许多组织选择通过各种来源共享网络威胁情报(CTI)提要,包括妥协指标(IOC)。目前市场上,威胁情报最常见的使用场景是利用IOC情报(IndicatorsofCompromise,IOC)进行日志检查,发现重要的内部风险。这种方式可以发现很多传统安全产品无法检测到的威胁,而且由于大部分是被攻击成功的操作,“补救工作”对安全操作还是会有很大帮助的。该方法的核心是从海量日志数据中提取威胁情报。此时威胁情报的数量还比较多,需要进一步从威胁情报中提炼出具有实用价值的IOC情报,进一步在安全社区进行共享。需要根据情报本身的质量来过滤IOC情报,比如相关性、及时性、准确性、可以指导响应的上下文等。除了风险等级和可信度的一般考虑外,上下文问题还需要提供相关的攻击信息。团伙、家族等的攻击目的、危害、技战术等,提供相关远程控制终端是否活跃、是否被安全厂商接管等信息,以便响应团队判断是否需要响应以及哪个事件具有更高的优先级。IOC信息通常通过信息共享和分析中心或组织(ISAC/ISAO)传播。在这些信息流中寻找可操作、有用的IOC是一项重大挑战,只有实用的IOC才能为网络防御提供实质性好处,但即使是实用的IOC也经常被闲置或丢失,直到不再使用仅在有价值时使用,此时攻击者倾向于快速停止使用特定的IOC。图1CTI“无悔”策略的应用过程约翰霍普金斯大学申请的应用物理实验室(APL)通过多项研究和试点工作,成功部署了威胁源,可以收集、提取、识别可操作的IOC,并将它们共享给共享组织,例如ISAC或ISAO,这被称为“无遗憾”的基于策略的方法。图1提供了该过程的可视化示意图。本文简要概述了帮助其他组织利用这些功能来满足社区网络防御需求的方法和过程。网络防御的“无悔”政策方法意味着什么?简而言之,这意味着使用“好处”与“遗憾”评估算法来确定是否需要自动操作。这导致各个组织将问题的重点转移到何时采取行动实现自动化,而不是是否应该自动化。对于基于网络威胁情报的自动化响应,“不后悔”和“后悔”的定义如下:情报评估是否正确。“遗憾”:智能上的自动操作极有可能影响正常操作。通过APLGitHub页面免费提供有关“不后悔”策略方法的更多详细信息:https://github.com/JHUAPL/Low-Regret-Methodology。本文描述了应用“无遗憾”策略对威胁情报进行分类如前所述,将“无遗憾”策略应用于CTI分类围绕ISAC/ISAO概念展开。勒索软件等恶意网络活动通常针对工业部门内的特定行业或社区。本文的这一部分详细介绍了ISAC/ISAO等共享组织如何使用开发自动化来快速识别并向其社区共享“无悔”政策IOC。提取可疑指标信息共享组织从多个信息源(其他威胁源、系统警报、成员提交等)接收大量IOC。此过程中关键的第一步是从每天收到的大量情报中提取可疑的IOC。这不仅仅是使用正则表达式(REGEX)等指标来类似匹配IOC。任何信息共享组织也应该根据潜在恶意指标所在的上下文识别过程来匹配IOC。这可以通过组织内共享的恶意签名、标签或其他工具来识别与恶意网络活动相关的指纹来实现。没有指纹识别步骤,要分析的数据太大,无法为不断受到网络攻击的网络主体提供所需的可操作IOC情报。对这种提取应用“无悔”策略的核心原则是“潜在恶意的指标”,许多信息共享机制无法在可操作的时间范围内提供数据,因为他们希望在共享数据是恶意的之前无可辩驳地证明IOC。但该决定通常比网络攻击者积极使用IOC花费的时间更长。因此,识别潜在恶意指标的过程必须自动化,并利用可重复的编码步骤来识别潜在恶意指标。这并不意味着忽略所有其他数据,因为这是ISAC/ISAO中附加情报处理能力的关键功能。去除已知的误报签名并不完美,源信息中总是存在潜在的不一致。一些威胁针对流行或关键业务网站,这意味着一些与恶意行为相关的IOC实际上可能非常“不幸”。由于初始提取是完全自动化的,因此需要实施自动化以过滤掉潜在的恶意IOC,如果它们被自动阻止,则可能会影响操作。这些被认为是“非常令人遗憾的”,必须通过其他方式进行评估。在这方面,ISAC/ISAO等以社区为中心的共享组织的力量可以显着改善流程。然而,一些与互联网服务提供商相关的内容,例如互联网服务提供商的IP地址,也可以轻松维护其重要的网络服务,即使它们对社区的影响在全球范围内并不广为人知。确定“无悔”政策的指标一旦已知的误报被消除,一个自动化系统将准备好对IOC进行评分,以根据组织的政策和定义的风险承受标准识别极不可能影响运营的错误。此步骤的关键是了解此类恶意IOC通常共享但授权IOC不共享的共同属性。一旦确定了这些属性,下一步就是找出在何处以及如何访问有关该属性的信息,以便为IOC做出此决定。然后可以通过自动化方法访问此信息,以根据指标类型通过一些快速查询来评估“无遗憾”评分指标。这些查询可能包括但不限于:域名年龄:新注册的域名不太可能是关键资产;映射域的数量:历史上已解析为一个或两个域的IPIOC,即使驻留在共享基础设施上也不太可能通过Internet迁移到关键资产;已知的恶意行为:恶意文件通常具有由分析软件标记的合法文件所没有的特定特征;分析师审查的IOC:如果由组织的分析师或威胁建议共享可信来源,高度相信IOC是恶意的,并且IOC出现在这个过程中,应该被标记为“无遗憾”,因为它很可能有恶意;不能忽略不满足这些检查的IOC。相反,它们是威胁情报分析师将研究的(现在小得多的)情报库。如果分析师确定IOC确实威胁恶意活动,则IOC可以再次进行分类过程并被标记为“分析师已审查”。为网络防御源准备指标一旦自动化识别出满足“无悔”政策的IOC,它就可以快速将每个IOC转录为可共享的格式,例如结构化威胁信息表达(STIX)标准。用于确定IOC为“低遗憾”的信息也应包含在IOC的机器可读数据对象中,以便接收方无需重复信息共享组织执行的步骤。与社区共享一旦IOC被正确格式化,自动化系统就可以通过机器速度传输机制共享数据,例如可信情报信息自动交换(TAXI)协议或其他可接受的机器速度社区采用的传输机制。无论采用何种共享机制,确保接收方接收到所有相关上下文至关重要。结论使用“无悔”策略可以从许多CTI的运营成本中提取价值,而这些运营成本目前被网络防御运营所忽视。它不是灵丹妙药,也不会捕获从CTI的积极分析中得出的见解,但它可以提供可操作的数据,社区成员可以在其安全操作中使用这些数据来破坏针对其网络的恶意活动。简而言之,“无悔”策略就是针对系统面临的所有网络威胁进行有针对性的特征提取。都不会对系统的正常业务造成很大的影响,所以叫做“无悔”。在处理方式上,“无悔”策略的价值在于低冲击下的自动处理,因此对实时性有更好的支持,有利于威胁的快速检测和响应。
