多源情報匯聚是一個很流行的概念降允,也被大多數(shù)人認同求豫。通過匯聚多個來源的情報可以獲得更全面的威脅檢測能力乘粒,這應(yīng)該是非常明確的道理膜赃。不過并不是任意的幾個來源匯聚一起挺邀,就會得到理想的效果,即使是商業(yè)的情報來源(已經(jīng)解決了準確性财剖、上下文問題)也是如此悠夯。我們下面就談?wù)勥@個問題,看看選擇來源時需要考慮哪些問題躺坟。
威脅情報往往有比較明顯的地域特點沦补,這點不清楚是中國特有的情況,還是針對所有的地區(qū)都適用咪橙∠Π颍可能是國內(nèi)安全市場特點決定了國際廠商的產(chǎn)品部署范圍虚倒、數(shù)據(jù)收集能力必然不足,這種情況下其批量生成的IOC情報和國內(nèi)威脅的相關(guān)性不強产舞,是再正常不過的事魂奥。因此選擇IOC情報、文件信譽時特別需要考慮情報來源的地域特性易猫。但也不是說國外的威脅情報對國內(nèi)組織沒有價值耻煤,特別是國外的IP信譽類情報用來做特定的監(jiān)控就比較有效,其中的場景是如果國外的一次攻擊(DDoS准颓、SPAM等)出現(xiàn)了企業(yè)的IP哈蝇,就說明極大可能出現(xiàn)了失陷,并被利用來進行攻擊攘已。
不同類型的威脅炮赦,其基礎(chǔ)數(shù)據(jù)有不同的收集方式。情報數(shù)據(jù)的收集渠道由多種:開源IOC样勃、安全社區(qū)吠勘、產(chǎn)品數(shù)據(jù)(惡意文件、報警日志等)峡眶、暗網(wǎng)/黑客社區(qū)剧防、網(wǎng)絡(luò)掃描/監(jiān)控、事件響應(yīng)數(shù)據(jù)幌陕、特定范圍交流等诵姜,基本上越向前提到的,越針對流行性搏熄、隨機性的網(wǎng)絡(luò)犯罪攻擊棚唆,而越向后的就越針對定向型攻擊。如果你關(guān)注的是流行性的威脅心例,那比較簡單宵凌,如果關(guān)注的是行業(yè)特色明顯、以定向攻擊為主的威脅情報的話止后,可能要看相應(yīng)的廠商是否有強大的事件響應(yīng)服務(wù)團隊瞎惫、以及和特定行業(yè)或部門的交流渠道,因為這是這類情報數(shù)據(jù)線索最重要的來源译株。
數(shù)據(jù)運營水平也是比較重要的參考因素瓜喇。同樣的一個來源,在不同的情報運營歉糜、生產(chǎn)團隊而言乘寒,可以產(chǎn)生的結(jié)果也有很大的不同。典型的例子就是VirusTotal匪补,相信很多安全公司都有其賬號伞辛,那兒也確實是個寶庫烂翰,可以發(fā)現(xiàn)新的樣本、可以跟蹤到在野的0day漏洞蚤氏,也可以通過它對一些攻擊團伙/惡意家族做長達數(shù)年的歷史分析甘耿、甚至可以監(jiān)控APT團伙的動態(tài)。但是否能達到這些目的竿滨,關(guān)鍵在于安全運營團隊的能力水平佳恬。
前面講的這些,其實想表達的就是一個意思姐呐,多源情報匯聚也許是個很好的方式殿怜,但怎樣選擇不同的情報來源,是成功的關(guān)鍵曙砂。需要明確自己的需求(地域、行業(yè)骏掀、威脅類型)鸠澈,清楚地了解可供選擇的來源具體特點(數(shù)據(jù)來源、研究團隊水平截驮、運營側(cè)重點等)笑陈,并且最好能夠通過實際的網(wǎng)絡(luò)環(huán)境來測試評估,這樣的情況下葵袭,才有可能找到適合匯聚的不同情報來源涵妥。
