网安学习——什么是威胁情报?
文章目录
- 1. 什么是威胁情报
- 2. 威胁情报的基本特征
- 3. 威胁情报的用途
- 4. 威胁情报的数据采集
- 5. 威胁情报的分析方法
- 6. 威胁情报的服务平台
- 7. 威胁情报的开源项目
1. 什么是威胁情报
- 情报[1]:指被传递的知识或事实,是知识的激活,是运用一定的媒体,越过空间和时间传递给特定用户,解决具体问题所需要的特定知识和信息。
- 威胁[1]的三要素包括意图、能力和机会,如果攻击者有意图有能力,但是攻击对象没有脆弱性或者说没有机会,那么攻击者并不构成威胁。因此,安全威胁情报应是在先了解自己的基础上去了解对手,即先知已后知彼。
- 威胁情报[2]:2013年Gartner首次提出关于威胁情报的定义:威胁情报是关于现有或即将出现的针对资产有威胁的知识,包括场景、机制、指标、启示和可操作建议等,且这些知识可为主体提供威胁的应对策略。简单来讲,威胁情报就是通过各种来源获取环境所面临的威胁的相关知识,主要描述现存的、即将出现的针对资产的威胁或危险。Forrester认为威胁情报是针对内部和外部威胁源的动机、意图和能力的详细叙述,可以帮助企业和组织快速了解到敌对方对自己的威胁信息,从而帮助提前威胁防范、攻击检测与响应、事后攻击溯源等能力。
- 基于威胁情报的安全防御思路[2]:以威胁情报为核心,通过多维度、全方位的情报感知,安全合作、协同处理的情报共享,以及情报信息的深度挖掘与分析,帮助信息系统安全管理人员及时了解系统的安全态势,并对威胁动向做出合理的预判,从而将传统的“被动防御”转变为积极的“主动防御”,提高信息系统的安全应急响应能力。如果说了解漏洞信息是“知己”,那么掌握安全威胁则是“知彼”。
图 基于威胁情报的安全防御思路
2. 威胁情报的基本特征
- 时效性:取决于攻击意图、攻击能力等,即与攻击者战略、技术和过程等信息相关。对于一般攻击者,威胁情报的时效周期可能只有数秒至数分钟;而对于APT攻击,情报即使在恶意代码注人后数周、数月后才得悉,也具有非常重要的价值[1]。
- 相关性:威胁情报应与使用者的网络与应用环境直接相关,威胁情报是关于场景、机制等要素的知识,这样情报使用者才可以基于这些信息对当前网络安全状态做出准确评估。
- 准确性:威胁情报应是正确、完整、无歧义的,即在描述威胁情报时给出一个威胁指标的定量和定性描述及威胁指示(IOC),通常包括原子级、可计算类、行为类等。
- 可操作性:威胁情报要能够在描述性内容之外,为情报消费者给出针对威胁的消减或响应处置的启发性、权威性的建议。
3. 威胁情报的用途
安全模式突破和完善:
基于威胁情报的防御思路是以威胁为中心的,因此,需要对关键设施面临的威胁做全面的了解,建立一种新型高效的安全防御体系。这样的安全防御体系往往需要安全人员对攻击战术、方法和行为模式等有深入的理解,全面了解潜在的安全风险,并做到有的放矢。应急检测和主动防御:
基于威胁情报数据,可以不断创建恶意代码或行为特征的签名,或者生成NFT(网络取证工具)、SIEM/SOC(安全信息与事件管理/安全管理中心)、ETDR(终端威胁检测及响应)等产品的规则,实现对攻击的应急检测。如果威胁情报是IP、域名、URL等具体上网属性信息,则还可应用于各类在线安全设备对既有攻击进行实时的阻截与防御。安全分析和事件响应:
安全威胁情报可以让安全分析和事件响应工作处理变得更简单、更高效。例如,可依赖威胁情报区分不同类型的攻击,识别出潜在的APT高危级别攻击,从而实现对攻击的及时响应;可利用威胁情报预测既有的攻击线索可能造成的恶意行为,从而实现对攻击范围的快速划定;可建立威胁情报的检索,从而实现对安全线索的精准挖掘。
4. 威胁情报的数据采集
威胁情报是从多种渠道获得用以保护系统核心资产的安全线索的总和,在大数据和“互联网+”应用背景下,威胁情报的采集范畴极大扩展,其获取来源、媒体形态、内容类型也得到了极大的丰富,如防火墙、入侵检测系统(Intrusion Detection System,IDS)、入侵防御系统(Intrusion Prevention System,IPS)等传统安全设备产生的与非法接入、未授权访问、身份认证、非常规操作等事件相关的安全日志等都是威胁情报的数据来源,还包括沙盒执行、端点侦测、深度分组检测(DPI)、深度流量检测(DFI)、恶意代码检测、蜜罐技术等系统输出结果,及安全服务厂商(如FireEye)、漏洞发布平台(如 CVE)、威胁情报专业机构(如CERT)等提供的安全预警信息。
图 威胁情报数据采集来源
5. 威胁情报的分析方法
威胁情报本来只是一种客观存在的数据形态,只有通过先进的智能分析才能被安全防御者感知和利用。关联融合、时间序列、流数据技术等可应用于从海量的网络信息中提取威胁特征,有助于威胁情报的横向和纵向关联分析;聚类分析、协同推荐、跨界数据融合等技术可用于深度挖掘多维线索之间隐藏的内在联系,进而实现对系统的整体威胁态势进行行为建模与精准描述。大数据分析、深度学习、人工智能等新技术则可用于协助构建威胁情报的智能研判与综合预警平台。
图 威胁情报分析方法分类
6. 威胁情报的服务平台
(1) IBM-X-Force
X-Force Exchange能够为全球提供对IBM及第三方威胁数据资源的访问,包括实时的攻击数据。它整合了IBM的威胁研究数据和技术,包括Qradar安全情报平台、IBM客户安全管理服务分析平台。IBM声称该平台集聚了超过700 TB的原始数据,并在不断更新。X-Force Exchange的用户可以共享利用多种数据资源,包括:世界上最大的漏洞目录之一、基于每天150亿起安全事件监控的威胁情报、来自2700万终端网络的恶意威胁情报、基于250亿网页和图片的威胁信息、超过 800万封垃圾邮件和钓鱼攻击的深度情报、接近 100万恶意 IP地址的信誉数据等。
X-Force 平台还包括帮助整理和注释内容的工具,以及在平台、设备和应用程序之间方便查询的API库,允许企业处理威胁情报并采取行动。IBM表示,该平台还将提供对STIX和TAXII的支持,以及自动化威胁情报共享和安全方案整合新标准的支持。
(2) 360威胁情报中心
360威胁情报基础信息查询平台向业界开放免费查询服务,这是国内首个向公众开放的威胁情报数据查询服务平台。360威胁情报基础信息查询平台的上线标志着国内安全威胁情报共享进入新阶段,所有安全厂商、政企用户的安全研究与分析人员在经过线上注册审核后,都可以免费进行查询。
360威胁情报中心具有关联分析和海量数据两大特色。互联网安全的数据是多种多样且相互关联的,但依靠孤立的数据无法进行未知威胁的分析和定性,只有将信息关联起来才能看清整体的威胁态势。平台可以将用户所提交的查询信息关联起来,协助用户进行线索拓展,对安全分析工作提供有力帮助。360 公司基于多年的互联网安全大数据积累,拥有全球独有的安全样本库,总样本量超过95亿,包括互联网域名信息库(50亿条DNS解析记录),还包括众多第三方海量数据源。基于情报中心大数据,可有效帮助用户进行多维关联分析,挖掘出在企业自身或组织内部分析中无法发现的更多安全隐患线索。
(3) 阿里云盾态势感知
阿里云盾态势感知是全球唯一能感知“渗透测试”的安全威胁服务平台,如可以区分脚本小子和高级黑客、识别零日应用攻击、捕捉高隐蔽性的入侵行为、溯源追踪黑客身份等。云盾平台利用大数据,可对高级攻击者使用的零日漏洞攻击进行动态防御,如可以采用新型病毒查杀,并通过爬取互联网泄露的员工信息,实时告警、杜绝黑客“社工”;能够对各种潜在威胁及时识别和汇总分析;能够实现基于行为特征的Webshell检测、基于沙箱的恶意病毒精确查杀等。
7. 威胁情报的开源项目
(1) 安全威胁情报共享框架OpenIOC
MANDIANT 公司基于多年的数字取证技术积累,将使用多年的情报规范开源后形成OpenIOC(Open Indicator of Compromise)框架,它是一个开放灵活的安全情报共享框架。利用OpenIOC,重要的安全情报可以在多个组织间迅速传递,极大缩短检测到响应的时间延迟,提升紧急安全事件响应与安全防范的能力。OpenIOC本身是一个记录、定义以及共享安全情报的格式,以机器可读的形式实现不同类型威胁情报的快速共享。OpenIOC本身是开放、灵活的框架,因此可以方便添加新的情报,完善威胁情报指标IOC。
OpenIOC的工作流程如下。
获取初始证据:根据主机或网络的异常行为获取最初的数据
建立IOC:分析初步获得的数据,根据可能的技术特征建立IOC。
部署IOC:在企业的主机或网络中部署IOC,并执行检测。
检测发现更多的可疑主机。
IOC优化:通过初步检测可获取的新证据进行分析,优化已有的IOC。
OpenIOC推出了IOCeditor和Redline两款工具。IOCeditor用来建立IOC,Redline负责将IOC部署到主机并收集信息进行分析。
(2) CIF
CIF(Collective Intelligence Framework)是一个网络威胁情报管理系统,它结合了多个威胁情报来源获取已知的恶意威胁信息,如IP地址、域名和网址信息等,并利用这些信息进行事件识别、入侵检测和路由缓解等。
(3) OSTrICa
OSTrICa 是一个免费的开源框架,采用基于插架的架构。OSTrICa 自身并不依赖外部的库,但安装的插件需要依赖库。OSTrICa可以实现自动从公开的、内部的、商业的数据源中收集信息,并可视化各种类型的威胁情报数据,最终由专家来分析收集的情报,并显示成图形格式,还可基于远程连接、文件名、mutex等,显示多个恶意软件的关联信息。
(4) CRITs
CRITs 也是一个网络威胁数据库,不仅可作为攻击和恶意软件库的数据分析引擎,还提供了恶意软件分析能力。CRITs 采用简单实用的层次结构来存储网络威胁信息,这种结构具备分析关键元数据的能力,可以发现未知的恶意内容。
参考文献:
[1] 徐锐, 陈剑锋, 刘方. 网络空间安全威胁情报及应用研究[J]. 通信技术, 2016, 49(6): 758-763
[2] https://mp.weixin.qq.com/s/LGOg2EjJ-n6ahOO5G_YcNw?scene=25#wechat_redirect.
网安学习——什么是威胁情报?相关推荐
- 深度学习——从网络威胁情报中收集TTPs
从网络威胁情报中收集TTPs 摘要 为啥要用网络威胁情报 被动防御 & 主动防御 网络威胁情报的概念 何为情报(Intelligence)? 何为网络威胁(Cyber Threat)? 何为网 ...
- 入门网安学习之路第一天
2022年9月17日学习成果 (补昨天的) 了解学习了这个行业的法律法规,以及这个行业的发展 做一个遵纪守法的好网民就可以了 网络安全三要素(CIA) 保密性 完整性 可用性 网安入门术语 黑客 ...
- 网安学习路线!史上最详细没有之一
我经常会看到这一类的问题: 学习XXX知识没效果: 学习XXX技能没方向: 学习XXX没办法入门: 给大家一个忠告,如果你完全没有基础的话,前期最好不要盲目去找资料学习,因为大部分人把资料收集好之后, ...
- 网安学习-Python安全开发
目录 Python学习的意义 涉及相关技术 案例一:IP&Whois&系统指纹获取代码段-外网 查询IP whois查询 案例二:CDN&子域名&端口扫描&交互 ...
- 【网安基础3】从0开始的网安学习3--计算机网络
1 计算机网络的基本概念 计算机网络的定义 计算机网络是利用通信设备和通信线路将地理位置不同,功能独立的多个计算机系统互相连接起来,以功能完善的网络软件(包括网络通信协议.网络操作系统等)实现网络中资 ...
- 网安学习-内网渗透3
目录 #知识点1: #知识点2: #案例1-Prodump+Mimikatz配合获取 #案例2-域横向移动SMB服务利用-psexec,smbexec(官方自带) #psexec第一种:现有ipc链接 ...
- 《网安学习之道》第一季计算机基础18_生成树协议STP
第十八章.生成树协议STP的工作原理和配置 一.目的 1.理解生成树的原理 理解STP的选举过程 问题1.为什么是交换机0的f0/1的端口堵塞? 2.配置PVSTP+ 二.STP概念 生成树协议是在数 ...
- 网安学习(二十五)HTTP协议、HTTS、邮件协议
一.HTTP协议 1.概念 HTTP(超文本传输协议)是用于在万维网服务器上传输超文本(HTML)到本地浏览器的传输协议 基于TCP/IP(HTML文件.图片.查询结构等) 2.万维网服务 采用C/S ...
- 《网安学习之道》预告
最近在看一部电视剧<你安全吗?>.讲述的就是以互联网为基础,游走于网络世界的三剑客,他们虽然性格迥异,但是他们都秉承着'科技 向善'的初心,他们三人一直和网络不发分子对抗,而这其中通过网络 ...
最新文章
- [书目]软件制胜之道:执行的策略
- Android-JNINDK(一)入门
- SIGIR 2021 | AutoDebias:推荐系统中通用的自动去偏方法
- 英雄联盟更新后服务器还在维护吗,英雄联盟今天维护到什么时候结束 11月12日停机更新维护公告...
- Valid signing identity not found解决办法(原有IDP私钥丢失)
- Web 2.0 编程思想:16条法则
- 国家特级数学教授李毓佩:我们欠孩子真正的数学阅读 !
- 数字音视频知识点汇总(二)
- 今天成功的将一个对1,000,000条记录的查询从30'提升到1'以下,庆祝一下
- 基于分位数回归的动态CoVaR计算 案例与代码
- 利用python自动发邮件
- 【入门二】格式化输入/输出
- java输出到窗口_如何将Java打印到窗口
- html中怎么给文字设置动画效果,文字效果怎么设置?
- 微信小程序授权登录详细解析
- 2015年全国大学生电子设计大赛综合测评题
- 华为服务器用户名密码忘记,电脑坏了,腾讯云华为云忘记宝塔面板登陆名和密码怎么办?...
- js:为窗口盒子添加拖拽事件
- 2022年全国职业院校技能大赛网络安全赛卷(中职组)卷6
- Python图像处理(车牌识别)简单