Geekly articles weekly

威胁情报-信息安全的现代方法

想象一下您上班了,打开计算机,发现您公司的网站无法正常工作,货物滞留在海关,无法到达仓库。 甚至在计算机屏幕保护程序上,一个陌生的人也提供了一张有趣的图片。 一位会计师来找您,并通知您所有资金已从帐户中提取,您的个人数据使整个Internet感到高兴。 您喝了一杯咖啡然后走到窗前,在马路对面,一家相邻的公司已经在发布您曾经独特的产品。 因此,您美丽的妻子与一个更成功的竞争对手一起飞走了。 至此,了解就来了-您已被黑。


但是您被警告了-必须放置TI。 但是首先,让我们看看它是如何工作和受到保护的。


威胁情报-网络情报,其任务是获取和分析有关当前威胁的数据,以便预测可能的攻击并加以预防。


威胁情报包括以下几个阶段:在单个系统中收集和积累来自各种来源的威胁数据,对其进行丰富,分析和应用所获得的知识。


数据收集与积累


威胁数据是使用以下系统收集的:


搜索机器人 -收集有关Internet上现有站点信息的系统;


沙箱 -一种隔离的环境,用于安全执行可疑代码以检测和分析恶意软件;


监控僵尸网络 -在攻击者的管理服务器控制下的计算机网络;


蜜罐 -分配给攻击者作为诱饵的网段,与组织的主要安全网络分开;


传感器是代理程序,可从各种设备收集有用的信息。


此外,该数据库还使用泄漏数据库进行了更新-敏感信息已非法进入开源。 这可以是来自系统和服务的凭证,电子邮件地址,信用卡信息,密码。


提要(OSINT开源)提供了提要(结构化分析数据)-有关IP地址和域的数据,从这些IP地址和域中分发了恶意文件,它们的样本和哈希。 网络钓鱼站点列表和网络钓鱼电子邮件发件人的邮政地址; C&C(命令与控制)服务器的活动; 扫描网络的地址,以进行清单清点和检测系统版本,服务标语和漏洞; 进行暴力攻击的IP地址; 用于恶意软件检测的Yara签名。


有用的信息可在分析中心,CERT和独立研究人员的博客上找到:发现的漏洞,检测规则,调查描述。


正在调查目标攻击过程中的分析人员会收到恶意文件的样本,其哈希值,IP地址列表,域,包含非法内容的URL。


该系统还从合作伙伴,供应商和客户那里接收有关检测到的软件漏洞和攻击的数据。


信息是从SZI收集的:防病毒软件,IDS / IPS,防火墙,Web应用防火墙,流量分析工具,事件记录工具,反未经授权的访问保护系统等。


所有收集的数据都存储在一个平台中,该平台可以丰富,分析和传播有关威胁的信息。


资料充实


收集有关特定威胁的信息,并附加上下文信息-威胁的名称,检测时间,地理位置,威胁的来源,情况,攻击者的目的和动机。


同样在此阶段,进行扩展-数据扩展-获得已知攻击的技术性附加属性:


  • 网址
  • IP地址
  • Whois数据
  • 被动DNS
  • GeoIP-有关IP地址的地理信息
  • 恶意文件及其哈希的样本
  • 统计和行为信息-技术,战术和攻击程序

分析方法


在分析阶段,将根据以下条件将与一次攻击相关的事件和属性组合:地理位置,时间段,经济部门,犯罪集团等。


确定各种事件之间的联系-相关性。


使用提要时,要根据行业具体情况选择提要的来源。 与特定公司有关的攻击类型; 属性和IOC的存在,它们涵盖了安全系统规则未涵盖的风险。 然后确定进料值,并根据以下参数确定进给值的优先级:


  • 提要数据源-此源很可能是OSINT源中数据的聚合器,并且不提供任何专有分析。
  • 相关性-提供的数据的及时性和“新鲜度”。 必须考虑两个参数:从检测到攻击到分发包含威胁数据的Feed的时间应最短; 消息来源必须以确保威胁信息为最新的频率提供提要。
  • 唯一性-在其他供稿中找不到的数据量。 供稿提供的分析量。
  • 发生在其他来源。 乍一看,如果在多个来源的供稿中找到属性或IOC(妥协指示符),则可以提高其信任度。 实际上,某些提要源可以从同一源中提取数据,而在该源中信息可能无法得到验证。
  • 提供的上下文的完整性。 信息的分类情况如何,攻击的目标,经济部门,犯罪集团,使用的工具,攻击的持续时间等。
  • 基于Feed中数据的SIS规则的质量(误报率)。
  • 数据实用程序-提要数据在事件调查中的适用性。
  • 提供数据的格式。 考虑了处理和自动将其加载到平台中的便利性。 所选的Threat Intelligence平台是否支持所需的格式?数据的一部分丢失了吗?

以下工具用于对Feed中的数据进行分类:


  • 标签
  • 分类法-一组按攻击,威胁传播,数据交换等过程分类的库。例如,ENISA,CSSA,VERIS,Diamond Model,Kill Chain,CIRCL,MISP都有自己的分类法。
  • 群集是一组按威胁和攻击的静态迹象分类的库。 例如,经济部门; 二手工具和漏洞利用; 基于ATT和CK矩阵的TTP(战术,技术和程序),渗透,操作和合并的阶段和方法。

分析人员确定攻击者的战术,技术和程序,将数据和事件强加于入侵模型,并建立攻击链。 考虑到受保护系统的复杂体系结构和组件之间的关系,制定攻击总体视图非常重要。 考虑了多阶段攻击的可能性,这将影响多个主机和漏洞。


申请书


根据所做的工作,进行预测-确定攻击的可能方向,并根据行业特点,地理位置,时间范围,可能的工具以及破坏性后果的程度进行系统化。 根据确定的威胁在实施过程中的潜在危害,对其进行优先级排序。


威胁情报信息可让您检测掉落在Internet上的敏感组织数据泄漏并控制品牌风险-在Darknet论坛上讨论攻击计划,在网络钓鱼公司中非法使用该品牌,披露商业秘密以及竞争对手对其的使用。


收集的知识库用于编写SIS的攻击检测规则,以快速响应SOC中的威胁并调查事件。


专家会更新威胁模型,并根据变化的条件重新评估风险。


结论


这种集成的方法使您可以在尝试渗透信息系统的阶段防止攻击。


在提供SOC服务时,FSTEC要求中包含了一个用于收集和分析有关安全威胁的信息的平台 (第24段)。 此外,威胁情报可以协助国家SOPCA内部交换威胁信息。


利用网络情报专业人员在收集,分析和应用威胁数据方面的经验,IS部门可以将其公司信息的保护提高到适当的现代水平。

Source: https://habr.com/ru/post/zh-CN427129/

More articles:


All Articles