威胁情报是近两年来被安全界提及较多的词汇之一。有人说威胁情报是解决现有安全问题的良药,有人说威胁情报不是新鲜事儿,上古”就已有之,这种百家争鸣的形势必将对国内网络信息安全的发展带来巨大影响。
2013年5月16日,Gartner给出了威胁情报的定义:“Threat intelligence is evidence-based knowledge,including context, mechanisms, indicators, implications and actionable advice,about an existing or emerging menace or hazard to assets that can be used to inform decisions regarding the subject's response to that menace or hazard.”
即:“威胁情报是基于证据的知识,包括场景、机制、指标、含义和可操作的建议。这些知识是关于现存的、或者是即将出现的针对资产的威胁或危险的,可为主体响应相关威胁或危险提供决策信息。”
1、Evidence:证据,是证明事实的材料,即证据是必须经过查证属实。
2、Context:可翻译为语境、上下文、背景、 环境。在这个定义中见到过翻译成情境、上下文等,这里翻译为场景,指每个情报都有其适用的环境和时机。
3、mechanisms:机制,指情报所涉及威胁所采用的方法和途径。
4、indicators:指标,描述威胁情报的时涉及一些指标。
5、advice:建议,针对威胁的消减或响应处置的建议。
6、an existing or emerging menace orhazard to assets:威胁情报针对的对象是资产。
威胁是一个常被滥用的术语,特别是当一个威胁对某组织存在而对另一个组织“不存在”时。很多组织没有正确理解威胁的含义,没能准确识别威胁,导致在错误方向投入了大量的安全资源,或花费了太长的时间去进行风险和脆弱性分析,而不是将宝贵的时间花费在消减或修复问题上。
威胁是意图、能力和机会三部分的结合。缺乏这三要素,对于个人或组织而言,在那个时间点,那个场景下“威胁”或“危害”不存在。威胁的三要素,即:
意图:指恶意行为者把你的组织定为目标;
能力:指恶意行为者能使用的手段和方法(例如特殊类型的恶意代码等);
机会:指恶意行为者所需的缺口(例如脆弱性、无论它是软件的、硬件的还是人员的);
如果恶意行为者有意图有能力,但组织没有脆弱性,或者说现在没有机会,恶意行为者并不构成威胁。注意,这里讲的是“构成威胁”,而不是"威胁",“构成威胁”等同于风险的概念。
虽然威胁情报的供应商们进行了各种尝试,威胁情报通常不用XML扩展格式来描述,而是以感染指标(Indicators of Compromise,简称为IoCs)或威胁馈送(threat feeds)的形式来表达,因此,威胁情报的有效指标指示或馈送要求组织要先了解自己,然后才是了解对手,即《孙子兵法》中的“知己知彼”。
如果一个组织不了解自己的资产、基础设施、人员和业务运营情况,将无法了解是否给了恶意行为者可乘之机。因此,对自己没有足够的了解的组织,无法识别可能对其感兴趣的恶意行为者,更不能正确识别恶意行为者的意图。
相比于恶意行为的意图,恶意行为者的能力更容易被识别(很多时候我们看到的威胁情报偏重于这部分内容)。很多能力是尽人皆知的,还有一些是经常被有效使用的,例如钓鱼邮件(phishing emails)。有效的威胁情报可以识别新型恶意能力,其中有些主要用于专用目标。尽管恶意行为者使用的大部分方法和手段易于识别,但那些连较基础安全措施都没做好的组织将无法充分利用威胁情报。
威胁情报是对恶意行为者的攻击意图、时机和能力分析后所得到的信息,是情报的一种。情报的生命周期对其适用,即计划、收集、处理、制作和传播相关信息。威胁情报有别于其他情报之处在于着眼于威胁的识别。
与组织的情况匹配与否是判断威胁情报是否对组织有价值的依据,因此,情报的计划阶段变得至关重要,如果收到情报的组织无法知道哪些信息适合于自己,威胁情报毫无价值。如果情报供应商能为组织量身定制,客户化后的威胁情报看起来将是完美的,而没有做过定制的威胁情报对组织而言很可能仅仅是一堆不相干的数据。
制作和消费定制化威胁情报的能力有战略和战术两种应用选择,这将对组织的安全状况产生影响。共享战术级别的威胁情报,不仅能达到战术级目标,而且可有助于运用感染指标构建出战略级的更高层面威胁图示。
威胁情报通常不是战略情报就是战术情报,战略威胁情报通常是较为宽泛,更高级别抽象的数据,用于识别威胁以及研判组织如何减少威胁,决策如何配置安全预算,人员应聚焦在哪些方面。
战术级的威胁情报则广泛的处理所收集的数据,以获取正确的网络信息,通过分析,识别威胁并响应。这类处理通常是在网络安全监控过程实现,威胁情报提供分析出的感染指标(IoCs)用于寻找被入侵的迹象。
感染指标(IoCs)一般表现为以下几种情况:
原子级的信息,如IP地址,邮件地址;
可计算的信息,如恶意文件的数字哈希;
行为指标信息,如恶意行为者的行为概览;
被识别出来的感染指标(IoCs)可以通过STIX/TAXII 和OpenIOC等标准共享,如特定行业通常从信息共享与分析中心(ISACs)获取和共享威胁信息,对于大组织来说,ISACs是为面向特定行业的威胁识别的不错的始点。
随着安全威胁概念被广泛认知,国内相继成立了几家安全威胁情报中心,后续会有更多的安全威胁情报中心涌现,但没有任何一种方式可以覆盖所有的威胁情报。尽管如此,还是有些重要的结论有助于人们和组织在威胁情报这个领域开个好头儿。
不要重复制造轮子:摒弃细节后,你会发现自己所理解的事情可能已经被做出来了,或者和很多人的想法不期而遇。因此,尽可能的收集可用的信息,运用已知的方法按需进行定制,不要重复制造轮子!
工具不能自动生成情报:无论供应商如何宣传,都请坚信数据馈送(data feeds)不能直接给出威胁情报。任何类型的情报都需要分析,而分析这项工作一定要人参与,各种各样自动分析工具的作用是提升分析效率,获取有效结果的分析过程必须有分析师参与。
不“知己”情报无用:在不能识别哪些情报适用于你的组织时,获取多少情报都是无用的。需要从业务处理过程到组织里有哪些资产,网络上提供了哪些服务等方面了解自己的组织。
盈亏平衡点前必须加大基础建设投入:基础安全措施已经消除了针对组织无以计数的威胁。当基础安全措施建完后,像威胁情报这种高级手段更有助于组织对高级对手实施的威胁进行识别、消减和响应处理。基础安全措施不必苛求完美,但肯定存在一个盈亏平衡点,在此之前,必须加大基础建设的投入,否则将无法收回安全上的投资。
较后不得不说:当面对数不清的威胁时,防御是件困难的事。一定要先了解自己,再基于情报信息处理了解对手,尽管这两件事做起来都不容易,但一旦完成就可使防御可为,有可能使让防御者转处于上风。