网络威胁情报(CTI)在过去十年中发展迅速,通过结合计算机科学和情报学科来对抗网络威胁。黑客组织的网络攻击是最常见、成本最高的网络安全事件,但防御方的检测和响应极其缓慢。现代企业发现网络入侵的平均时间为206天,而缓解和遏制的平均时间为73天。天空。为了弥合这一差距,网络安全社区创建了网络威胁情报(CTI)的概念和方法。威胁情报的主要目标是建立对网络威胁参与者的知识优势。在战术和操作层面,威胁情报加速了恶意行为的早期检测,最好是在恶意行为者在网络中立足之前。在战略层面,威胁情报为决策者提供了对相关威胁环境的认识和理解。实际上,威胁情报是民用和私营部门的替代品,可替代传统情报界(IC)的防御性情报工作。许多最初受雇于IC的技术人员后来为CrowdStrike、FireEye、Talos和Kaspersky等威胁情报供应商工作。威胁情报界对网络威胁进行公开和商业情报分析。凭借其深厚的技术专长和主题知识,威胁情报界在未来几年应对网络安全威胁方面具有巨大潜力。顶级威胁情报服务提供商在某些情况下可以达到甚至超过政府情报机构的能力。不同于“风险管理”似乎有点后退,网络威胁情报更加实用、可操作,能够应对高度动态的环境。许多过去的杀毒软件供应商已经改变了业务方向,成为商业威胁情报提供商,提供有关网络威胁参与者的高价值情报分析服务。如今,威胁情报已开始在日常网络安全实践中发挥重要作用。近日,荷兰政府高级网络威胁情报分析师KrisOsshoek在《国际情报与反情报杂志》上撰文表示,虽然威胁情报是网络安全领域的重要补充,但仍处于起步阶段。威胁情报面临的挑战不仅是技战术情报质量和情报共享问题,还有方法论和流程问题。Osstoek认为,虽然如今威胁情报界已经拥有丰富的工具和技术知识,但最初的创新步伐停滞不前,缺乏标准化和方法论,产品或服务缺乏流程,这是整合的最大挑战将威胁情报纳入网络安全防御体系。以下是Oosthoek在论文中指出的威胁情报面临的六大问题,归纳如下:1.CTI缺乏ShermanKent的方法《分析学》、RichardsHeuer的?和《结构化分析技术》。许多网络安全会议的演讲者都引用了这些作品和术语,以赋予威胁情报以坚实的理论基础和科学严谨性。但实际上,威胁情报的大部分内容都是基于松散的概念,不具备严格的分析能力。如今,大多数威胁情报分析都是由警报和传入的原始数据而不是预先确定的假设驱动的。由于缺乏方法论,企业很难分析每天产生的大量IoC数据点与特定威胁环境的关联性。另一方面,缺乏(基于方法论的)流程会使威胁情报分析瘫痪,尤其是在较小的团队中。尽管计算机科学领域已经提供了多种支持数据预处理的机器学习算法,但在未来几年,将隐性知识转化为算法可能仍然是一个未解决的挑战。答案在于流程的引入,而不是更多的技术。2.威胁情报是共享的,但只是口头上的。珍珠港和9/11是IC情报共享的最好例子。由于交通灯协议(TLP)的限制,CTI的共享更加复杂。TLP使用红绿灯颜色来指示信息是否可以跨信任边界共享(组织、信息共享和分析中心[ISAC])。红色限额仅分发给直接参与者,而绿色限额向社区开放。白色代表无限分享。但灰色区域(琥珀色)是模棱两可的:它只能在您的组织内共享,而具体限制可以由来源机构指定。此外,TLP仅适用于人与人之间的共享,而不适用于基于计算机的威胁数据共享,它依赖于机器对机器共享的正式标准,例如结构化威胁信息表达。然而,大多数威胁情报数据仍然以非结构化方式共享。ISAC(InformationSharingandAnalysisCenter)促进各行业和企业之间的信息共享。ISAC可以成为免费交换优质CTI的良好来源。然而,ISAC的成功通常只会持续最初,因为分享的意愿取决于ISAC的规模。一旦其他参与者进入ISAC,共享效率往往会下降,因为参与者并不期望得到免费服务。如前所述,这不是技术问题,而是信任问题。3.威胁情报质量通常较差。威胁情报数据有多种类型。最常见的形式是IoC妥协指标,其中包含与恶意活动相关的信息,例如IP地址、域名或文件哈希值等,用于识别恶意文件。指纹的文件哈希值是IoC中共享最多的数据类型,但该值的“保质期”很短,因为恶意软件的发展速度如此之快。严格来说,IoC本身没有情报价值,因为它们需要与网络基础设施日志记录上下文相关联。一个普通的中型组织的IT系统每天生成数百万条系统消息,人类分析师只调查其中的一小部分。基于IoC的检测可以促进基于风险的优先级排序,但这取决于IoC的质量。如果产生过多的误报,则会导致分析师的警报疲劳。目前,大多数威胁情报共享发生在痛苦金字塔的底部。完整的TTP很难以机器可读的方式共享。MITREATT&CK框架是朝着正确方向迈出的第一步,但作为一个专业领域的威胁情报仍然需要朝着标准化迈出一大步。由于供不应求,如今许多防御者会尽可能多地吸收情报数据,从而造成信噪比问题。引入正式的CTI方法将有助于提高威胁情报的质量。4.威胁情报供应商不透明威胁情报市场是“深水区”。您知道如何评估供应商威胁情报的质量吗?他们的原始情报是如何获得的?他们的传感器是如何分布的,是否有任何偏差?到目前为止,大多数组织是威胁数据的“消费者”而不是“客户”,不仅不知道情报数据提供者的方法,也不知道其来源。由于缺乏研发资源,商业威胁情报提供商经常将他们的CTI数据外包给竞争对手。一个著名的例子是网络威胁联盟,25个成员组织通过该联盟每月共享400万个可观察数据。商业威胁情报提供商的联盟可能导致某些威胁的重叠报告,这些威胁在很大程度上不受免费开源威胁情报的影响。由于商业智能的高价位,许多从业者都不知道这种重叠并且在实践中难以识别。5.CTI过于偏向从商业角度来看,情报供应商喜欢关注大型国家行为者,与低级别的网络犯罪行为者相比,国家黑客对企业和个人构成的威胁往往被夸大了。威胁供应商报告的大部分内容都集中在引人注目但一小部分的民族国家黑客身上,这些黑客值得阅读,但与我们大多数日常威胁情报实践并不十分相关。.6.CTI归因困难。出于营销目的,全球各大威胁情报提供商都热衷于给各种威胁组织起各种酷炫的名字。结果,同一个黑客组织被冠以各种名称,给归属造成了极大的麻烦。例如,同一个俄罗斯军事情报组织被不同的威胁情报提供者赋予了十几个名字:FancyBear、APT-28、Sofacy、STRONTIUM、Sednit、CzarTeam、Dovetail、PawnStorm、TG-4127、GrizzlyGrassland和更多。威胁情报界缺乏共同的命名约定导致两个问题,首先,实际存在的威胁数量在很大程度上被高估了。其次,缺乏命名约定使情报共享复杂化。同一黑客组织的每个不同名称都是一个额外的数据点,使推理复杂化并提高信噪比。【本文为专栏作者“安牛”原创文章,转载请通过安牛(微信公众号id:gooann-sectv)获得授权】点此阅读作者更多好文
