×

威胁情报怎么用
  

张sir 4453

{{ttag.title}}
本帖最后由 张sir 于 2017-7-14 17:39 编辑

威胁情报大体就这三种类型,分别用来支撑安全运维人员、安全分析师和安全管理者。
战术级情报
战术情报的作用主要是发现威胁事件以及对报警确认或优先级排序。常见的失陷检测情报(CnC 情报)、IP情报就属于这个范畴,它们都是可机读的情报,可以直接被设备使用,自动化的完成上述的安全工作。
失陷检测情报,即攻击者控制被害主机所使用的远程命令与控制服务器情报。情报的IOC往往是域名、IP、URL形式(有时也会包括SSL证书、HASH等形式),这种IOC可以推送到不同的安全设备中,如NGFW、IPS、SIEM等,进行检测发现甚至实时阻截。这类情报基本上都会提供危害等级、攻击团伙、恶意家族等更丰富的上下文信息,来帮助确定事件优先级并指导后续安全响应活动。使用这类情报是及时发现已经渗透到组织APT团伙、木马蠕虫的最简单、及时、有效的方式。
IP情报是有关访问互联网服务器的IP主机相关属性的信息集合,许多属性是可以帮助服务器防护场景进行攻击防御或者报警确认、优先级排序工作的。譬如:利用持续在互联网上进行扫描的主机IP信息,可以防止企业资产信息被黑客掌握(很多时候黑客对那些主机开放了SMB端口、那些可能有Struts 2 漏洞比企业的网管掌握的更清楚);利用在互联网进行自动化攻击的IP信息可以用来进行Web攻击的优先级排序;利用IDC主机或终端用户主机IP信息可以用来进行攻击确认、可疑行为检测或垃圾邮件拦截;而网关IP、代理IP等也都各自有不同的作用,相关场景很多,就不一一列举了。
运营级情报
运营级情报是给安全分析师或者说安全事件响应人员使用的,目的是对已知的重要安全事件做分析(报警确认、攻击影响范围、攻击链以及攻击目的、技战术方法等)或者利用已知的攻击者技战术手法主动的查找攻击相关线索。第一类活动属于事件响应活动的一部分,第二类活动更是有一个高大上的名字“安全狩猎”。
事件响应活动中的安全分析需要本地的日志、流量和终端信息,需要企业有关的资产情报信息,也需要运营级威胁情报。这种情况下情报的具体形式往往是威胁情报平台这样为分析师使用的应用工具。有一个和攻击事件相关的域名或IP,利用这个平台就有可能找到和攻击者相关更多攻击事件及详情,能够对攻击目的、技战术手法有更多的认识;通过一个样本,我们能够看到更多的相关样本,也可以对样本的类型、流行程度、样本在主机上的行为特征有更多的了解;同样的利用这个平台可以持续的跟踪相关的攻击者使用的网络基础设施变化;发现相关资产是否已经被攻击者所利用,等等。
安全狩猎是一个基于已知技战术手法(TTP:技术、工具、过程)发现未知威胁事件,同时获得进一步黑客技战术相关信息的过程。安全狩猎的过程需要特定的内部日志、流量或终端数据和相应分析工具,还需要掌握有较丰富对手技战术手法的安全分析师。这类情报往往通过基于安全事件的分析报告,或者特定的技战术手法数据库得到,国际上在这方面已经有较多的进展,包括了各类开源或限定范围的来源可以提供这样的信息,而国内相对较少,并且一些安全事件报告因为这样那样的问题,并不能公开发表最宝贵的TTP层面分析内容。
战略级情报
战略层面的威胁情报是给组织的安全管理者使用的,比如CSO。一个组织在安全上的投入有多少,应该投入到那些方向,往往是需要在最高层达成一致的。但面临一个问题,如何让对具体攻防技术并不清楚的业务管理者得到足够的信息,来确定相关的安全投资等策略?这时候如果CSO手中有战略层面的情报,就会成为有力的武器。它包括了什么样的组织会进行攻击,攻击可能造成的危害有哪些,攻击者的战术能力和掌控的资源情况等,当然也会包括具体的攻击实例。有了这样的信息,安全投入上的决策就不再是盲目的、而是更符合组织的业务状况及面临的真实威胁。

打赏鼓励作者,期待更多好文!

打赏
31人已打赏

明珠 发表于 2017-5-3 10:04
  
了解
大宝张 发表于 2017-5-3 10:14
  
get 到新知识了
zhb 发表于 2017-5-3 12:48
  
呃,,看一下(。・ω・。)ノ♡
7情6欲 发表于 2017-5-3 13:11
  
太多字了
粉色的小猪在天上飞 发表于 2017-5-3 13:16
  

呃,,看一下(。・ω・。)ノ♡
发表新帖
热门标签
全部标签>
安全效果
每日一问
西北区每日一问
技术盲盒
【 社区to talk】
干货满满
技术笔记
产品连连看
新版本体验
技术咨询
标准化排查
信服课堂视频
每周精选
功能体验
自助服务平台操作指引
排障那些事
GIF动图学习
技术晨报
安装部署配置
运维工具
解决方案
2023技术争霸赛专题
秒懂零信任
故障笔记
技术圆桌
云计算知识
用户认证
技术顾问
资源访问
存储
「智能机器人」
社区新周刊
畅聊IT
答题自测
专家问答
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
原创分享
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
地址转换
虚拟机
迁移
加速技术
排障笔记本
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
通用技术
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
高手请过招
升级&主动服务
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版达人

SANGFOR...

本周分享达人