威胁情报101

威胁情报是什么:

一句话概括:威胁情报是通过收集信息来回答特定的问题(who,what,where,when,how or why)
关于可能导致主机或网络系统损坏或置于危险中的人或事物
广义的说,威胁情报就是对网络资产的描述,狭义的说是指痛苦金字塔相关的内容
威胁情报主要用于帮助组织做决策,并了解哪些东西是重要的,哪些东西是不重要的
需要了解情报消费者所面临的问题.

威胁情报的框架:

威胁情报三大框架是:Kill Chain,Diamond Model和ATT&CK
没有哪个框架是最好的,取决于想要实现的目标
钻石模型可以帮助将活动聚集在一起.如果下次再看到这种组合,可以通过钻石模型很容易的看出来这些活动的相似度
Kill Chain适合传达事件发展到什么程度
ATT&CK适合观察对手正在使用哪些方法,在追踪到TTP级别可能很有用.

如何设计威胁模型:

威胁建模是攻击者可能瞄准的组织的交叉点
根据某个APT组织过去的所作所为来分析其对某些组织或单位可能不是很重要(如一个长久以来针对金融行业的组织对于能源行业可能不是很重要)
团队不能专注于所有的威胁,人力和物力成本太高
确定威胁优先级时,与同行交流会更有用.

威胁情报自动化的问题:

威胁情报从根本上来说是一门人文学科.其需要人类理解复杂的和不同的信息.
所以威胁情报总是会有人为因素.导致威胁情报的自动化是比较难做的.

威胁情报应用场景:

现在广泛用于支撑XDR解决方案
威胁情报利用其洞察力提高对组织的保护和相关性,增加安全产品的有效性,减少SOC的警报疲劳

威胁情报周期(黑莓报告):

情报周期:威胁情报周期不是固定的东西,可以根据组织的需求创建不同的生命周期.

  • 规划和方向(Planning & Direction)
    • 主要回答两个问题:1回答什么问题 2谁需要这些答案
    • 对于情报而言,并不是所有问题都是平等的
    • 这些问题很难简单的回答.所以需要聚焦.比如最近三个月公开的,最常见的漏洞是哪些?这个问题非常具体,因为它清楚的描绘了我们所关注的威胁(公开的漏洞),哪个方面(常用的),时间(三个月)
    • 该阶段还需要思考谁将需要这些情报.他们的要求是什么.
      • Strategic:非技术受众,广泛的趋势
      • Tactical:概述技术受众的威胁组织的TTPs
      • Operational:对于技术受众的关于Malware和攻击手法的详细信息
  • 收集(Collection)
    • 知道我们需要寻求的问题以及谁需要回答这些问题之后.我们需要回答问题.此时需要相关的数据来回答.
    • 数据包括内部或外部的,包括如下数据:
      • File Hashes
      • IP Address
      • Domains
      • 政治新闻
      • 历史信息
      • 日志
      • 应急响应报告
      • 博客
      • 暗网
      • 社交媒体来源
      • 在线repos的代码片段
      • 数据转储
        外部数据更容易获得
    • 内部数据则需要更多的时间和跨部门的沟通协作等.
    • 对外部数据的过度依赖可能不会提供组织所需要的洞察力
    • 无论是外部还是内部,收集都应该自动化,在可以自动化的地方都应该让它实现
  • 处理(Processing)
    • 有了数据但还没有准备好被消费.还需要处理数据.需要对数据进行组织,翻译,解码,解密并过滤.准备好可以被分析师所使用.同上,这部分也需要尽可能的自动化
      处理数据时,最终思考的是如何在某个地方提供策划数据集.例如数据的可视化.
  • 分析(Analysis)
    • 我们有了问题,有了受众,有了相关的数据,但是有一个必须需要人类的地方就是分析.这是一个认知偏见所笼罩的阶段,有竞争假设(Psychology of Intelligence Analysis.)和无数的推理方法.
    • 此时需要时刻想着两个问题(规划和方向):
      • what is the question
      • who is it for
    • 编写报告需要平衡时间与准确性和完整性,针对不同的受众
      • Strategic:需要更高的准确性和完整性,更少的时间敏感性
      • Tactical:尽可能的完整,同时尽快交付
      • Operational:需要信息尽可能接近事实,可以容忍缺乏一些准确性
  • 传播(Dissemination)
    • 此时可以交付威胁情报了.其可以是PPT,PDF形式的报告或IOCs根据规划和方向阶段的问题导致不同的交付物.
  • 评估和反馈(Evaluation and Feedback)
    • 最终阶段我们需要评估我们交付的项目.
      • 我们是否提供了我们想要的东西?
      • 它准确吗?
      • 它及时吗?
        这些问题由于处于不同的规划和方向上可能没办法回答
    • 除了评估外还需要对在其他阶段发现的任何问题进行改进以避免重复的失败
    • 对于已经实施的方法,我们在分析成功和失败时可以使用的一个办法是:
      • 对于人才来说团队中的人员是否有相关的所需要的技能
      • 收集数据是否及时的执行
      • 是否有正确的工具来收集数据

威胁情报画像(Google视角):

Google通过对攻击者目的和行为以及技战术熟练度对攻击者进行画像,按照画像的类型分为了以下几类

a. 外部威胁:

  • 业余爱好者(Hobbyists):一般来说,业余爱好者是出于对知识的渴求。他们以娱乐为目的进行黑客攻击,并且可以成为希望在系统中建立弹性的开发人员的盟友。业余爱好者通常会遵守个人道德规范,即不损害系统,不会发生犯罪行为。
  • 漏洞研究人员(Vulnerability Researchers):漏洞研究人员会非常专业地使用其所了解的安全专业知识。 发现安全漏洞可能是他们的全职工作或者是兼职工作,甚至可能是偶然发现漏洞的普通用户。漏洞研究人员通常有动力来改进系统,并可能成为我们的重要盟友。他们倾向于在一系列可预测的披露准则中进行操作,这些准则在系统所有者和研究人员之间设定了有关如何发现,报告,修复和讨论漏洞的期望。按照这些规范进行操作的研究人员应避免不当访问数据,造成损害或违反法律。通常,在这些规范之外进行操作会使获得奖励的可能性无效,并且可能被视为犯罪行为。
  • 政府与执法机构(Governments and Law Enforcement):也就是所谓的国家队,目的一般是情报收集(SIGINT和HUMINT收集)、网络信息作战、执法机构进行内容审查、民族主义者(比如ISIS这种),国家队或多或少的会带着政治目的对系统发起攻击并且以十分精准和娴熟的技战术组合对系统发起难以察觉的攻击。
  • 黑客团伙活动(Hacktivism):破坏业务系统并且植入信息用来宣传某些思想,比较著名的例子就是Sony被黑事件。
  • 网络犯罪团伙(Criminal Actors):利用社会工程学等攻击技术来进行犯罪的团伙,例如,数字身份欺诈,电信诈骗,和数字货币勒索,恶意DDoS等,一般都是经济利益驱动。
  • 自动化与AI攻击(Automation and Artificial Intelligence):2015年,美国国防部高级研究计划局(DARPA)宣布了“网络挑战大赛”,旨在设计一种网络推理系统可以自我学习和运行并且无需人工干预就可以发现软件缺陷,同时开发利用这些缺陷的方修补漏洞补丁。这个挑战大赛说明了攻击者可以借助自动化工具和AI从事以上的犯罪。

b. 内部威胁:

Google按照能够接触到敏感数据和核心代码的程度将内部攻击者划分成了三种不同的类型。

  • 第一方人员(First-party insiders):第一方人员是指出于特定目的而加入公司的人员,通常是直接参与实现业务目标的人员。此类别包括直接为公司工作的雇员、实习生、高管、外包工作人员以及做出关键公司决策的董事会成员等。这类员工往往是大多数内部威胁的发起者,新闻头条都是他们占据的。
  • 第三方人员(Third-party insiders):第三方人员是指可以通过开源代码、第三方SDK等方式接触到公司核心代码和数据的人士,通常是由于外部代码引入所引入的。此类别人员包含第三方APP开发者、开源贡献者、可信内容生产者、商业合作伙伴、合同承包商、供应商及外部审计人员。
  • 间接关联人员(Related insiders):与前两种类型的人员存在信用链或者信任关系的人,如室友、亲戚、朋友等。

威胁情报画像(我的视角):

在业务场景中遇到的一些攻击者.尝试对其进行分类:

  • 网安初学者、爱好者:对“黑客”感兴趣的爱好者。以学习知识,娱乐,装逼等为目的进行的攻击行为。
  • 红队、网安从业者:网络安全行业的从业者,通常会对业务系统进行授权下的测试或红队向的攻击行为。通常在规则范围内,但受限于水平或自由度也可能会引入外部的,未授权的资源(资产,人员等)。
  • 网络监管:政府机构对管辖范围内的企业,单位进行监管等所产生的攻击行为。
  • 网络测绘:一些合规或非合规的网络安全公司进行网络测绘,以提供情报服务所产生的攻击行为。部分公司会在报文头添加公司信息。
  • 黑客攻击:同上面的黑客团队活动
  • 网络黑灰产:同上面的网络犯罪团伙
  • 僵尸网络:被网络犯罪团伙所攻陷的资产,会在正常资产未知的情况下产生攻击行为,但该行为是被黑客用做跳板而不是主动攻击
  • APT攻击:国家队,分为政府招募的和外包商等。同上面的政府与执法机构