從去年開始國內(nèi)威脅情報市場的啟動萌狂,核心是以IOC情報為主的步藕,畢竟對大多數(shù)組織來說瞎惫,檢測發(fā)現(xiàn)關(guān)鍵性威脅是優(yōu)先級最高的工作。如何評估不同的IOC情報質(zhì)量驻龟,也就是一個對用戶來說比較重要的工作了闽巩。
從十多年前的IDS/IPS產(chǎn)品評測開始糯俗,對檢測類能力的評估就是一個難題饶唤。曾經(jīng)比較流行的方法是參與評測的廠商各自提交一些樣本,用戶用匯集的集合做測試光绕,測試結(jié)果是否能反映產(chǎn)品的真實(shí)能力女嘲,就依賴于這個集合與現(xiàn)實(shí)威脅的重合程度,從現(xiàn)實(shí)中往往很難達(dá)到理想的效果诞帐。個人甚至曾經(jīng)知道某廠商在過去的一些測試中將沒有問題的樣本作為惡意提交上去澡为,進(jìn)而保障只有自己可以檢測出來,還有更多的所謂評測技巧在這里就不多提景埃,我們還是從技術(shù)的角度說一說IOC的評測媒至。
其實(shí)什么是好的威脅情報,業(yè)界是有共識的谷徙,需要在4個方面去保障其質(zhì)量拒啰,分別是相關(guān)性、及時性完慧、精確性谋旦,以及可指導(dǎo)響應(yīng)的上下文,下面展開說一下,重點(diǎn)是其中存在的一些誤解或誤區(qū):
相關(guān)性:和傳統(tǒng)講的檢出率相似册着,但更強(qiáng)調(diào)和具體用戶的地域性拴孤、行業(yè)性相關(guān),即需要針對此用戶的環(huán)境甲捏,能發(fā)現(xiàn)可能遭遇的重要威脅演熟。相關(guān)性的確定不在于廠商是否在情報中提供了一個行業(yè)屬性的字段,或者說有特定行業(yè)標(biāo)識的IOC數(shù)量有多少司顿,因?yàn)橐阎行S商的這個字段標(biāo)識是完全錯誤的芒粹,將針對互聯(lián)網(wǎng)用戶的某類隨機(jī)性攻擊標(biāo)識做針對特定行業(yè)的攻擊,這樣情況下單從字段大溜、數(shù)量上是不可能確定相關(guān)性的化漆。
及時性:情報的及時性是由多個因素構(gòu)成的,包括數(shù)據(jù)收集的及時性钦奋、云端處理的及時性座云、情報分發(fā)的及時性等。有些時候容易把情報分發(fā)的頻度作為及時性的指標(biāo)付材,這是不準(zhǔn)確的朦拖。舉個例子:一個新的威脅出現(xiàn)后,如果一個情報廠商需要若干天才能知道伞租,同時云端需要較長時間處理才能形成情報,那么即使它的情報更新頻度再快(比如分鐘級)限佩,其及時性也是不足的葵诈,另一個廠商可以在一天內(nèi)完善收集、處理祟同、分發(fā)作喘,那么它的情報更新頻度及時是以天為單位,也一定較上一個廠商為優(yōu)晕城。
精確性:這對應(yīng)著我們一般說的誤報率指標(biāo)泞坦。這個不再多說,講一個相關(guān)的故事砖顷,業(yè)內(nèi)一個廠商在幾年前發(fā)了一份APT報告贰锁,其中某個域名類IOC因?yàn)檫^期去除掉了,但在某次評測中卻出現(xiàn)其他多個廠商利用其之前報告的IOC產(chǎn)生了很多報警滤蝠,還需要這家廠商解釋為什么自己沒檢測到豌熄。把這個故事放到這里其實(shí)就想說精確度看似明確,但在實(shí)際工作中也有可能出現(xiàn)一些讓人不知如何評說的情況物咳。
可指導(dǎo)響應(yīng)的上下文:上下文前面加了一個可指導(dǎo)響應(yīng)活動的限定語锣险,要表達(dá)的就是這個上下文一定是對決策、行動有幫助,與此無關(guān)給出的信息越多芯肤,說明情報質(zhì)量越差巷折。上下文信息需要有助于識別可信度、事件優(yōu)先級崖咨、危害(攻擊者的目的锻拘、攻擊方式/方法、影響)掩幢、甚至處置方案建議等逊拍。
前面講了這么多,其實(shí)都在講評估情報質(zhì)量的誤區(qū)际邻,而沒有談及如何正確的評估芯丧。如果愿意的話,最好的評估方式就是在實(shí)戰(zhàn)中去使用世曾,能不能用起來缨恒,實(shí)際中發(fā)現(xiàn)了什么威脅,相較而言誰發(fā)現(xiàn)的更早/更精確轮听,誰提供的上下文讓運(yùn)營人員更容易去進(jìn)行事件處置骗露。攻防對抗是帶有實(shí)戰(zhàn)特點(diǎn)的,威脅情報更是如此血巍,盡快撇開實(shí)驗(yàn)室思維的測試/評估方法萧锉,在實(shí)際工作中去使用它,無疑是最好的選擇述寡。