小議安全威脅情報之分類和使用場景

責(zé)任編輯:editor005

作者:ZenMind

2015-07-07 13:53:51

摘自:FreeBuf

今年以來,威脅情報的概念突然在國內(nèi)火了起來,一時間好像不做些和威脅情報相關(guān)的事情,就會變得過時。一個具體指標(biāo)可以同時屬于不同類型情報,例如CnC地址,可以同時是歸屬指標(biāo)和檢測指標(biāo);而惡意軟件代碼的某些特殊特征也是如此。

今年以來,威脅情報的概念突然在國內(nèi)火了起來,一時間好像不做些和威脅情報相關(guān)的事情,就會變得過時。

小議安全威脅情報之分類和使用場景

筆者有幸也參與了一些相關(guān)的工作,并且對國際上相關(guān)的一些動態(tài)有些了解,就想在這里拋磚引玉,談一談威脅情報的分類和使用場景相關(guān)的話題,國內(nèi)似乎還少有公開文章觸及這方面,希望由此能讓更多的人去關(guān)注威脅情報如何更好的服務(wù)用戶,而不僅僅是如何建立一套威脅情報的系統(tǒng)。

威脅情報的概念

談威脅情報之前想先說說情報(intelligence)的概念,情報一詞英文的原意是“瞭解的能力”(the Faculty of Understanding),從傳統(tǒng)情報機(jī)構(gòu)的立場上,情報的本質(zhì)則是“減少沖突的不確定性”,一個典型的情報周期可以分為以下六個步驟:

需求

計劃

搜集

處理

分析

分發(fā)

對情報的重視古已有之,《孫子兵法》中所說“知己知彼,百戰(zhàn)不殆”講的就是情報的重要性。

在網(wǎng)絡(luò)空間的戰(zhàn)斗中,情報同樣有著至關(guān)重要的地位:

知己:更豐富的組織環(huán)境數(shù)據(jù),也就是這幾年經(jīng)常提到的環(huán)境感知能力。通過“知己”,我們可以快速的排查誤報,進(jìn)行異常檢測,支撐事件響應(yīng)活動,在這里不再多言。

知彼:關(guān)于攻擊對手自身、使用工具及相關(guān)技術(shù)的信息,即威脅情報,可以應(yīng)用這些數(shù)據(jù)來發(fā)現(xiàn)惡意活動,以至定位到具體的組織或個人。

作為一種攻防間的對抗活動,威脅情報工作其實(shí)從開始的時候就存在了:回想一下IPS或者AV的簽名,其中很大一部分不就是針對攻擊者使用的攻擊工具的嗎,IP及域名的信譽(yù)庫也是同樣。

需要看到,從APT1報告提供OpenIOC格式的威脅情報數(shù)據(jù)開始,威脅情報已經(jīng)和傳統(tǒng)安全的簽名和信譽(yù)數(shù)據(jù)有了很大的不同。我們后續(xù)可以在分類和使用場景部分清楚的看到這點(diǎn)。

威脅情報,是面向新的威脅形式,防御思路從過去的基于漏洞為中心的方法,進(jìn)化成基于威脅為中心的方法的必然結(jié)果,它和大數(shù)據(jù)安全分析、基于攻擊鏈的縱深防御等思想正在形成新一代的防御體系的基石,這部分打算在未來關(guān)于大數(shù)據(jù)安全分析的文章里在展開陳述。

威脅情報的種類

首先解釋一個詞:指標(biāo)(Indicator)。指標(biāo)是一條信息,指向一個確定性的結(jié)論,它是威脅情報里的核心組成,完善的威脅情報還可能含有其它參數(shù),如:背景信息、上下文信息、時效性、升級時間、信譽(yù)度,等等。

通過威脅情報的指標(biāo)可以用兩種方法對其進(jìn)行分類:所產(chǎn)生的作用以及指標(biāo)的數(shù)據(jù)類型,對威脅情報進(jìn)行分類,對分類的討論可以讓大家對威脅情報有更具體、形象的理解。

一、基于用途的分類

基于用途,可以把威脅情報分為4類,分別是:

1、歸屬指標(biāo):它可以區(qū)分特定的行為或者證據(jù),指向特定的攻擊者,主要回答問題“誰”(如:誰寫的惡意軟件,誰發(fā)起的攻擊)。這無疑一個非常困難的問題,指標(biāo)給出的回答也許模糊不清,但這是情報分析中不可或缺的一環(huán)。一般來說,這類情報的收集和分析能力不是大多數(shù)私營公司可以建立的,它涉及到大量有關(guān)組織的戰(zhàn)略、戰(zhàn)役及戰(zhàn)術(shù)相關(guān)情報數(shù)據(jù),也包括其它傳統(tǒng)來源的情報數(shù)據(jù),最后即使有這樣的能力也往往在行為上受到法律的限制。

2、檢測指標(biāo):它指向在主機(jī)或者網(wǎng)絡(luò)上可以觀察到的事件,如果命中,就意味者一個安全事件。它嘗試回答的問題是“what”(如:網(wǎng)絡(luò)中某個木馬聯(lián)系了CnC服務(wù)器;這個Web會話中包含了注入攻擊等)。這個類型的威脅情報形成了市場上可以看到的威脅情報產(chǎn)品的絕大多數(shù),在討論基于數(shù)據(jù)類型分類時也是側(cè)重考慮的這點(diǎn)。

3、指向指標(biāo):幫助預(yù)測那些用戶、設(shè)施或者項(xiàng)目,可能成為定向攻擊的目標(biāo)。這個類型雖然非常有價值,但是它和特定的行業(yè)或者組織關(guān)聯(lián)更緊密,因此現(xiàn)在還很少看到提供此方面內(nèi)容的威脅情報廠商。

4、預(yù)測指標(biāo):通過行為模式來預(yù)測其它事件的發(fā)生(如:發(fā)現(xiàn)某PC下載了一個后門程序也許就可以預(yù)測之前這臺設(shè)備發(fā)生過漏洞利用,之后會有連接CnC的網(wǎng)絡(luò)行為),這個方面的知識安全分析過程中一直在使用,每一個成熟的安全分析師都會關(guān)注收集攻擊者行為模式方面的信息。

一個具體指標(biāo)可以同時屬于不同類型情報,例如CnC地址,可以同時是歸屬指標(biāo)和檢測指標(biāo);而惡意軟件代碼的某些特殊特征也是如此。

二、數(shù)據(jù)類型的分類

在威脅情報相關(guān)的文章中,David J. Bianco 這位曾經(jīng)在Mandiant擔(dān)任狩獵團(tuán)隊(duì)leader的一篇《The Pyramid of Pain》非常出色。這篇文章對不同類型的威脅情報及其在攻防對抗中的價值有非常清晰的描述。下面這部分的內(nèi)容主要來源與對這篇文章的理解。

建立這個金字塔模型,就是為了說明你可能用來檢測敵方活動的威脅情報相關(guān)的指標(biāo)類型,以及當(dāng)你能夠利用這些指標(biāo)時,會引起的攻擊者的攻擊代價大小或者說痛苦指數(shù)。一般來說威脅情報中價值最低的是Hash值、IP地址和域名,其次是網(wǎng)絡(luò)/主機(jī)特征、攻擊工具特征,對攻擊者影響最大的是TTP(戰(zhàn)術(shù)、技術(shù)和行為模式)類型的威脅情報。下面分別闡明道理。

1、HASH值:SHA1或MD5是最常見的例子,對應(yīng)于入侵相關(guān)的特定樣本/文件。任何文件的改變,即使是無關(guān)緊要的在未使用資源中修改一個bit或者在結(jié)束位置添加一個Null。結(jié)果就是一個完全不同也不相關(guān)的哈希值。哈希值的改變是那么容易,在很多情況下,它甚至可能不值得跟蹤。需要指出的是有一類特殊的 fuzzy hashes ,它試圖通過在計算時考慮輸入的相似性來解決問題。換句話說,兩個文件只有輕微或者中度的差異,會造成類似的模糊散列值,使研究者注意到他們之間可能的關(guān)系,它們可能適合放在“攻擊工具”類型,因?yàn)樗鼈兏咕芨淖兒筒倏v,事實(shí)上,它們在DFIR(數(shù)字取證及事件響應(yīng))最常見的用途是識別工具及惡意軟件的變種,以糾正靜態(tài)hash值的缺點(diǎn)。

2、IP地址:這可以說是最常見的指標(biāo),因?yàn)镮P數(shù)量太大,任何合理的APT攻擊均可以更改IP地址,只需要很小的成本。在某些情況下,如果他們使用Tor或者類似的匿名代理服務(wù),他們可以相當(dāng)頻繁的改變IP地址。這就是為什么IP地址是金字塔的綠色部分。如果你利用IP地址進(jìn)行防御,他們通??梢赞D(zhuǎn)換,甚至不影響攻擊節(jié)奏。

3、域名:域名的改變需要付出一些代價,為了使用,他們必須注冊、支付并且進(jìn)行托管。但是,有大量的DNS提供商有寬松的注冊標(biāo)準(zhǔn)(其中許多是免費(fèi)的)。所以在實(shí)踐中,這不是太難以改變。新域名可能需要1-2天時間在整個互聯(lián)網(wǎng)上就隨處可見了,雖然如此,這些相比IP地址是稍微困難的改變。

4、網(wǎng)絡(luò)或主機(jī)特征:在這個層面上,開始讓對手覺得有些棘手。當(dāng)你能夠在這個層面上檢測并響應(yīng),可以使攻擊者回到他們的實(shí)驗(yàn)室重新配置或編譯他們的工具。一個很好的例子是,當(dāng)你使用User-Agent特征字符方式查找攻擊者的HTTP探測工具,你阻止其User-Agent的任何請求時,你強(qiáng)迫他們回去花一些時間搞清楚你如何發(fā)現(xiàn)他的探測工具,并解決這個問題。當(dāng)然修復(fù)可能微不足道,但至少他們不得不花費(fèi)一些精力來識別和解決你設(shè)在他們面前的障礙。

5、攻擊工具:在這個層面上,我們有了真正讓攻擊者感到頭痛的能力。很可能發(fā)生的情況是,因?yàn)槲覀儷@得了檢測他們某個工具的能力,他們必須臨時放棄,去找到或者創(chuàng)建一個用于相同目的的新工具。這是一個大的勝利,因?yàn)樗麄儽仨毣〞r間研究(查找現(xiàn)有的工具,它具有相同的能力)、發(fā)展(如果有能力,創(chuàng)建一個新的工具)和培訓(xùn)(弄清楚如何使用工具,熟練掌握它)。你使他們真的需要花費(fèi)時間,特別是你能得到他們幾個工具的時候。

此類指標(biāo)的實(shí)例可以包括AV或者Yara簽名,前提是他們可以發(fā)現(xiàn)相同文件的中等程度變化。分析網(wǎng)絡(luò)通信協(xié)議的網(wǎng)絡(luò)感知工具也屬于這個層面,變更協(xié)議需要大量工作重寫原來的工具。此外,如前所述,F(xiàn)uzzy哈希也應(yīng)該屬于這個層面。

6、TTPs(Tactics、Techniques &Procedures):最后,在頂點(diǎn)的是TTP。當(dāng)你在這個層面檢測并響應(yīng),你直接針對對手的技能,不再是他們的工具。例如:你檢測重放哈希的攻擊(也許通過分析windows日志),而不是他們使用的攻擊工具,從效益的角度看,這是最理想的。如果你能足夠快的應(yīng)對對手的TTP,你強(qiáng)迫他們做了最耗時的事情:學(xué)習(xí)新的行為。讓我們想想這些,如果你到達(dá)頂點(diǎn),即掌握了不同對手多種不同的TTP時,將會發(fā)生什么?你給他們兩個選項(xiàng):放棄或者重新塑造自身,如果我是對手,選擇放棄更吸引我。

通過以上對威脅情報相關(guān)類型的描述,我們可以看到其內(nèi)涵已經(jīng)遠(yuǎn)遠(yuǎn)超過了早年的信譽(yù)庫(IP、域名、文件等)。相應(yīng)的它們發(fā)揮作用的場景也不僅僅是檢測那么簡單,而更加廣泛,下面我們就討論這個話題。

幾個典型的使用場景

一提起威脅情報的用途,人們最經(jīng)常提到的應(yīng)該是攻擊檢測方面的價值了,但實(shí)際上威脅情報的使用場景會更加的廣泛,也許通過前面的類型的描述就已經(jīng)有所感覺了。下面就描述幾個比較典型的使用場景:

1、安全計劃(或者安全體系建設(shè)與完善)

上面曾經(jīng)提過,防御思路正在從漏洞為中心轉(zhuǎn)化為威脅為中心,只有對需要保護(hù)的關(guān)鍵性資產(chǎn)存在的威脅有足夠的了解,才能夠建構(gòu)起合理、高效的安全體系結(jié)構(gòu),而這些就依賴于對攻擊者可能的戰(zhàn)術(shù)、方法和行為模式(即TTPs)的全面理解,如果能有指向指標(biāo)類的信息,讓我們知道所在行業(yè)當(dāng)時可能的最大風(fēng)險,就更能做到有的放矢。如果說不同方向的安全從業(yè)者(如:漏洞挖掘、滲透測試、安全分析和事件響應(yīng)、產(chǎn)品及開發(fā)等)需要的知識結(jié)構(gòu)有所不同,那么這種對攻擊面的理解就是所有行業(yè)從業(yè)者必須了解的內(nèi)容。

2、攻擊檢測和防御

基于威脅情報數(shù)據(jù),可以創(chuàng)建IDPs或者AV產(chǎn)品的簽名,或者生成NFT(網(wǎng)絡(luò)取證工具)、SIEM、ETDR(終端威脅檢測及響應(yīng))等產(chǎn)品的規(guī)則,用于攻擊檢測。如果是簡單的IP、域名、URL等指標(biāo),除了以上用途,還可以考慮直接使用在線設(shè)備進(jìn)行實(shí)時阻截防御。

這個方面做的比較好的廠商,無疑是Fireeye,其核心產(chǎn)品都可以使用威脅情報數(shù)據(jù)來增強(qiáng)檢測和防御能力。還可以關(guān)注一個相關(guān)的開源項(xiàng)目CIF,CIF( Collective Intelligence Framework)是一個網(wǎng)絡(luò)威脅情報管理系統(tǒng)。 CIF讓你從多個威脅情報來源結(jié)合來獲取已知的惡意威脅信息,并利用這些信息進(jìn)行識別,檢測和緩解。但比較遺憾的是,現(xiàn)有版本的CIF倉庫支持的常見類型是IP地址,域名和網(wǎng)址,相較fireeye尚有一段距離。

3、安全分析及事件響應(yīng)

安全分析及事件響應(yīng)中的多種工作同樣可以依賴威脅情報來更簡單、高效的進(jìn)行處理。在報警分流中,我們可以依賴威脅情報來區(qū)分不同類型的攻擊,從中識別出可能的APT類型高危級別攻擊,以保證及時、有效的應(yīng)對。在攻擊范圍確定、溯源分析中可以利用預(yù)測類型的指標(biāo),預(yù)測已發(fā)現(xiàn)攻擊線索之前或之后可能的惡意活動,來更快速的明確攻擊范圍;同時可以將前期的工作成果作為威脅情報,輸入SIEM類型的設(shè)備,進(jìn)行歷史性索引,更全面的得到可能受影響的資產(chǎn)清單或者其它線索。

威脅情報的使用場景遠(yuǎn)不止于此,這里只是簡單的舉了幾個已經(jīng)在使用的例子,希望更多的引起大家的興趣,不止是關(guān)注威脅情報的建立,更關(guān)注如何產(chǎn)生更多的客戶價值,也許從需求出發(fā)來建立威脅情報,才能保障它發(fā)揮更大的作用。

后記

這篇文章介紹了個人對威脅情報概念的理解,威脅情報的分類及使用場景。相關(guān)的話題還有很多,如何建立與維護(hù)威脅情報系統(tǒng),如何評價它,威脅情報相關(guān)的標(biāo)準(zhǔn),以及以及威脅情報平臺的建立,等等。相關(guān)標(biāo)準(zhǔn)的話題國內(nèi)討論的文章很多了,沒有必要再多說;其它方面希望也有機(jī)會能將想法整理出來和大家分享,當(dāng)然更希望有機(jī)會和對此有興趣的同仁更多的交流。

本人的聯(lián)系郵箱是 zhili.han@icloud.com,歡迎大家的批評意見。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號