|
|
|
联系客服020-83701501

威胁情报-知彼

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约
勾引谍报-知彼

“勾引谍报”(Threat Intelligence/TI)这个词切确地说是本年(2015)才高热起来的。下图来自CERT-UK的1份陈说(0),显示了221;Threat Intelligence221;在Google上搜寻的后果数量,2014年是七6,000个后果。当初,2015年七月18日,这个数字到达658,000,超过下图这些年度数字的总和。

11111

Bruce Schneier说他花了好几年的年光才承受APT(高级持续性勾引)这个风靡词,因为他以为APT强调了某种特定的Internet攻打者的求助特色,这很有价值。“勾引谍报”这个词或许也具备这样的个性,它表明确当前攻防场面田地下的当务之急是:研讨攻打,产生谍报,刷新共享,驱动抗御。

“勾引”本身不是新词,是在侵吞评料中必需思考的1个成份,有明确的定义。《GB/T20九84-200七 信息平安侵吞评估标准》中定义的勾引是:或许导致对零碎或结构侵吞的不渴想事故潜伏起因。

这个规范中,侵吞评估的中心思路是:IT结构的资产存在价值,各类勾引觊觎其价值,计划操纵其脆弱性对其中止攻打亏蚀,这会引发平安事故,是结构面临的侵吞。晓得了侵吞,也就明确了平安须要,从而概略驳回针对性的平徐行骤,抵制勾引,高涨侵吞。

2222222

这是模范的侵吞评估,由于不把握勾引具体的情况,无针对性,所以只能平时而论,描摹勾引时凡是用“或许的”,“潜伏的”这些字眼来修饰,实际上便是不晓得。“勾引谍报”的横空殒命,正是为了使这些“或许”和“潜伏”变得具体和可知,从而领导门径。

假如说评估脆弱性是“良心”的过程,那么勾引谍报则是“知彼”的利器。“良心知彼”,尔后能针对性安顿平徐行骤,抵制攻打,望风披靡。传统的侵吞评估只侧重“良心”的部分,在攻打伎俩相对固定的年代,护卫好自己的流弊底子概略立于不败之地。但如今攻防场面田地已经大不类似,攻打伎俩神速演进,APT大行其道,仅从“良心”动手思考抗御步骤,功效大不如前。侵吞评估陈说当初总给人没太大参考意思的感触,便是这个起因。

假如你是单元的Internet平安负担负责人,刚刚上任时,关于本单元的平安状况会处于Unknown unknowns的形状,即彻底没观点,连自己该理解甚么情况、把握甚么信息都不晓得。尔后,经过对本单元的IT动作中止单方面的脆弱性评估,你会到达Known unknowns的形状,明确了自己的情况,但也明了,有些该把握情况自己还不把握,所以平安状况究竟如何,皮相照样没数。志向的勾引谍报,或是让你到达Known knowns的形状——不但晓得本单元存在甚么简单被攻打的流弊,还晓得攻打者的动机和伎俩,晓得如何安顿抗御步骤,晓得如何检测攻打,攻打会造成何种影响,该如何响应攻打事故等。

3(1)

大潘最近提了个信息平安人材南北向的说法,很成心思,可惜只听过转述从前的喋喋不休,没听亲耳凝听过,所以或许体味的不对。是否是概略这么说——北向人材盖屋子,树栅栏,从树立和抗御的角度思考标题;南向人材挖裂痕,做浸透,从粉碎的角度思考标题。那么关于勾引谍报来说,便是由北边提出须要,南边搜集数据,经适度析失掉信息,依照信息临盆谍报,交给北边独霸,独霸当时,北边给出评估,尔后继续提出新的须要。这是勾引谍报的1个轮回。借北向南向这类有趣的观点宏扬1下,说明1些勾引谍报无关的观点,或许与“南北向”的原意不符。

4(1)

CERT-UK的陈说中将勾引谍报分为两个维度4个象限。条理维度上,低条理的是技能的和战术的,高条理的是业务的和策略的;期限维度上,短期内是技能的和业务的,暂时内是策略的和战术的。这是1种对照细的分类言论,1般只分策略的和战术的两种,其中,战术性的勾引谍报或许最广为承受的勾引谍报观点。

5

战术性的勾引谍报理应是结构化的信息,便于合计机读取和处理,概略神速、以致主动地利用于抗御门径。Gartner的勾引谍报定义也强调可门径(Actionable)。同时作为谍报,还理应构成规范,便于刷新和共享,在财富内实现专业化单干,前进恪守,构成供应链;IT零碎的平安负担负责人作为谍报的消费者,也或是神速从内部渠道失掉相干谍报,感知相干勾引,实现主动抗御。这都必要实现勾引谍报的规范化。

结构化勾引信息评释——STIX是勾引谍报的1种规范名目(1),其中包括的次要信息项有如下几类:

  • 可观测工具:文件名、注册表项、HTTP恳求等结构化勾引信息的底子信息单元
  • 入侵目标IOC;特定的表明确入侵行为的可观测工具,如文件哈希,IP地点,域名,Internet/主机标识,工具等
  • TTPs:攻打者的战术,技能和过程
  • 操极目的;被定位用于攻打的零碎脆弱性
  • 响应门径;旨在高涨影响的平安事故响应
  • 攻打勾当;抱着1定的目的创议的系列攻打
  • 勾引者:独立的黑客,岂论程度凹凸;合计机犯法结构;国度行为;内部职员等

从各种入侵目标到TTPs等信息项,攻打者对其中止更换的价值越大,作为谍报的价值也越高。价值低到高的排序为:文件哈希,IP地点,域名,Internet/主机标识信息(如浏览器User-Agent等),工具,TTPs。依照Mandiant公司着名的APT1陈说产生的STIX名目的勾引谍报XML文件近6万行,形式是结构化动作列出的APT1陈说中的域名、MD5、数字证书、歹意软件文件名等信息(3)。

7(1)

STIX名目由美国国界平安部赞助的Mitre公司提出,同时提出的另有1个刷新机制TAXII,用来刷新STIX名目的谍报。从各方面来看,STIX/TAXII或许是最有前途的勾引谍报规范。

另外另有几个规范(2)。OpenIOC.org由Mandiant(属于FireEye)公司建立,它定义了1个XML名目,概略用来描摹Internet和主机上的歹意勾当,包括文件哈希,进程信息项,注册表项,1组描摹歹意代码行为的目标项,服务名梗概文件名等。这类名目只能用专用工具天生和编辑,而工具只有Windows版本。OpenIOC.org不提供勾引谍报刷新机制,但其名目可嵌入STIX,经过TAXII中止传输刷新。

VERIS和IODEF是两个次要用于描摹事故的规范,前者由电信运营商Verizon拓荒,支持JSON和XML两种名目,不提供传输机制,可映射至STIX名目;后者由RFC50七0工作组拓荒,并提供1种称为RID的机制用来刷新。IODEF名目可未便地转换为IP黑名单,Snort规定规矩等入侵检测零碎的特色署名。

Internet攻防是1场不折不扣的和平。两军对垒之时,你必要理解仇人是谁,哪些兵种,若干好多兵力,怎样安顿,甚么刀兵,由谁指挥,盘算如何,善用何种计谋,文官若干好多,战力如何,善用甚么刀兵,后勤给养如何,火线场面田地如何,军内士气如多么等。Internet攻防中,勾引从来1个1个凡是具体的、真刀真枪的仇人。他们或许是1些脚本小子,或许是某个病毒,或许是无知的内部员工,或许是盯了良久的合计机犯法结构,以致有或许是某个国度行为主导下的力量。它们究竟是谁,会对你的IT零碎做甚么,才能如何,这凡是你必要理解的。

抗御者天然弱势,看不见对手,但要永恒抗御,不晓得对手将在甚么时分,将用甚么伎俩来攻打。对手以逸待劳,只必要1次生效的攻打就能得手。而你只能永恒胆大妄为,自创翼翼。

面临云云艰巨的抗御工作,何故解忧?唯有TI。


(0)www.cpni.gov.uk/Documents/Publications/2015/23-March-2015-MWR_Threat_Intelligence_whitepaper-2015.pdf

(1)http://stixproject.github.io/getting-started/whitepaper/

(2)www.cpni.gov.uk/Documents/Publications/2015/11-jUNE-2015-CONTEXT_CPNI_Threat_Intelligence_FINAL.pdf

(3)http://stixproject.github.io/examples/apt1-stix-1.2.zip

[via@网安志异]

数安新闻+更多

证书相关+更多