情报驱动概述
一次性进群,长期免费索取教程,没有付费教程。
教程列表见微信公众号底部菜单
进微信群回复公众号:微信群;QQ群:16004488
微信公众号:计算机与网络安全
ID:Computer-network
本文介绍网络威胁情报的基础知识,包括其历史和未来发展方向。
一、情报是事件响应的一部分
只要有斗争冲突,就有那些研究、分析和努力去了解对手的人。一场战争的输赢,取决于你对对手的了解,研究对手的思维方式、动机和战术,并根据理解做出或大或小的决策。无论是什么类型的斗争冲突,不管是国家之间的战争还是对敏感网络的秘密入侵,威胁情报都指导着双方。只要掌握威胁情报的艺术及其科学的一面,分析对手的意图、能力和时机等信息,胜利总是会站在你这一边。
1、网络威胁情报的历史
1986年,Cliff Stoll是美国加州Lawrence Berkley国家实验室的博士生。有一天,他注意到计算机实验室有一笔75美分的计费差异,这表明有人没有付费便在使用实验室的计算机系统。在现代化的今天,那些强大的网络安全产品可以轻易发现“未经授权的访问”并快速预警。但在1986年,这几乎很难引起人们的关注。那时候的网络入侵系统并不像今天这样每天能触发告警消息,无法及时发现数百万甚至数十亿美元被盗。在那一年,网络抓包工具tcpdump才刚刚启动,常见的网络发现工具(如Nmap)过了十年才出现,而渗透框架如Metasploit则又过了15年才出现。当时大多数连接“互联网”的电脑属于政府和研究机构,而不是普通用户。如果发现有人使用电脑而没有付费,往往会被认为是软件的bug或记账功能错误。
Stoll意识到此事非比寻常,没有将其当成一个计算机故障或用户贪小便宜的事件处理。事实上,他正在跟踪的是一个“狡猾的黑客”,黑客正在使用伯克利的网络作为跳板,尝试进一步获得敏感的政府计算机权限,如白沙导弹系统和国家安全局(NSA)。Stoll使用打印机来监控传入的网络流量,并开始对入侵者进行画像描绘,这是首次记录入侵者的网络间谍活动。他逐渐了解了攻击者的活跃时间、运行的网络命令以及其他活动模式。他了解到攻击者如何利用GNU Emacs移动邮件功能中的漏洞入侵Berkley的网络。这是一种策略,Stoll将其比喻成一只杜鹃鸟,这种鸟会将其蛋放在另一只鸟巢中孵化,后来成了一本谈论入侵的书名:《杜鹃蛋》(Cuckoo’s Egg)。了解攻击者才有可能保护自己的网络免遭进一步渗透,识别攻击者的下一个目标,并在微观层面(识别执行攻击的个体)和宏观层面(了解敌国在传统情报收集武器库中部署的新策略,并改变政策以应对这一变化)采取响应措施。
2、现代网络威胁情报
几十年来,网络威胁已经变得越来越大。攻击者使用不断增强的工具和手段来攻击,他们的动机可能是为了经济收益而收集情报,也可能是为了引起关注而肆意破坏。今天,了解攻击者已变得越来越困难,但却非常重要。
从一开始了解攻击者已经成为事件响应的关键组成部分。网络威胁情报用于识别和了解攻击者,以及使用该信息来保护网络,已成为事件响应者必备的基本概念。威胁情报是对对手的分析,分析他们的能力、动机和目标。网络威胁情报(CTI)是对对手如何使用网络来实现目标的分析。有关这些攻击级别如何相互影响,请参见图1。
图1 从情报到网络威胁情报
在网络安全方面,我们一般侧重于科学观念,我们喜欢可测试和可重现的东西。但是网络威胁情报领域既有科学又有艺术,而且这种艺术非常考验我们,包括对攻击者数据的分析和解释,以及如何以有意义的方式向外部受众传递信息,并使他们也能够采取行动。这将真正帮助我们理解一个思维和反应都在不断发展的对手。
安全分析师往往偏好一些东西,比如在网络上识别恶意活动并最终能追踪到已知的攻击者,但在许多情况下,情报的早期实现是非常简易直观的。这些年来,新技术的发展更好地实现了对网络恶意活动的检测和理解,网络访问控制(NAC)、深度包检测防火墙和网络安全情报设备都是基于过去已知概念的新应用。
3、未来之路
新技术为我们提供了有关攻击者采取行动的更多信息,以及对这些信息的其他行为方式。但是,我们发现,随着每个新技术或概念的实施,对手都适应了。蠕虫和病毒的变种更新比那些可以识别它们的设备还快,老练的、资助资金充足的攻击者比许多网络防御者更有组织与活力。简易直观的情报工作将不足以使防御者摆脱威胁,分析也需要发展,并变得更加正规与结构化。情报的范围必须扩大,业务目标必须变得更加野心勃勃。
除了要对企业常常模糊而冗长的边界进行威胁检测,分析师还需要更深入地了解攻击者在网络中的可能攻击路径,不管对方是针对单个用户系统还是服务器集群。同时,还得向外看攻击者可能盯上的那些第三方服务商。需要对所有这些信息进行详尽分析并深刻理解,然后采取行动来更好地预防、发现和消除威胁。为了更好地理解对手,采取的行动需要成为正式的流程,它是网络安全运营的关键部分:威胁情报。
二、事件响应是情报的一部分
通常来说,情报是一种经过分析并提炼使其可操作的信息。因此,情报需要信息。在情报驱动的事件响应中,收集信息有多种方式。但是,重要的是要注意事件响应本身也会产生网络威胁情报。传统的情报周期涉及方向、收集、处理、分析、传播和反馈。情报驱动的事件响应涉及所有这些步骤,并有助于在威胁情报的其他程序中形成方向、收集和分析,比如网络防御和用户意识培训。情报驱动的事件响应要经过理解和修复入侵风险,否则不会结束,实际上它会为情报周期持续不断地产生信息。
分析一次入侵,不管它是成功或失败,都可以提供多种信息,可用于更好地了解对环境的总体威胁。通过根因分析和初始访问向量的分析,可以向企业通报网络防御的短板或攻击者可能利用的策略弱点。在系统上识别的恶意软件可以帮助确定攻击者用来避开传统安全措施(例如防病毒或基于主机的入侵检测工具)的策略,也可以帮助识别攻击者的能力以及他们可用的工具。分析攻击者在网络中横向移动的方式可以用于创建新的方法监控网络中的攻击者活动。无论攻击者最后的执行动作(例如窃取信息或改变系统的功能)是否成功,都可以帮助分析师了解对手的动机和目标,这些动机和目标可用于指导整体安全工作。因此,事件响应过程中的每一步总结,都可用于更好地了解企业面临的威胁。
三、什么是情报驱动的事件响应
网络威胁情报不是一个新概念,只是一种旧方法的新名称:应用结构化的分析过程来了解攻击及其背后的对手。威胁情报在网络安全方面的应用比较新,但基础并没有改变。网络威胁情报涉及如何运作情报流程和概念(包括一些很古老的概念),并使其成为总体信息安全流程的一部分。威胁情报有许多应用方法,但可以利用的基本方法之一是作为入侵检测和事件响应流程的组成部分。我们称之为情报驱动的事件响应。不管有没有大量的资金投入,每个安全团队都可以做到。它对工具的依赖程度不大,尽管工具有时候有一定帮助,但更多的是我们处理事件响应流程的方式。情报驱动的事件响应不仅有助于识别、理解和消除网络中的威胁,而且有助于加强整个网络安全流程,最终改善后续的响应。
在过去的几十年中,我们的世界互联程度越来越紧密,攻击者可以采用相同的定向攻击策略,针对多个企业执行复杂的入侵任务。在过去,我们会习惯性地认为入侵是一个孤立的事件。当我们更好地了解对手时,我们可以更容易地掌握这些入侵事件之间的模式。情报驱动的事件响应确保我们能正确地收集、分析和分享情报,帮助我们更快地识别和响应这些模式。
SMN行动
一个很好的例子就是Axiom黑客组织分析报告,该文档发布于2014年的联合恶意软件消灭运动(CME),称作“SMN”行动。
“SMN”行动中的“SMN”代表“some marketing name”的英文简称,这是一本有趣的小说,它揭示了一个非常普遍的现象,营销常常支配着情报产品。不管情况好坏,营销的力量已经在热情拥抱威胁情报,它们都宣称自己是最好的威胁情报产品、来源与工具。许多人第一次接触到威胁情报是通过营销材料,这些夸张的宣传很难让人充分了解实际的威胁是什么。
重要的是,情报工作的最终目标是更好地理解和防御对手。有时市场营销会是一种阻力,但理想情况下适当的营销可以帮助信息传递,确保威胁情报背后的“故事”能以正确的方式传播给有需要的受众。
近几年,一批被称为“Axiom黑客组织”的攻击者暗中定向渗透并窃取了财富500强公司、新闻媒体、非政府机构以及各种其他企业的信息。该组织使用了复杂的工具,攻击者在受害者网络中维持长期的连接并逐步扩大访问权限。随着受害企业中事件响应流程的开展,逐渐发现了攻击者使用的恶意软件,人们对该组织使用的一个恶意软件系列进行联合研究后发现,问题比原来想象的要复杂得多。随后,越来越多的行业合作伙伴参与进来并相互交流信息,挖掘出了模式,不仅识别了恶意软件的行为,也识别出该组织成员的行为习惯以及相应的应对指南。最终形成了该组织针对的地区和行业的战略情报。
这是情报周期在事件响应场景中的一个很好的例子。不仅收集、处理并分析了信息,而且在信息传播过程中产生了新的要求和回馈信息,反复循环直到分析人员得到一个可靠的结论。在该报告发布后,很多分析员能够果断地采取行动,最终消除了43000个恶意软件。发布报告也是传播阶段的一部分,帮助事件响应者更好地了解这个威胁组织的策略和动机。
极光行动
在Axiom黑客组织被揭露的前几年,另一个组织(可能相关的)进行了类似的复杂行动,称为“极光行动”(Operation Aurora),成功地定向攻击了约30家公司。该行动的模式和动机与“SMN”行动相似。看看这两个精心策划且广泛攻击的案例,很显然这并不是偶然的,而是战略目标高度一致的对手愿意花费大量的时间和精力来确保达到目标。如果我们只是从一个事件跳到另一个事件来处理这个问题,没有停下来好好总结经验教训,纵观全局,那么攻击者总是会比我们快几步。
Axiom组织的攻击以及“极光行动”都是窃取信息的间谍类攻击,但这些攻击者不仅仅是事件响应者唯一需要担心的事情。经济领域的犯罪活动也日益猖獗,那些威胁组织也在努力保持领先于网络防御者和事件响应者。
四、结语
尽管计算机安全领域取得了不少进步,但攻击者仍然能够快速适应。我们常常感到惊讶的是,在识别出攻击者之前,他们已经在网络中横行多年,更糟糕的是,攻击者在事件响应流程之后依然能够重新感染目标并继续隐蔽自己。情报驱动的事件响应帮助我们从攻击者身上学习,识别他们的动机、过程和行为,即使他们试图绕过我们的防御和检测方法,我们还是可以识别他们的活动。我们对攻击者了解得越多,就能够越好地发现并响应他们的行为。
微信公众号:计算机与网络安全
ID:Computer-network