互联网的规模是巨大的,其中拥有你能想到的所有最重要的数据,不仅仅局限于搜索人或者公司的相关信息,而可能利用这些数据来预测未来将会发生什么。为了完成“预测”,你需要对数据进行处理,一个专业的威胁情报分析人员的任务就是连接数据点并得出一个有意义的结论。
当然,数据遍地都是,但你可以用它们来完成创举。接下来,让我们讨论一下开源情报在威胁管理中扮演的角色是什么。
开源威胁情报
威胁是什么?威胁可能潜在地损害一个公司的运转和持续发展。威胁有三个核心要素构成:
- 意向:一种渴望达到的目的
- 能力:用来支持意向的资源
- 机会:适时地技术、手段和工具
通常来讲,公司无法辨别威胁。他们经常花费太多钱在攻击发生之后对漏洞的修补和调查问题上,而不打算在攻击出现之前就修复它。
威胁情报,根据 Gartner 的定义:“基于证据的知识,包括内容、机制、指标、影响和可操作的建议,关于现有或新出现的威胁或是资产面临的风险,这种知识可以被用来决定组织对这一威胁或风险的响应。”
威胁情报是一种基于数据的,对组织即将面临的攻击进行预测的行动。然而,开源威胁情报是指对公开可利用的资源进行处理来预测攻击行动或潜在威胁。网络威胁情报将会帮助你更好的设计你的防卫计划,和以下好处:
- 采取积极地措施,而不是只能采取被动地措施;你可以建立计划来打击当前和未来的威胁
- 形成组织安全预警机制,在攻击到达前就已经知晓
- 提供更完善的安全事件响应方案
- 使用网络情报源来得到安全技术的最新进展,以阻止新出现的威胁
- 更好的风险投资和收益分析
我们要寻找什么:
- 恶意 IP 地址
- 域名 / 网站
- 文件哈希(恶意软件分析)
- 受害的产业/国家
开源威胁情报框架
OTX – Open Threat Exchange:AlienVault 开源威胁(OTX) 为全球的威胁研究人员和安全从业人员提供了开放授权。它提供了社区驱动的威胁数据,推动合作研究,并利用从其他源提供的威胁数据自动更新你的安全基础设施。
开源威胁情报给出了可遵循的建议,从攻击中学习、并且在攻击发生之前就修补好漏洞。
下面让我们来比较一下两种情况:
这个过程非常简单,紧盯新出现的威胁,定义规则并加强你的策略,以阻止出现的威胁;这种积极主动的方法也可以保护你的基础结构和声誉。一次攻击不仅破坏了技术的基础结构,并且造成数据损失,还损害了品牌信誉,降低了客户的信任度,也对未来的销售产生了巨大影响。对攻击的响应再好也无法恢复到入侵发生之前,聪明的策略应当是在攻击到达前就修补漏洞、阻止攻击。这还有助于:
- 移除无效指标,减少虚假的积极响应
- 增强精确 SIEM 信息的流动
- 帮助 SOC 工程师根据轻重缓急发布警报
- 帮助管理人员使用相关风险的证据与高层领导交流
- 帮助事件处理团队快速采取补救措施
- 平衡预算分配(上升的威胁需要更多的关注和预算)
- 提升人力资源计划和任务管理
威胁指标
威胁指标是一个实体,该指标表示遭到某种攻击或威胁的可能性。最常见的类型是文件哈希/签名,域名和 IP 地址的声誉度,这些都能与攻击进行关联。
哈希文件是对蠕虫、木马、键盘记录程序和其他类型的恶意程序的唯一标识,MD5 或 SHA-1 可以生成一个独特的指纹,可以利用这串独有的字符串来标定恶意软件。同样的,网站、IP 地址、甚至是传播恶意软件独特的 URL,都会通过受感染的用户把风险带入整个网络。跟踪恶意网站,完善黑名单的 IP 列表,使用哈希字符串来识别恶意软件,阻止它们入侵你的技术基础设施。与风险相关的恶意网站/ IP 地址:
- 垃圾邮件和网络钓鱼
- 恶意软件和间谍程序
- 匿名代理和 P2P 网络
- 暗网 IP 地址(使用 TOR)
- 管理僵尸网络的 C&C 服务器
使用公开或私有源来收集信息,分析数据来阻止攻击。
Threatcrowd, 一个允许用户搜索和调查与 IP 、网站或者组织相关的威胁。它也提供 API 和 ThreatCrowd API ,你可以搜索以下:
- 域名
- IP 地址
- 电子邮件
- 文件哈希
- 反病毒检测
它从 Virustotal
和 malwr.com
获取信息,它还提供使用 Maltego
来转换分析相关联的数据。
它显示了关于 MD5 哈希值的分析,这些信息揭示了其来源 IP、域名和其他与哈希相关的信息。这些签名所代表的恶意文件,不应该在你的环境中出现。
在 ThreatCrowd 的网站上,你可以看到木马的详细信息。
使用 malwr.com
进行如下分析:
- 静态分析
- 行为分析
- 网络分析
- 屏幕快照
- 域名和IP
- 注册表
- 更多
越来越多的网络钓鱼已经威胁了这个世界的网络安全,培训和提高安全意识并不是唯一的解决方案。你可以使用活动地情报来阻止网络钓鱼,以下是跟踪和发布网络钓鱼的页面:
- openphish.com
- phishtank.com
不要让你的员工或用户被这样的假页面所蒙骗:
Openphish 标识 0day 钓鱼页面,并且提供全面的、可操作的、实时的威胁情报。
所有讨论和重要的数据都免费、公开提供给任何人,我们需要努力收集和分析这些数据。使用 Maltego
转换、打开威胁交换程序,你可以很轻松的访问这些数据。在它们变成威胁情报管理的重要问题之前,分享这些程序以改进它们也是非常重要的。