2018年ISC的演講摘要偶翅,又到一年會議時讶坯。
前言
近3年來,國內威脅情報相關技術袍镀、產(chǎn)品和市場有了快速的發(fā)展默蚌,不同組織利用威脅情報解決了過去難以處理的一些問題,如失陷主機檢測等苇羡,情報的價值得到了客戶的普遍認可绸吸。同時我們也看到威脅情報領域一些深層的應用場景,尤其是在事件響應環(huán)節(jié)的威脅情報使用上设江,和國際領先水平還有一定的差距锦茁,需要更積極的投入進行技術創(chuàng)新,本文嘗試對這個方面做初步的闡述叉存。
國內威脅情報應用現(xiàn)狀
國內威脅情報市發(fā)端于2015年码俩,這一年360推出了以威脅情報檢測能力為核心的天眼產(chǎn)品,同時烽火臺聯(lián)盟和微步在線鹉胖、天際友盟也分別于這一年成立握玛。
經(jīng)過3年左右的發(fā)展,情報相關廠商已經(jīng)可以提供比較全面的威脅情報產(chǎn)品甫菠,這其中包括供安全產(chǎn)品檢測和報警排序使用的戰(zhàn)術情報或者說機讀情報(MRTI);供安全運營人員做事件分析拂苹、安全狩獵使用的作戰(zhàn)情報瓢棒;以及供安全管理者確定安全建設投入方向使用的戰(zhàn)略情報丘喻。而市場也對威脅情報的價值充分的認可,在金融连霉、能源跺撼、高科技及政府等不同的類型的行業(yè),威脅情報相關的項目在快速增長歉井。
尚需考慮的問題
在這種良好的發(fā)展態(tài)勢下哩至,也可以發(fā)現(xiàn)一些現(xiàn)象需要思考。其中最突出的是紧索,當前安全廠商提供的威脅情報能力菜谣,以及已知的威脅情報相關項目,都是集中在威脅檢測環(huán)節(jié)媳危,而在事件分析響應待笑、預測/預警方面的比重極少抓谴。從安全運營全生命周期考慮,安全投入應該保持在防御仰泻、檢測集侯、響應棠枉、預防4個領域的相對均衡,較早一段時間可能偏重防御辈讶,現(xiàn)階段在檢測上有所側重自然是好事荞估,但如果在響應、預防環(huán)節(jié)的投入嚴重不足的話跪腹,必然會造成難以完成安全運營的閉環(huán),及時的處置威脅屯阀。
事件響應分析能力普遍缺失,以及對應而來的巨大損失钦无,是有很多教訓的失暂。以2013年美國零售巨頭Target攻擊事件為例鳄虱,Targer有完整的安全運營體系,在印度有L1層級 7*24小時的安全監(jiān)控團隊决记,在美國本土有L2層級的事件響應團隊系宫。攻擊期間建车,F(xiàn)ireEye的沙箱檢測到相關部分惡意軟件并進行多次告警癞志,同時Symantec終端防護軟件也被觸發(fā)了警報,但這些告警都被事件響應團隊忽略了错洁,因為每天接收的報警數(shù)量較大,他們又沒有合適的工具/方式來正確評估哪些事件需要跟進屯碴,而那些事件可以忽略导而。最終的結果是被盜取了4000多萬張信用卡信息以及7000萬條包括姓名隔崎、地址爵卒、email钓株、電話等用戶個人信息陌僵。
從安全運營角度碗短,長久的問題是安全產(chǎn)品有太多的告警,根據(jù)國際知名咨詢機構Ponemon進行的全球范圍的統(tǒng)計,其調查組織每周大約接收17000條報警搭盾,其中19%是可信的鸯隅,需要響應蝌以,但最終只有4%的會被調查處理跟畅。但這些告警同時缺乏足夠的上下文徊件,因此缺乏合理的方式能區(qū)分出需要分析虱痕、處理的事件辐赞。在這個背景下响委,有限的事件響應人員能發(fā)揮的作用則更是有限,即使這些事件響應人員是安全產(chǎn)業(yè)中專業(yè)要求高夹囚、數(shù)量少崔兴,非常寶貴的那一類人。
創(chuàng)新領域一:SOAR(安全編排與自動化響應)
針對上面的問題,就有國際安全廠商提出了一類創(chuàng)新型產(chǎn)品:SOAR(security orchestration, automation and response )堰燎,利用人和設備能力的組合進行事件分析和分類秆剪,并根據(jù)標準工作流程定義爵政,確定事件的優(yōu)先級并推動標準化事件響應活動钾挟。一般意義上認為SOAR有3個關鍵概念:自動化掺出、編排、工作流双抽。其中關鍵的是安全運營的Playbooks牍汹,它體現(xiàn)了安全知識管理和安全運營團隊經(jīng)驗管理慎菲,包括事件響應過程的記錄钧嘶,事件分析和其它主治特定安全運營實踐知識琳疏。
Gartner對SOAR有一個更具洞見的認識书幕,認為SOAR是一個涵蓋了安全運營台汇、安全事件響應和威脅情報技術的聚合體。這種說法揭示了SOAR的實質苟呐,它是希望能夠基于用戶場景提供完整的威脅情報能力痒芝,完善組織的情報能力;通過playbooks提供各種內置的分析方法和邏輯牵素,彌補組織在安全/情報分析經(jīng)驗上的不足严衬;然后同樣通過playbooks,提供不同類型威脅的標準事件處置方法笆呆,補充組織在事件響應經(jīng)驗上的缺失请琳。
SOAR無疑是一個理想,同時也是一個多能力綜合赠幕、復雜程度很高的創(chuàng)新產(chǎn)品/平臺俄精,可以解決安全運營中的很多的重要問題,期望國內能盡早出現(xiàn)真正提供具備SOAR核心能力的產(chǎn)品榕堰。同時我們也要看到SOAR產(chǎn)品在一定程度上利用playbooks執(zhí)行自動化操作后竖慧,帶來的局限:不可能替代人進行更復雜的關聯(lián)性分析局冰,同時其palybooks水平也必然受限于廠商的情報能力和威脅分析、事件響應的經(jīng)驗。
創(chuàng)新領域二:可視化關聯(lián)分析
在事件分析中一旦涉及到深度挖掘攻擊者的更多背景信息,進行攻擊者畫像夕土,就必然涉及到人工的關聯(lián)分析篮撑,這是情報分析的核心工作之一未蝌,要做好關聯(lián)分析需要具備多種條件嘶伟,最基本的是大家熟悉的大數(shù)據(jù)要求毕匀,如pDNS躁垛、Whois、數(shù)字證書、樣本及其沙箱行為究恤、攻擊團伙或惡意家族檔案等理张。還有一些往往被忽略的小數(shù)據(jù):CDN域名/IP列表藏雏、動態(tài)域名列表赚瘦、Sinkholes域名和IP列表揽咕、whois隱私保護郵箱等等蛹头,最后就是情報分析師的經(jīng)驗和方法。忽略這些小數(shù)據(jù)和經(jīng)驗,有時會犯非常嚴重的錯誤,之前在友商的事件分析報告中凭戴,就看到將一個sinkholes IP當作攻擊者的真實網(wǎng)絡資源,由此對攻擊者背景做出了錯誤的判斷腐螟。
解決關聯(lián)分析這些難點的最好方式侧戴,是提供基于可視化的自動關聯(lián)分析能力本缠,這是情報領域的另一個重要創(chuàng)新領域芬失。國際上比較典型的代表是VirusTotal,在今年新版本的應用中提供了“VTGraph”模塊秃踩,提供了類似的功能衬鱼。而更早時間鸟赫,360企業(yè)安全在其Alpha威脅分析平臺中岁经,也提供相應的能力诉位≡啦t;诳梢暬淖詣雨P聯(lián)分析,集成了前面提到的大數(shù)據(jù)忧侧、小數(shù)據(jù)以及分析人員常有的拓線分析模型和方法石窑,可以讓沒有經(jīng)驗的人快速上手,讓有經(jīng)驗的人更有效率蚓炬。相信這個領域會有更多的跟進者松逊,而相應的產(chǎn)品功能也會更加強大。
發(fā)展領域三:特定領域情報共享
前面談到的SOAR和基于可視化的自動關聯(lián)分析试吁,除了能夠幫助相應的組織解決事件分析/響應過程中的困難外棺棵,另外就是讓更多的組織具備了威脅情報的生產(chǎn)能力,可以基于自身的數(shù)據(jù)和告警生成具備明確指標和上下文的威脅情報熄捍,這會為威脅情報或者說網(wǎng)絡安全帶來一個完全不同的新格局烛恤。
一直在提倡的威脅情報共享,但是從當前可用的情報源上看余耽,不同安全廠商的數(shù)據(jù)來源是有相似性的缚柏,如開源情報抓取、大網(wǎng)掃描碟贾、蜜網(wǎng)币喧、流量獲取或者惡意軟件處理等轨域,固然有覆蓋面和數(shù)量級的差異,但就情報的針對性價值而言杀餐,都不如行業(yè)組織依賴自身數(shù)據(jù)和報警衍生出的威脅情報信息干发。這部分的情報對網(wǎng)絡空間安全是更具價值的,也是最有必要建立共享機制的史翘。過去因為普遍性的安全響應/情報分析人員的缺失枉长,使這個來源方向無法形成質量、數(shù)量穩(wěn)定的情報琼讽,利用SOAR和可視化的自動關聯(lián)分析解決了上述問題后必峰,情報共享機制的價值、方式钻蹬、制度的建設必然會進入一個新的局面吼蚁。無論是在特定行業(yè)內的分享,還是社區(qū)的方式问欠,或者基于國家相關部門統(tǒng)籌等等肝匆。進而對整個安全行業(yè)帶來巨大的改變。
小結
以上提到的新興創(chuàng)新/發(fā)展領域顺献,每個都需要很長的篇幅才能夠談清楚术唬,把它們放到一篇文章中,就只能淺嘗則止了滚澜。但希望用這種形式,讓大家都更明白的了解嫁怀,在威脅情報能力發(fā)展上设捐,我們現(xiàn)今還處在起始的階段,需要有更好的創(chuàng)意塘淑、更多的投入萝招,才能讓威脅情報發(fā)揮其本應發(fā)揮的作用。
