威脅情報:突破企業安全能力上限的“魔戒”
責編:gltian |2020-06-08 11:28:05如果把企業比作球隊,那么安全能力的下限——軟硬件安全體系,決定你能否保級,而安全能力的上限——教練和情報工作,決定你能否晉級或奪冠,一球成名還是“突然死亡”。今天,沒有人再懷疑威脅情報的重要性,但是在威脅情報的概念、實踐和運營方面,企業界依然存在一些誤區和難點,例如過于依賴供應商而不是“與業務共生迭代”、缺乏建設評估標準、威脅情報與安全運營體系難以形成閉環等等。以下安全牛邀請到H3C攻防團隊梁力文,就威脅情報如何定位、如何規劃評估、如何選型等關鍵問題展開探討:
2019年底,一場突如其來的疫情讓全國陷入危機,新型冠狀病毒也成了百姓聞之色變的詞語。如何確診、如何看待第一代核酸檢測的高漏報率、為何提倡物理隔離、如何進行交通管制… 作為網絡安全從業者,為疫情揪心的同時,又覺得這些跨領域的命題是如此熟悉!因為在賽博空間,我們幾乎每天都會面臨類似的事件… 主機中毒、開始感染、迅速斷網隔離、線下殺毒、同時搜尋高可疑目標、對其升級加固、最后對事件還原、路徑追溯、總結復盤…情形何其類似!我們也看到,這次全國疫情攻堅戰中,大數據技術在人員擴散監測、疫情流向、治療資源精準投放中也發揮了巨大的作用。那么,作為大數據安全典型代表的威脅情報,又是如何幫助企業免于感染、甚至提前預警、主動反制的呢?具體的,它如何與態勢感知系統一起,做到全網有效監測、繪制疫情地圖、預測疫情走向、回溯感染路徑的呢?下文,我們將一起探討。
從2013年Gartner為情報給出定義,到今天,威脅情報也不算新鮮詞匯了。從甲方公司嘗試威脅狩獵、行業聯盟如火如荼,到情報人才的招聘價位上都能看出其熱度有增無減。的確,大部分企業也認同在安全態勢日益復雜化、動態化、常態化的今天,靜態、單層的防御已經不再有效,轉而尋求動態的、主動的防御,情報就是其中一種。
不少企業開始建設邊界+終端+管道+大數據多位一體的防御戰線,情報作為大數據安全的典型代表,能充分拉高整體安全防御的天花板,通過加強未知威脅的發現和防護能力,縮短攻擊檢測和響應周期、 提升企業安全分析水平的價值是被充分認可的。但具體落實到如何選擇、怎樣發揮價值、誤報的解決和處置,仍是企業客戶的困擾。今天我們從情報的概念開始,來嘗試解決和探討這幾個話題。
【是什么】威脅情報知多少?
與安全界的很多術語一樣,“威脅情報”也是從軍事領域泊來的,這里用《辭海》對情報的解釋,來代替Gartner 2013對威脅情報的定義可能更好理解:情報即“獲得的他方有關情況以及對其分析研究的成果”。安全情報也一樣,都是主動了解、分析對手,并對其重要關鍵信息確認、加工后的產物,最終的目標是指導決策,這也是“情報”不同于“數據”和“信息”的價值。
威脅情報可以分為戰略情報、戰術情報和運營情報。其中戰略情報比較寬泛抽象,多以報告、指南、框架文件等形式提供給高級管理者閱讀,側重安全態勢的整體性描述,以輔助組織的安全戰略決策。戰術級情報則泛指機讀情報的收集和輸出,多以IoCs(Indicators of Compromise)的形式輸出,如某個木馬的C2服務器IP地址、釣魚網站的URL或某個黑客組織常用工具hash…;運營情報是建立在對戰術級情報進行多維分析之上而形成的更高維情報知識,如銀行的哪些客戶信息已經外泄并被利用于業務欺詐、某個APT攻擊的殺傷鏈是怎么構成的、其影響面等,主要用于制定針對性的整體防御、檢測和響應策略。
從類別上,又可以分為漏洞情報、資產情報、事件情報。從內容上分,包括IP地址情報、域名情報、惡意軟件情報等。至于交付方式,可以有結構化文檔交付(如漏洞/樣本/APT事件分析報告)、人機界面交付(如提供查詢和溯源) 、API接口交付(主要與其他平臺對接)和Feed交付(安全設備本地集成的主流方式)等。
從應用領域,又可以分為:機讀情報(MRTI)、人讀情報(PRTI)、畫像情報和知識情報四類。其中機讀情報應用最廣,基本已經被各大乙方安全廠商在設備中集成,多以IoC或者Yara的形式存儲。人讀情報的格式比較寬泛,包括安全公告、漏洞預警、病毒/APT分析文章都屬于這個類別。畫像情報則是介于機讀和人讀情報中的一種,通常用結構化的標簽和非結構化的備注來描述,針對單一的威脅、資產、漏洞、事件進行分析形成的知識集,也可以加入場景標注。而知識情報的提法主要是針對態勢感知、SOC、SIEM類平臺產品的,平臺內置的先驗規則如關聯規則和知識圖譜都屬于這一類。
總結:目前最普遍得到應用和分享的,還是以機讀情報為代表的戰術情報,通過IoC(病毒hash、C&C域名、IP地址等)呈現和集成。
【為什么】縱深防御可否代替情報?
答案是不能。前文提及,搭建四位一體的安全防護體系、積極轉型主動防御、充分調動云管端和外腦的力量是我們信息安全建設的目標,除此之外,還有幾個更樸素的原因:
01、設備告警懈怠
大量的安全設備產生的海量日志可能導致運維人員疲于應對,反而忽略了嚴重的失陷事件;而威脅情報的價值之一就在于一些情報的命中的確是失陷的鐵證。運維人力跟不上告警處置速度時,簡單的決策就是盯著情報日志優先處置,高質量的情報的確能很大程度節省企業安全運維投入的開銷。
02、安全防御盲點
即使近年各行業整體信息安全體系建設水位大幅提升,裸奔的單位沒有了,靜態的防御上去了,但死角依然存在。內網無人看守、邊界不清晰、策略太老舊…在這幾年大大小小的護網演習中,攻不破的堡壘還是少數,更多的企業還是在層層防御下被不自覺的突破了。如何有效彌補管道和端點防御的疏漏?如何在損失發生前預警,在危害造成后溯源反制?代價最小、最行之有效的,就是部署威脅情報,它與固有的安全體系/產品能充分融合,不強制要求組網變更,能迅速形成云端+本地+管道的主動防御能力覆蓋。
03、新型對抗層出
從黑產到APT,我們的對手經歷了組織、目標、武器、技戰法的多次迭代,我們便不能停留在十年前的防御水平。不可避免的漏檢情況有很多,包括廠商或者客戶沒有及時更新先驗規則、以及越來越多的無文件攻擊無法用傳統引擎檢測的情況,一些惡意代碼也通過混淆、逃逸和沙盒對抗來避免動態調試。威脅情報的工作機制正好彌補了這個盲點。(這里不是否認傳統安全產品和特征庫技術的作用,實際上,多種防御方法和手段都有其不可替代的優勢,被動防御和主動防護是依賴共生而非彼此淘汰的關系)。總結:威脅情報能有效解決告警懈怠、代表企業安全主動防御的華麗轉型,并能有效彌補傳統引擎無法檢測新型攻擊的短板,實屬企業信息安全建設之必備利器。
【如何用】威脅情報與安全設備,1+1>2
再好的內容都需要有工具載體才能被廣泛利用,除了少數單位有自建SoC/SIEM的能力而自行采購情報之外,多數情況下威脅情報還是需要安全設備/平臺作為載體來進行價值體現。
01、主流方案——本地Feed集成+云端查詢
機讀情報目前已經有了國標,廠商如果遵循統一規范,很容易在不同的設備間進行兼容。主要的覆蓋手段可以通過網絡設備和安全管理軟件內置集成,以達到管道側的檢測覆蓋和全景視角上的關聯分析。也可以在EDR上集成,打造云管端三重覆蓋的主動防御體系。Feed(IoCs)在不同產品的集成策略各有側重:設備側由于實時匹配性能有限,本地集成的Feed的原則通常會考慮時效性、破壞性和準確性,兼顧流行度。可以簡單理解為“重封堵,輕分析”。態勢感知平臺正好彌補了這一問題,大數據集群的架構優勢,可以容納更大的情報規模和更豐富的屬性字段,最大程度支持研判分析,以及進一步的知識圖譜匹配。此外云端情報中心內置的海量情報可以用作手工的查詢,提供更加豐富的畫像內容和人讀情報,支持深度分析和溯源。云端情報中心可以用內置鏈接的方式與設備或者監控平臺進行關聯。值得一提的是,相對于傳統特征庫一到兩周的更新頻率,情報feed的更新更快,云端甚至可以做到隨時更新。關鍵時刻,實時動態刷新的情報信息對攻擊的及時掣肘有決定性的影響。
02、典型案例——情報驅動的自適應安全體系
在具體使用場景中,也可以設計豐儉皆宜的聯動處置方案。最簡單的是情報在管道設備如NTA/IPS/NGFW中集成后,對來往流量關鍵KEY進行IoC匹配,視匹配結果近源或者多點封堵。
更有效的用法,則是借助態勢感知全景感知的能力,聯合上下文情報來完成全網聯動響應。舉個例子,某企業態勢感知通過分析探針日志結合情報匹配上報事件,網內一臺主機已被感染,外聯域名指向木馬a,更多情報顯示a是知名遠控家族A的一個變種,歷史情報表明感染A家族后會迅速展開內網掃描,利用老舊瀏覽器漏洞進行攻擊,進一步下載木馬程序,安裝DDoS后門,并造成對外網的DDoS行為。
同時該病毒只感染指定版本的Windows機器,不影響Linux操作系統;此時針對這條情報可以做出有效預案,在經驗時間窗內盡快行動,聯動EDR對受害機器進行斷網隔離,結合漏掃結果對符合感染條件的機器進行補丁升級/端口封堵、聯合管道安全設備增加特征以切斷橫向傳播,最大程度減小對現有業務的影響。甚至依賴態感系統的日志關聯分析,還原攻擊路徑、繪制疫情地圖,并對可能的感染趨勢進行預測(結合滿足感染的技術條件)。
進一步還可以通過詳細研讀TTP情報,對發起攻擊的黑客團伙技術背景進行掌握,了解其攻擊意圖和作戰手法,行業CSO或許需要據此進行下一步的資源分配和戰略決策。該場景對探針的密度\質量以及態勢感知關聯分析和知識圖譜等底層能力也有一定要求。
綜上所述,威脅情報在安全整體解決方案中的應用,將安全防御體系中對單點日志的關注,轉變成對攻擊技術、攻擊向量、攻擊面的研究。對攻擊的提前發現和反制有絕對的意義。
03、內化內生——情報的場景化融合是方向
Gartner在威脅情報用例中指出,當組織成熟度達到中高級,就應該將威脅情報用例由基礎的情報消費推向更高級的本地情報生產,以更精準的、更好的服務于組織業務發展。情報的場景化,個人理解有兩個方面,廣義上的指場景化標簽,由各行業、企業上報,情報機構進行分析標注;狹義的場景化指企業內部,情報在部署、調優中,不斷與業務磨合,達到內化共生的理想狀態。
為什么要場景化,其實很好理解。由于體量龐大是威脅情報的典型特征,全球的情報數據每天達到上億的規模,任何設備產品和企業都不可能如數拉取、全部匹配。如果不在組織中自學習、自生產、自驗證,則情報可能就是一堆無關的數據(試想,金融場景的情報,在工控行業可能發揮的價值寥寥,而客戶卻要為情報的規模和海量告警買單)。場景化就是讓威脅情報在企業內部進行“消費”和“生產”的循環,甚至與網絡設備、安全防御設備的的聯動,落地的好,基本就本著企業內部的安全自洽去了。在上一個場景中:態感上報一臺機器中毒的同時,針對對這臺中毒機器自身地址、外聯C&C域名、相關橫向移動利用的漏洞、暴破使用的端口、協議等做出的反應,也對應了該企業場景化情報的提取過程,這種情報,應該提高命中優先級,加強監控,并通知上級/同級單位提前防范,進一步的,專業安全團隊介入對樣本進一步的關聯分析,或在重繪攻擊路徑中發現的新的投遞載荷、新的外聯地址、樣本hash,釣魚郵箱,都可以作為內生出來的新情報,一方面繼續反哺到情報系統中,高優先級下發匹配,另一方面,也可以上報ANVA等國家情報機構,或行業開源共享,作為對整個情報生態圈的貢獻。
場景化情報可以在事件解除后手工老化,也可以一段時間內保持存活。如果說威脅情報的采集使用屬于“知彼”,場景化落地需要“知己”,只有做到對外了解攻擊者,對內了解自家業務,知己知彼使用情報才能發揮其最大價值。
一句話總結:威脅情報是安全能力在不斷演進中的能力疊加,讓企業主動安全防御更高、更快、更強。
【怎么選】威脅情報建設的評價標準
在威脅情報的獲取渠道上,大家也各顯神通。除了少數有專業安全攻防和病毒分析師的團隊具備自研潛質外,多數企業還是通過開源社區獲取、業內交換和商業購買來獲得。那么如何衡量威脅情報建設的好壞呢?威脅情報的終極目標是指導響應,因此,建議從四個維度來設置評價標準—— 延遲、精度、運營、閉環。
情報的時效性是相對短暫的,根據Fire HOL的數據顯示,78.89%的blacklist_net_ua IP在26小時后被刪除,76.81%的atlas_attacks IP 48小時后被刪除。對于這種短則數小時、多則兩三天就老化的數據,疏于維護也會導致情報質量的大幅降低。其次是高精度,只有黑/白的情報是不可解釋、無法運營的。不知道該事件具體屬于什么家族,沒有進一步的關聯分析信息,對事后的處置、溯源,都將產生極大的影響。情報的有效性也是精度的一個范疇:一個掃描器的IP,如何設置老化時間?一個水坑或廣告件下載鏈接,能否據此給IP或域名判黑?雖然情報只是提供失陷指標,對誤報有一定的包容性,但也不能因為情報的引入,讓一個在日志中疲于應對的運維又陷入假陽性事件分析的泥潭中。考慮到本地化情報承載的規模,機讀情報可以只簡單的按照STIX/TAXII 或者國標(《信息安全技術網絡安全威脅信息格式規范》)對情報描述、家族歸屬和時效性進行簡單集成。進一步的TTP(戰術、技術、過程)、詳細信息、黑客畫像等可以到額外的情報溯源產品上實現,但同樣需要保持高精度、高準確度的水平。
可運營、能閉環是對企業安全整體建設和運營成熟度提的要求,類似看完病得開藥、漏洞跟進響應后必須修復一樣,情報命中之后的事件分析、處置加固、分析溯源、甚至做完聯動策略,事件才算閉環。可運營也依賴于情報精度,一個情報命中后,現場運維人員基本沒有能力和精力去分析家族信息,制定下一步排查計劃的。
目前可以獲取情報的渠道比較多,包括專業情報廠商購買、開源情報社區拉取、以及加入一些行業聯盟進行共享和交換,但過于開源的渠道也可能導致參差不齊的質量,因為數量龐大到無法抽檢、衡量。同時,由于各家情報廠商在專業領域優勢和積累的差異,導致覆蓋側重點不同,只靠單一來源提供有價值的威脅情報基本是不可能的。
一般情報庫會選取國內外多個來源的數據,結合自研、商業合作、共享交換等形式,整合CERT/ANVA、CNNVD、VT等數據,并提供全球情報整合平臺,可以根據客戶需求定制拉取,并正基于廠商、行業、黑客組織進行標記,提供更多的篩選標簽。攻防團隊的專業分析師會對情報進行覆蓋率和準確性進行再一次的研判調優,并在各行業實驗局、公司自有網絡內部署充分驗證后,再將數據分發給安全防御設備和態勢感知上集成。
總結
威脅情報最高價值在于業務共生、自我迭代,情報的有效運營,需要依靠流程、自動化+人的共同保障,需要企業客戶、安全廠商和情報供應商一起努力。如果情報的生產和消費脫離用戶實際場景的多樣化檢驗,那么威脅情報還會一直停留在乙方虛假繁榮而甲方飽受質疑的層面。我們希望情報發揮的效果,是“研判溯源有依據,全網聯動可落地”,這就不光關乎威脅情報的規模和質量,而是人、設施、技術、流程全方位的支撐,是長期的、在網的、多方位的磨合。網絡安全體系建設從合規到實戰從不是一日之功,所幸我們已經在路上。