NSC2015方興:Threat Intelligence 信息還是情報?
責編:penggao |2015-07-01 16:06:46至少這位同學回答的一點,就是狡猾,狡猾是帶有隱蔽的,特定的需要隱蔽,有各種各樣的信息,但我們發現現在談的威脅情報好像不是那么一回事在業界在場上給大家談的威脅情報,統一的IE,統一的樣本,把它們叫做威脅情報,這是怎么回事呢?其實在情報學當中本身就有兩個學派的爭論,一是圖書館情報學LIS,還有一個IS情報學。19世紀情報學剛開始產生時就開始有了這樣的流派,這時候大把情報描述成,情報是信息,針對特定用途對它傳遞有價值信息或知識。
到二戰之后,它的發展發現定義遠遠不能滿足現實,拿到各種各樣的信息反制對手,不僅要猜測各方面,比如諾曼底登陸,或者在哪兒登陸,這不是知識可以告訴我們的東西。現代情報學對情報重新進行了定義,信息是原料,情報是產品,情報是我們基于信息并且加上人工自然推測,人智能在里面,最后生成的對一個東西的分析,包括一些預測在里面,把這些稱之為情報。在這當中可以看到,中國的情報在這個定義是在走反方向的。1992年科委有個情報司,但1992年叫科技信息司,他不認為是情報,認為情報是信息。
反觀國外,一開始成立所有的學校叫LIS學院,但90年代大量倒閉,因為培養出來的學生不能滿足現代情報學的工作,所以他的情報學基本都關閉了,只有部分轉向以LIS描述為主的情報,可以看到整個情報學的發展已經從信息真正往情報方向發展。所以,在國外產生兩派新的情報學,把傳統情報學,以知識定義的情報歸之為傳統情報學,這一排強調競爭強暴學,包括“9·11”事件之后美國興起了情報與安全信息的情報學分支。傳統情報學強調的是找知識,給我這么多信息,我把最有用的信息找出來就可以了,找不到我也不會預測它,推測它。
情報學里強調情報是幫助組織獲得競爭優勢的,所以它對的是你決策這一層。安全情報當中,不僅是贏得對抗的優勢,因為在競爭情報學當中你是有對手的,情報與安全的情報學當中也是有對手的,但在傳統的情報學當中它不會描述你的對手。在核心工作上就有了很典型的差異,傳統情報學強調我要把有價值的信息給找到就OK了,我只是找。但是競爭情報學,情報與安全學強調預測、決策,情報的使命是幫助預測一件事情,補充組織上層做出合理的決策,情報與安全信息當中,“9·11”之后更強調取證,怎么印證一個事情需要取證的手段,所以工作上就有很大的區別,傳統情報學找到知識之間的關聯就完成任務了,但在競爭情報學當中首先競爭的關聯要首先信息有序化,形成有組織的關聯,最重要的工作是做信息的分析,信息分析之中把人的工作合理地猜測、預測,把各種線索之間進行關聯,進行推測、預測,并加以學習,因為你的對手是智能的,不能讓你的系統僵化,要不斷適應競爭對手處置的方式,不斷地去變化。在情報與安全信息學里還增加了模擬驗證,比如我推測這件事情,預測這件事情要做,加上合理的驗證模型,推測這個事情是不是可行的,要取證誰是可能的,要把驗證模型做進去,從整個邏輯鏈條上去分析確實是這樣的,所以,情報與安全信息學當中,“9·11”之后針對反恐分支當中特別強調它很大工作,就是要去關注組織和人的關系描述,包括人的行為和意圖的分析。
特定屬性當中,傳統情報學強調情報是知識,它可以傳遞。競爭情報學包含了更多的隱蔽性,你是為了贏得競爭對手的,你的信息被對手知道了,價值會有所降低,這個價值對A有作用,對B就沒有價值。對抗性,可能一個資源我們要爭奪,最終是為了預測和決策,現代競爭情報學、安全與情報學、情報學當中都強調了情報的更多屬性。現在我們知道威脅情報的定義,最有名的幾家,比如McAfee、FREEZE,強調所有的信息將惡意的樣本庫、情報庫稱之為情報,最多只能叫信息和知識,它們可以說是情報嗎?可以說是,嚴格來說只是傳統的情報,但延伸出有價值的信息,并不能真正幫助組織去做抉擇,幫助組織做預測,不能鎖定你對抗的對手是誰。所有產業都把情報延續著老式的圖書館情報學對威脅情報的定義,他們的威脅情報的定義我認為不適應現代真正的競爭。因為我們現在已經明確知道,安全當中我們最大的威脅是來自于組織的對抗,來自于跟人和組織的對抗,而不是你知道是誰定義的。
這個過程當中,傳統的技術手段已經不能夠應對威脅,你知道這個樣本是壞的,Block掉就可以把威脅決斷了嗎?威脅是意圖成因能力,你階段了攻擊樣本,沒有把攻擊者的意圖,也沒有階段攻擊者的能力,你知道是惡意IP又怎么樣,把惡意攻擊IP阻斷了,人家再換個新的,好的,你沒有識別的IP呢?你能阻截住他嗎?我們傳統對抗的思路是把信息攔做攻擊者會走,實際新的對抗當中你把攻擊者攔住他還會尋求新的路徑。
作為防御者、最終用戶角度來說他首先要知道我的弱點在哪里,不僅知道攻擊者在哪兒,怎么打進來的,你能把整個攻擊脈絡告訴我,做不到,你告訴他攻擊的脈絡有什么用。那么對手是什么樣的,對手在哪里?有什么樣的攻擊能力?對手是誰?核心目標是什么?他有什么意圖?所有產業提出的威脅情報我認為都不能回答用戶這種問題。或許通過這種威脅情報能夠增加一些防御者的能力,但并不能夠真正為防御者解決真正的問題。
真正防御者需要什么樣的問題?防御者和攻擊者最終都是為了真多利益,可以看到他們是競爭對手,競爭對手之上后端都有治理的人和組織進行知識和情報的對抗。威脅方來說一定要摸清楚防御方我想偷你的東西,竊取有價值的東西,破壞你的東西,一定要了解你的價值點在哪里?你有什么東西值得我破壞,你系統的內部構成是怎樣的,我怎樣通過這個脈絡拿到我的東西,你的防御體系是怎樣,你的組織架構是怎樣,可能單純靠技術點攻破不了你,但單純通過組織架構,ATP的思路,人際關系來跳過攻擊。所以,要靠一套攻擊體系。研究ATP的都知道他有專門的團隊做分工的,有專門的團隊做信息分析,發起攻擊。防御者也需要一套自己的防御知識情報和體系,來和攻擊者進行對抗。從入侵事件當中你把他Block不是最佳的方案,要從入侵事件里要找到你最原始,被開始被攻入的點,最弱點在哪里,攻擊者有什么攻擊手段你才能應對它。你Block這一個攻擊,可能攻擊者已經在里面很長時間,已經把你所有資產拿走,這時候一個IP你能知道你的受害范圍和損失到底有多大,最后了解攻擊者的意圖和攻擊者的身份。
如果能幫防御者建立起這樣一套完整的知識和情報體系,才能更加有效對抗有組織的攻擊。
如何達到這樣的目標。防御者角度都是看到單點的信息,一個入侵被我們發現了,一臺受害的主機被我們發現,或者一個攻擊人正在準備攻擊我被發現了,正是單點的線索,一般是換所環節就Block掉,永遠拿不到的后面的信息。我們如果只采取觀測、監測,觀察,就可以把威脅的線路圖拿出來。你要了解威脅者的意圖是什么?攻擊者擁有的能力是什么,只有又有能力又有意圖才能對你形成威脅,有能力沒意圖或者有意圖沒有能力都不能對你構成威脅。為了達到這個目的我們要從線索分析你當前的態勢是怎樣的。
從這一個點上我們可以分析,到底你內部有多少受害,有多少已經被攻擊者控制,已經有多少損失,能不能還原過去,從各個點,關聯的蛛絲馬跡從攻擊者最初的點到現在的途徑給畫出來。最開始攻擊者通過漏洞打過來,對你內部的木馬通過暴力拆借,你把路徑畫清楚就可以了解過去的路徑在哪里?結合更多的線索我們能發現外界的信息都有誰,了解當前的態勢,攻擊者怎么進來的,你才能描繪攻擊者的能力如何,或者攻擊者是誰,現在做了什么?我才能了解他的意圖,攻擊者的能力,他的意圖,在我的內部已經達到什么樣的狀態,你就知道攻擊者下一步有可能會做什么。最后,在風險這個層次上去支撐決策。我們要描述全景的威脅情報細細,要描述基礎情報信息,尤其是IT資產信息,通過IT資產才能準確描述你受害和資產的關系,特別是人員和黑客組織的信息,這個基礎之上,可以在很多點上找到線索,通過攻擊事件被我們發現,一個新的樣本出來了,一個熱點曝光實際他們都是單一的線索。
在單一的線索之上,我們根據各種東西還有可能生成知識,比如一個線索來了被我們驗證是個威脅的樣本,威脅的樣本怎么識別它?變成了一種知識,這個威脅樣本做什么,威脅樣本的行為,包括它的DNA,你應對威脅樣本該怎么做?現在所有的樣本都只能應對到知識層面。情報要做什么?
實際情報要回答清楚三個問題:過去、現在和未來。過去,攻擊者通過什么樣的路徑進來,你得把整個鏈路給了解清楚,怎么達到現在的狀態,現在攻擊者在你的內部控制了多少點,他做了多少事情。最后才是著眼于未來,當中可以看到威脅的知識并不是真正的威脅情報,雖然語義上可以對它進行區分。
情報是有一定動態的信息,知識是一種比較靜態的信息,我告訴你一種知識,這個樣本是壞的,今天可以用,明天可以用,后天也可以用,但情報是可以給你一定時間,動態相關的。之后你可以構建自己一套威脅情報體系,和產業當中的,IBM基于威脅知識生產的體系是有一定差異的,當然知識也是會生成的,這當中通過各種事件的采集和對威脅線索的識別會生成大量威脅線索,在威脅線索之上會做技術的分析,然后生成威脅的知識。但在更多的線索之上把IT資產的信息和黑客組織人員之間的信息進行關聯,就有可能生成威脅的情報。最后威脅的情報應對的是決策,他面向的用戶是組織的高層,在威脅知識上,他應對事件就是和我們現在產業界的情報相應對,它Action處置,從低端到運維層面人員的Action,真正應對層面是組織的上層,這樣只有情報可以幫助組織獲得競爭優勢的方式,你輸出再多的威脅知識,可能會增加你的能力,但并不能真正幫助一個組織在對抗當中獲得競爭優勢。
今天民居發生了爆炸是一起事件,有可能有個小孩玩個大爆竹,有可能是恐怖分子造炸彈失敗了,也可能是民居發生一起煤氣爆炸,我們通過當量分析、各種分析和識別,知道這不是簡單的爆炸,是恐怖分子在小院子里實驗炸彈失敗了發生了小范圍的爆炸。這時候我們要分析線索,把爆炸現場的爆炸物給取回來,我們就可以做威脅的技術分析,技術分析當中我們發現爆炸物當中有個特定的物質和其他所有炸彈的東西研制的,制造特定的物質,我們懷疑恐怖組織說的,通過這個特定的物質可以獲得恐怖組織相關的東西,比如預演這個炸彈有關。這就形成了威脅的指示,通過這個威脅的知識隱身到其他已知炸彈威脅當中,已經襲擊的恐怖分子的炸彈物物質在其中,我們就可以關聯在一起。因為實驗的房子里恐怖分子租了房,留下了租房的信息,我們可以把這個實驗的人和社會關聯信息關聯在一起,再發現這個組織和一些人,這些人正在學習開飛機,因為我們鎖定,可以認定他們是一幫恐怖分子,恐怖分子在學開飛機我們推測他們可能會劫機。了解了這幫人的路徑,這些人不僅在學飛機,他還去圖書館了解世貿大樓多少承重度,飛機多少燃油相關,這時候我們推測出來,這幫恐怖分子追求學開飛機撞五角大樓。這時候我們可以看到威脅的情報,威脅的線索上市,定義點是有不同的。
威脅的知識是靜態的,幫助你描述威脅,它可以對你有一定指導作用的知識,并不因此而過期,我告訴A、告訴B、告訴C,它的價值不會遞減。但威脅的情報則是動態的信息,它不一定指示你做什么,一般威脅是精確的,告訴你怎么識別它,比如有AAA的是壞的,這是一條知識的,而且有時效性,過了一段時間它有可能被驗證,有可能失效。威脅情報包括過去、現在、將來的推測,不是沒有理由的推測,而是郵政局,帶有人工智力相關的推測。
威脅的線索一般是單點的事件,它是動態的,各種線索關聯加入人工的思想就可能變成情報。基礎信息更多描述評述性的東西,比如A是B的,這是一個信息基礎,比如資產是誰,這個組織有什么人什么人。事件和數據就是大量動態產生,我們在事件當中發現威脅的線索,把各種事件、知識、信息關聯起來形成威脅的情報,對威脅當中各種素材進行分析,可以獲得我們一些威脅的知識,最后生成這樣一套情報體系。這里描述了各種知識、情報線索、信息各種區別,比如動態的,靜態的,敘述的還是指導的,面對的信息是微觀還是宏觀的,對應的行動是應急還是決策的,價值形是特定的還是所有的,對應行動是應急的還是決策的。