环境的安全人员,他们收集来自员工报告的异常活动或社会工程尝试等信息。战术情报也可以用于寻找攻击活动,我们试图从普通用户行为中区分出攻击者。这种情报类型需要更多先进的资源,例如广泛的日志记录、用户行为分析、端点可见性以及训练有素的分析师。由于一些指标可能在第一次出现时没有被员工捕获或警告,因此具备安全意识的员工同样很重要。通常你拥有的员工数量要比攻击感应器多……所以,听从你的员工、训练他们、收集他们提供的信息,分析之后就采取行动吧。
战术情报提供了特定但是易逝的信息,安全人员仍可采取应对行动。
了解威胁情报在不同层面上的运作,有助于公司进行决策,同时帮助公司决定如何处理未来的情报。从你组织内部搜集的情报永远是可执行性最强的情报。
更多资源
The State of Security: Cyber Threat Intelligence
Joint Publication 2-0: Joint Intelligence
扫一扫
1107
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
