威脅情報怎麼用？

新聞 05-02

威脅情報在國內已經火了幾年，威脅情報怎麼用，具體的使用場景是什麼，這方面的話題似乎較少。下面想根據個人所知，談談這方面，不完善準確的地方也請大家指正。

有些時候情報和威脅情報很容易被劃等號，其實不然。威脅情報（和攻擊者相關）、漏洞情報（和脆弱點相關）、資產情報（內部IT業務資產和人的信息），都屬於情報的範疇，但作用和生產維護方法都不同，需要明確區分。

它們都是安全分析需要的信息，資產和漏洞在多年前就一直被重視，甚至安全建設就是被認為是圍繞著資產和漏洞的。

現實中攻防對抗的不斷演進，讓我們不得不進入主動安全建設階段（或者說自適應安全架構ASA），我們需要更多的去關注威脅，讓威脅情報去引領安全建設，進一步的完善檢測、分析、預測預防的能力，並由此發現防禦上的不足，給予針對性的完善。這種動態平衡的安全理念，成為被廣泛接受的安全建設指導思路。

言歸正傳，下面就具體談談威脅情報的種類。基於整體應用場景，我們可以將情報分為3類：以自動化檢測分析為主的戰術情報、以安全響應分析為目的的運營級情報，以及指導整體安全投資策略的戰略情報。

戰術級情報

戰術情報的作用主要是發現威脅事件以及對報警確認或優先順序排序。常見的失陷檢測情報（CnC 情報）、IP情報就屬於這個範疇，它們都是可機讀的情報，可以直接被設備使用，自動化的完成上述的安全工作。

失陷檢測情報，即攻擊者控制被害主機所使用的遠程命令與控制伺服器情報。

情報的IOC往往是域名、IP、URL形式（有時也會包括SSL證書、HASH等形式），這種IOC可以推送到不同的安全設備中，如NGFW、IPS、SIEM等，進行檢測發現甚至實時阻截。這類情報基本上都會提供危害等級、攻擊團伙、惡意家族等更豐富的上下文信息，來幫助確定事件優先順序並指導後續安全響應活動。使用這類情報是及時發現已經滲透到組織APT團伙、木馬蠕蟲的最簡單、及時、有效的方式。

IP情報是有關訪問互聯網伺服器的IP主機相關屬性的信息集合，許多屬性是可以幫助伺服器防護場景進行攻擊防禦或者報警確認、優先順序排序工作的。

舉例

利用持續在互聯網上進行掃描的主機IP信息，可以防止企業資產信息被黑客掌握（很多時候黑客對那些主機開放了SMB埠、那些可能有Struts 2 漏洞比企業的網管掌握的更清楚）；

利用在互聯網進行自動化攻擊的IP信息可以用來進行Web攻擊的優先順序排序；

利用IDC主機或終端用戶主機IP信息可以用來進行攻擊確認、可疑行為檢測或垃圾郵件攔截；

而網關IP、代理IP等也都各自有不同的作用，相關場景很多，就不一一列舉了。

運營級情報

運營級情報是給安全分析師或者說安全事件響應人員使用的，目的是對已知的重要安全事件做分析（報警確認、攻擊影響範圍、攻擊鏈以及攻擊目的、技戰術方法等）或者利用已知的攻擊者技戰術手法主動的查找攻擊相關線索。

第一類活動屬於事件響應活動的一部分，第二類活動更是有一個高大上的名字「安全狩獵」。

事件響應活動中的安全分析需要本地的日誌、流量和終端信息，需要企業有關的資產情報信息，也需要運營級威脅情報。

這種情況下情報的具體形式往往是威脅情報平台這樣為分析師使用的應用工具。

有一個和攻擊事件相關的域名或IP，利用這個平台就有可能找到和攻擊者相關更多攻擊事件及詳情，能夠對攻擊目的、技戰術手法有更多的認識；

通過一個樣本，我們能夠看到更多的相關樣本，也可以對樣本的類型、流行程度、樣本在主機上的行為特徵有更多的了解；

同樣的利用這個平台可以持續的跟蹤相關的攻擊者使用的網路基礎設施變化；

發現相關資產是否已經被攻擊者所利用，等等。

安全狩獵是一個基於已知技戰術手法（TTP：技術、工具、過程）發現未知威脅事件，同時獲得進一步黑客技戰術相關信息的過程。安全狩獵的過程需要特定的內部日誌、流量或終端數據和相應分析工具，還需要掌握有較豐富對手技戰術手法的安全分析師。

這類情報往往通過基於安全事件的分析報告，或者特定的技戰術手法資料庫得到，國際上在這方面已經有較多的進展，包括了各類開源或限定範圍的來源可以提供這樣的信息，而國內相對較少，並且一些安全事件報告因為這樣那樣的問題，並不能公開發表最寶貴的TTP層面分析內容。

戰略級情報

戰略層面的威脅情報是給組織的安全管理者使用的，比如CSO。一個組織在安全上的投入有多少，應該投入到那些方向，往往是需要在最高層達成一致的。

但面臨一個問題，如何讓對具體攻防技術並不清楚的業務管理者得到足夠的信息，來確定相關的安全投資等策略？這時候如果CSO手中有戰略層面的情報，就會成為有力的武器。

它包括了什麼樣的組織會進行攻擊，攻擊可能造成的危害有哪些，攻擊者的戰術能力和掌控的資源情況等，當然也會包括具體的攻擊實例。有了這樣的信息，安全投入上的決策就不再是盲目的、而是更符合組織的業務狀況及面臨的真實威脅。

小結

威脅情報大體就這三種類型，分別用來支撐安全運維人員、安全分析師和安全管理者。但在一篇短文中是不可能覆蓋這些類型的所有使用場景的，並且這也是個創新領域，會不斷的湧現出更多的應用場景和方式，希望能聽到更多的聲音，告訴大家遇到的、想到的。

*本文作者：ZenMind，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！

本站內容充實豐富，博大精深，小編精選每日熱門資訊，隨時更新，點擊「搶先收到最新資訊」瀏覽吧！

請您繼續閱讀更多來自 FreeBuf 的精彩文章:

※開源的理念做安全：FreeBuf與HackerOne COO王寧對談安全眾測
※PostgreSQL管理工具pgAdmin 4中XSS漏洞的發現和利用
※企業如何應對安全威脅？看更新的NIST網路安全框架 | 視頻
※再見了，打碼平台：對抗打碼平台的驗證碼思路
※一種幾乎無法被檢測到的Punycode釣魚攻擊，Chrome、Firefox和Opera等瀏覽器都中招

TAG:FreeBuf |

您可能感興趣

※威脅情報雜談——IOC情報的使用
※威脅情報雜談——多源情報匯聚
※火影忍者：用自來也性命換來的情報，究竟有什麼作用？
※酷刑真的能逼出有用情報嗎？
※決賽圈裡的情報戰，誰才是王牌情報員？
※選舉情報：市議員幹什麼？怎麼干？在哪裡干？
※戰神戚繼光是如何用情報戰碾壓倭寇的？
※情報人員被抓後，面對酷刑為何不提供假情報？答案太殘酷了！
※主動將情報泄露給敵人，美軍葫蘆里賣的什麼葯？答案沒那麼簡單
※情報人員被嚴刑逼供時，提供假情報，真的能活命嗎？答案太殘酷了
※火影：論述自來也拚命換回的情報對佩恩戰影響是否重大？
※威脅情報雜談——IOC情報評測
※伊戰中向駐伊美軍提供情報的告密者命運怎樣？
※若外國提供競選對手情報會接受嗎？特朗普：當然這不算干預！
※對越反擊戰中，怎樣防止越軍竊取情報？廣東話派上用場
※越戰秘聞！美軍使用「不可描述」藥物，女戰俘亢奮中供出情報！
※淮海戰役中什麼重要情報杜聿明直到被俘才知道？
※特朗普還敢邀普京訪美？美情報總監聽後反應：你再說一遍？
※學會用熒光筆來隱藏秘密信息，你也能是「情報員」！
※海賊王情報：黑鬍子端掉革命家大本營有假，這才是真實情報！