压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

過去十年中，網(wǎng)絡(luò)威脅情報(bào)（CTI）取得了飛速發(fā)展，其目的是通過結(jié)合計(jì)算機(jī)科學(xué)和情報(bào)學(xué)科來對(duì)抗網(wǎng)絡(luò)威脅。

由黑客組織實(shí)施的網(wǎng)絡(luò)攻擊是最常見且損失最為高昂的網(wǎng)絡(luò)安全事件，但防御端的檢測(cè)和響應(yīng)卻極為遲鈍，現(xiàn)代企業(yè)檢測(cè)網(wǎng)絡(luò)入侵的平均時(shí)間為206天，而平均緩解和遏制時(shí)間則為73天。

為了彌合這一差距，網(wǎng)絡(luò)安全社區(qū)創(chuàng)造了網(wǎng)絡(luò)威脅情報(bào)（CTI）的概念和方法。威脅情報(bào)的主要目標(biāo)是建立相對(duì)于網(wǎng)絡(luò)威脅參與者的知識(shí)優(yōu)勢(shì)。在戰(zhàn)術(shù)和運(yùn)營(yíng)層面，威脅情報(bào)加快了惡意行為的早期檢測(cè)，最好是在惡意參與者在網(wǎng)絡(luò)中立足未穩(wěn)之前。在戰(zhàn)略層面，威脅情報(bào)為決策者提供了對(duì)相關(guān)威脅環(huán)境的感知和認(rèn)識(shí)。實(shí)際上，威脅情報(bào)是民用和私營(yíng)部門的替代品，用來代替?zhèn)鹘y(tǒng)的情報(bào)共同體（IC）開展防御性情報(bào)工作。

最初受雇于IC的許多技術(shù)專家已經(jīng)為威脅情報(bào)供應(yīng)商工作，例如CrowdStrike、FireEye、Talos和Kaspersky。威脅情報(bào)界對(duì)網(wǎng)絡(luò)威脅進(jìn)行公開和商業(yè)化的情報(bào)分析，憑借其深厚的技術(shù)專長(zhǎng)和主題知識(shí)，威脅情報(bào)界在應(yīng)對(duì)未來幾年的網(wǎng)絡(luò)安全威脅方面潛力巨大，頂級(jí)的威脅情報(bào)服務(wù)商某些情況下能夠達(dá)到甚至超過政府情報(bào)機(jī)構(gòu)的能力。

與看上去有些務(wù)虛的“風(fēng)險(xiǎn)管理”不同，網(wǎng)絡(luò)威脅情報(bào)更加實(shí)用，可實(shí)操，且能夠應(yīng)對(duì)高度動(dòng)態(tài)的環(huán)境。許多當(dāng)年的殺毒軟件供應(yīng)商已經(jīng)改變了業(yè)務(wù)方向，成為商業(yè)威脅情報(bào)提供商，提供有關(guān)網(wǎng)絡(luò)威脅參與者的高價(jià)值情報(bào)分析服務(wù)。如今，威脅情報(bào)在日常網(wǎng)絡(luò)安全實(shí)踐中已經(jīng)開始發(fā)揮重要作用。

近日，荷蘭政府高級(jí)網(wǎng)絡(luò)威脅情報(bào)分析師Kris Ossthoek在《國(guó)際情報(bào)與反情報(bào)雜志》上撰文指出，雖然威脅情報(bào)是網(wǎng)絡(luò)安全領(lǐng)域的重要補(bǔ)充，但它仍處于起步階段。威脅情報(bào)面臨的挑戰(zhàn)不僅是技術(shù)和戰(zhàn)術(shù)層面的情報(bào)質(zhì)量和情報(bào)分享問題，還包括方法論和流程問題。

Ossthoek認(rèn)為，雖然今天威脅情報(bào)界已經(jīng)擁有豐富的工具和技術(shù)知識(shí)，但最初的創(chuàng)新腳步已停滯不前，缺乏標(biāo)準(zhǔn)化和方法論，產(chǎn)品或服務(wù)缺乏流程，是威脅情報(bào)融入網(wǎng)絡(luò)安全防御體系的最大挑戰(zhàn)。

以下，是Oosthoek在論文中指出的威脅情報(bào)面臨的六大難題，概括整理如下：

01、CTI缺乏方法論

Sherman Kent的《分析學(xué)》，Richards Heuer的《情報(bào)分析心理學(xué)》和《結(jié)構(gòu)化分析技術(shù)》。許多網(wǎng)絡(luò)安全會(huì)議的演講者都會(huì)提及這些著作和術(shù)語來讓威脅情報(bào)看上有著嚴(yán)謹(jǐn)?shù)睦碚摶A(chǔ)和科學(xué)嚴(yán)謹(jǐn)性。但事實(shí)上威脅情報(bào)大多數(shù)內(nèi)容都是建立在松散的概念之上，并不具備嚴(yán)格的分析能力。如今，大多數(shù)威脅情報(bào)分析都是由警報(bào)和傳入的原始數(shù)據(jù)而不是預(yù)先確定的假設(shè)進(jìn)行輸入驅(qū)動(dòng)的。缺乏方法論導(dǎo)致企業(yè)難以分析每天大量產(chǎn)生的IoC數(shù)據(jù)點(diǎn)與特定威脅環(huán)境的相關(guān)性。另一方面，缺少（基于方法論的）流程會(huì)導(dǎo)致威脅情報(bào)分析癱瘓，尤其是在較小的團(tuán)隊(duì)中。盡管計(jì)算機(jī)科學(xué)領(lǐng)域已經(jīng)提供了幾種支持?jǐn)?shù)據(jù)預(yù)處理的機(jī)器學(xué)習(xí)算法，但將隱性知識(shí)轉(zhuǎn)換為算法可能在未來幾年仍將是一個(gè)尚未解決的挑戰(zhàn)。解決之道在于引入流程，而不是更多的技術(shù)。

02、威脅情報(bào)是共享的，但只是口頭上的

珍珠港事件和911事件都是IC情報(bào)共享的最佳反面教材。由于交通燈協(xié)議（TLP）的限制，CTI的共享更加復(fù)雜。TLP使用交通信號(hào)燈顏色指示是否可以跨信任邊界（組織、信息共享和分析中心[ISAC]）共享信息。紅色限制只向直接參與者分發(fā)，而綠色限制向社區(qū)公開。白色表示共享不受限制。但是灰色區(qū)域（Amber）則模棱兩可：只能在您的組織內(nèi)共享，而特定約束可以由源機(jī)構(gòu)指定。此外，TLP僅適用于人與人之間的共享，不適用于基于計(jì)算機(jī)的威脅數(shù)據(jù)共享，后者依賴機(jī)器與機(jī)器共享的正式標(biāo)準(zhǔn)，例如結(jié)構(gòu)化威脅信息表達(dá)。但是，大多數(shù)威脅情報(bào)數(shù)據(jù)仍以非結(jié)構(gòu)化方式共享。

ISAC（信息分享與分析中心）促進(jìn)了各個(gè)行業(yè)和企業(yè)之間的信息共享。ISAC可以成為免費(fèi)交換優(yōu)質(zhì)CTI的良好來源。但是，ISAC的成功往往只能維持最初的階段，因?yàn)榉窒淼囊庠溉Q于ISAC的規(guī)模。一旦有其他參與者進(jìn)入ISAC，共享效率就趨于下降，因?yàn)閰⑴c者不希望有免費(fèi)服務(wù)。如前所述，這不是技術(shù)問題，而是信任問題。

03、威脅情報(bào)質(zhì)量通常很差

威脅情報(bào)數(shù)據(jù)的種類很多，最常見的形式是IoC失陷指標(biāo)，包含與惡意活動(dòng)相關(guān)的信息，例如IP地址、域名或文件哈希等，其中用作識(shí)別惡意文件的指紋的文件哈希是IoC共享最多的數(shù)據(jù)類型，但價(jià) 值“保鮮期”很短，因?yàn)閻阂廛浖l(fā)展極快。嚴(yán)格來說，IoC本身不具有情報(bào)價(jià)值，因?yàn)樗鼈冃枰c網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)日志記錄上下文相關(guān)聯(lián)。一個(gè)普通的中型組織的IT系統(tǒng)每天會(huì)產(chǎn)生數(shù)百萬條系統(tǒng)消息，其中只有極少數(shù)是由人類分析人員調(diào)查的。基于IoC的檢測(cè)可以促進(jìn)基于風(fēng)險(xiǎn)的優(yōu)先級(jí)，但這取決于IoC的質(zhì)量。如果產(chǎn)生太多的誤報(bào)，將導(dǎo)致分析人員的告警疲勞。

當(dāng)前，大多數(shù)威脅情報(bào)共享發(fā)生在痛苦金字塔的底部。完整的TTP很難以機(jī)器可讀的方式共享。MITRE ATT＆CK框架是朝著正確方向邁出的第一步，但作為一個(gè)專業(yè)領(lǐng)域，威脅情報(bào)仍然需要朝著標(biāo)準(zhǔn)化邁進(jìn)一大步。由于需求大于供應(yīng)， 當(dāng)下許多防御者攝取盡可能多的情報(bào)數(shù)據(jù)，從而產(chǎn)生了信噪比問題。正式的CTI方法論的引入將有助于提高威脅情報(bào)的質(zhì)量。

04、威脅情報(bào)供應(yīng)商的不透明

威脅情報(bào)市場(chǎng)的“水很深”，您知道如何對(duì)供應(yīng)商的威脅情報(bào)質(zhì)量進(jìn)行評(píng)估？他們的原始情報(bào)是如何獲得的？他們的傳感器如何分布，是否存在偏差？

到目前為止，大多數(shù)組織都是威脅數(shù)據(jù)的“消費(fèi)者”而不是“客戶”，它們對(duì)情報(bào)數(shù)據(jù)提供者的方法不僅未知，而且對(duì)它的來源也一無所知。

由于缺乏研發(fā)資源，商業(yè)威脅情報(bào)提供者經(jīng)常將其CTI數(shù)據(jù)外包給競(jìng)爭(zhēng)對(duì)手。網(wǎng)絡(luò)威脅聯(lián)盟就是一個(gè)眾所周知的例子，通過該聯(lián)盟，25個(gè)成員組織每月共享400萬個(gè)可觀察物。商業(yè)威脅情報(bào)提供者結(jié)成聯(lián)盟可能導(dǎo)致某些威脅的報(bào)告出現(xiàn)重疊，而免費(fèi)提供的開源威脅情報(bào)在很大程度上沒有這種問題。對(duì)于許多從業(yè)者來說，這種重疊是未知的，并且由于商業(yè)情報(bào)的高價(jià)位，在實(shí)踐中很難識(shí)別。

05、CTI過于偏頗

從商業(yè)角度來看，情報(bào)供應(yīng)商喜歡專注于大型國(guó)家行為者，與低級(jí)別的網(wǎng)絡(luò)犯罪行為者相比，實(shí)際上國(guó)家黑客對(duì)企業(yè)和個(gè)人的威脅往往被夸大了。威脅供應(yīng)商報(bào)告的大部分內(nèi)容都集中在國(guó)家黑客這種吸引眼球但實(shí)際威脅很小的子集上，這些威脅可以增加閱讀的趣味性，但與我們的大多數(shù)日常威脅情報(bào)實(shí)踐并不十分相關(guān)。

06、CTI歸屬很難

出于營(yíng)銷目的，全球主要威脅情報(bào)提供商熱衷于為各個(gè)威脅組織起各種炫酷的名字。結(jié)果同一個(gè)黑客組織被冠以五花八門的名字，給歸因帶來極大麻煩。例如，同一個(gè)俄羅斯一個(gè)軍事情報(bào)組織被不同威脅情報(bào)提供商起了十多個(gè)名字：花式熊、APT-28、Sofacy、STRONTIUM、Sednit、沙皇團(tuán)隊(duì)、燕尾、典當(dāng)風(fēng)暴、TG-4127、灰熊草原等等。由于威脅情報(bào)界不存在通用的命名約定，導(dǎo)致兩個(gè)問題，首先，實(shí)際存在的威脅數(shù)量在很大程度上被高估了。其次，缺少命名約定會(huì)使情報(bào)共享變得復(fù)雜。同一黑客組織的每個(gè)不同名稱都是一個(gè)額外的數(shù)據(jù)點(diǎn)，使推理復(fù)雜化，還會(huì)增加信噪比。

參考資料

Ponemon研究所，“ 2019年數(shù)據(jù)泄露成本報(bào)告”，密歇根州，2019年：
https：//www.ibm.com/security/data-breach

外交關(guān)系委員會(huì)，“網(wǎng)絡(luò)運(yùn)營(yíng)跟蹤器”：
https：//www.cfr.org/interactive/cyber-operations/export-incidents？_format = csv

Gartner，“安全威脅情報(bào)產(chǎn)品的Gartner市場(chǎng)指南”，斯坦福，2019年：
https：//go.eclecticiq.com/gartner-market-guide-to-cti-2019

Erick Mandt和Robert M. Lee，“在主動(dòng)防御中利用威脅情報(bào)”，SANS DFIR峰會(huì)，2016年：
https： //www.sans.org/cyber-security-summit/archives/file/ summit-archive-1492180823.pdf ;

網(wǎng)絡(luò)威脅聯(lián)盟，“關(guān)于CTI——我們的共享統(tǒng)計(jì)數(shù)據(jù)”：
https：//www.cyberthreatalliance.org/about-cta/

Stephen Marrin，《提高情報(bào)分析能力：縮小獎(jiǎng)學(xué)金與實(shí)踐之間的鴻溝》（泰晤士河畔阿賓登：Routledge，2012年），第1頁(yè)。21。

Richards J. Heuer，Jr.，《情報(bào)分析心理學(xué)》（華盛頓特區(qū)：情報(bào)研究中心，1999年）。

Richards J. Heuer，Jr.和Randolph Pherson，《情報(bào)分析的結(jié)構(gòu)化分析技術(shù)》（華盛頓特區(qū)，CQ Press，2011年）。

Harm Griffioen，Tim M. Booij和Christian Doerr，“網(wǎng)絡(luò)威脅情報(bào)源的質(zhì)量評(píng)估” ，第19屆應(yīng)用密碼學(xué)和網(wǎng)絡(luò)安全國(guó)際會(huì)議論文集，2020年。

Aviram Zrahia，“網(wǎng)絡(luò)安全供應(yīng)商之間的威脅情報(bào)共享：網(wǎng)絡(luò)，Dyadic和代理視圖”，《網(wǎng)絡(luò)安全期刊》，第1卷。4，No.1（2018）。