壹-什么是安全情报
什么是安全情报,这里我分类介绍一下。一般而言,安全情报可以分为一下四类:
(1)资产情报,从边界上讲属于内部情报,主要用来确定己方信息资产,用于风险评估阶段。
(2)漏洞情报,各种软硬件系统已知或未知的漏洞或脆弱性,用于风险评估和漏洞管理阶段。
(3)威胁情报,对攻击源的多维度画像,描述其攻击基础设施、技术风格、惯用手法等标识。
(4)事件情报,对于已经发生的安全事件的报道或者咨询,有助于面临相同风险者提前应对。
#注明:
资产情报、漏洞情报和事件情报都好理解,对于威胁情报其实应该是对于威胁源的一种全方位的画像技术类似与公安局追捕通缉犯时候的人像。
贰-了解攻击链
一般攻击链条要经过一下几个阶段,所以威胁情报要重点勾画这几个阶段的标志。
(1)侦查阶段:收集攻击源的扫描IP、扫描MAC、扫描工具(技术手段)特征等标识。
(2)武器研制:收集攻击源的恶意程序、代码的散列值、以及技术特征。
(3)交付阶段:收集攻击源的账户信息、电子邮箱地址等信息货币资本往来标识。
(4)攻击阶段:收集攻击源攻击时使用的IP、MAC、DOMAIN、URL、HASH、漏洞等标识。
#攻击阶段可分为:初步攻击(钓鱼或者水坑挂马)->恶意程序下载安装->远控->扩展性渗透。
#对于追踪溯源和分析对抗而言,收集whois信息,域名注册备案信息(国内),ipwhois,pdns也很重要。
叁-结合情报的风险评估
安全风险评估三要素:威胁(这里结合威胁情报),资产(这里结合资产情报),脆弱性(者理结合漏洞情报)。
其实资产情报就是对所有公网资产和内网资产进行全盘扫描,发现被遗忘闲置资产(这些资产可能老旧脆弱,无人维护,风险极高)。一个简单的公网资产发现的思路是,结合现有的IP、域名、URL列表。通过子域名字符串爆破,PDNS信息收集解析来发现子域名,进行DNS查询来获取CNAME、A、NS、MX等记录。利用前面的发现整合域名、IP,并对所有发现的域名、IP进行扫描,收集系统相关信息。内网资产信息可对内网进行扫描。通过以上收集扫描过程,需要收集相关的硬件信息(型号、版本、对应驱动)、OS指纹信息、软件信息(名称、版本)、服务信息、对外开放接口信息、防火墙等配置信息[CCE]。
对于脆弱性,要结合资产匹配漏洞情报[CVE][CPE]结果,结合安全性渗透测试、漏洞扫描所发现的脆弱性,及时升级版本、安装补丁,或者采取相对应的手段措施。
威胁情报可以利用威胁源画像技术收集已知的和可以的威胁源,划分为两类,对于技术特点,要在系统建设、安全开发流程中进行预判性主动防御。对于IOCs,例如C2的IP、域名、URL要进行审计或者阻断。
注明:这里尤其关注一点,品牌信誉也属于资产之一,对于品牌舆情的监控也可能很有必要。
肆-情报来源系统的搭建:
要建立情报系统,首先要考虑情报来源。资产情报和事件情报的来源相对简单,这里不做赘述。考虑漏洞情报有CVE信息、NVD、CNNVD等多家来源以及关注从第三方购买均可以获得,并根据CPE信息由资产情报和漏洞情报向关联,及时告警,快速进行漏洞脆弱性管理。而最重要的就是威胁源情报,除去购买专业外部情报外,如果有实力可以自己构建情报来源收集以及监控系统。
威胁情报收集的几种来源:
(1)开源网站爬取直接标识分类的恶意指示器。
(2)搭建蜜罐蜜网收集攻击数据(IP、HASH、URL、DOMAIN...),并加以分析处理。
(3)收集已有网络、系统日志,对网络、系统行为进行建模处理,整理成对应的情报。
对于收集到的相关信息要持续监控,动态跟踪,以保证数据的及时收集、更新、淘汰,从而使基于情报数据的安全响应更加及时准确。
伍-情报格式、落地、思考
STIX、CyBOX、TAXII、openIOCs,另外yara规则。目前基于情报驱动数据,本质是作为安全响应的规则的机器化,利用安全情报,使得安全响应可以做到事先、主动性的防御。此外事件中可以及时发现及时阻断,减少损失。时间后方便快速恢复业务,追踪攻击调查取证、清除攻击残留。情报的落地应该分为人员使用落地和机器使用落地,人员使用落地要培训安全、运维等相关技术岗位人员运用安全情报分析、追踪、取证、恢复业务的能力。而对于机器使用情报的落地要打通情报与安全设备的联动接口,做到及时传输、及时解析、及时下策略,准确检测和准确响应(告警或阻断)。