在过去的一年中,网络情报或威胁情报这一话题在攻击者和防御者之间的网络武器竞赛中越来越受欢迎。 显然,主动获取有关网络威胁的信息是非常有用的事情,但它不能单独保护基础架构。 有必要构建一个过程,以帮助正确管理有关可能的攻击方法的信息以及准备该攻击的可用时间。 形成这种过程的关键条件是有关网络威胁的信息的完整性。
威胁情报主要数据可从多种来源获得。 这可以是
免费订阅 ,合作伙伴的信息,公司的技术调查团队等。
处理通过威胁情报流程获取的信息的三个主要阶段(尽管我们作为监视和响应网络攻击的中心,有一个第四阶段-向客户通知威胁):
- 获取信息,进行初级处理。
- 检测危害指标(危害指标,IOC)。
- 追溯验证。
信息获取,初级处理
第一阶段可以称为最具创造力的阶段。 正确理解新威胁的描述,突出显示相关指标,确定其对特定组织的适用性,过滤掉有关攻击的不必要信息(例如,仅针对特定区域),这通常是一项艰巨的任务。 同时,有些源提供了专门经过验证的相关数据,这些数据可以自动添加到数据库中。
对于信息处理的系统方法,我们建议将在“威胁情报”框架中获得的指标分为两大类-主机和网络。 检测网络指示器并不意味着系统会受到明确损害,但通常来说,检测主机指示器可以可靠地发出攻击成功的信号。
网络指示器包括域,URL,邮件地址,一组IP地址和端口。 主机指示器正在运行的进程,对注册表分支和文件的更改,哈希值。
作为单个威胁警报的一部分接收到的指标,将它们组合在一起是有意义的。 在检测指标的情况下,这极大地简化了攻击类型的确定,并且还使检查特定威胁报告中所有可能指标的潜在受损系统变得容易。
但是,人们常常不得不处理指标,而对指标的检测并不能使我们明确地谈论一个受损的系统。 这些可以是属于大型公司和托管网络的IP地址,广告邮件服务的邮件域,合法可执行文件的名称和哈希值。 最简单的示例是经常列出的Microsoft,Amazon,CloudFlare的IP地址,或安装软件包后出现在系统中的合法进程,例如,pageant.exe,一种用于存储密钥的代理。 为了避免出现大量误报,最好过滤掉这些指标,但是,不要丢掉它们-大多数并不是完全没有用的。 如果怀疑系统受损,则对所有指标进行全面检查,甚至检测到间接指标也可以确认这些怀疑。
由于并非所有指标都同样有用,因此,Solar JSOC使用了所谓的指标权重。 按照惯例,检测到文件启动(其哈希值与恶意可执行文件的哈希值一致)具有阈值权重。 检测到这样的指示符会立即导致信息安全事件的发生。 在非特定端口上对潜在危险主机的IP地址的单次访问不会导致IB事件,但是会进入一个特殊的配置文件,该配置文件会累积统计信息,并且检测到进一步的呼叫也将导致调查。
同时,有些机制在创建时对我们来说似乎是合理的,但最终被认为是无效的。 例如,最初规定某些类型的指标将具有有限的使用寿命,然后将其停用。 但是,正如实践所示,当连接到新的基础结构时,有时会发现主机已感染了多种类型的恶意软件多年。 例如,一旦与客户建立联系,就在IS服务负责人的计算机上检测到了Corkow病毒(当时该指标已使用了5年以上),并且进一步的调查显示主机上存在被利用的后门程序和键盘记录程序。
检测折衷指标
我们与各种SIEM系统的许多安装一起工作,但是,落入指标数据库中的记录的一般结构是标准化的,如下所示:
例如,按TIReportID排序指标,您可以找到出现在特定威胁说明中的所有指标,然后单击URLlink可以获取有关它的详细说明。
在构建威胁情报流程时,分析与SIEM连接的信息系统对确定威胁指标的有用性非常重要。
事实是,攻击的描述通常包括各种类型的危害指标-例如,恶意软件的哈希值,所要打开的SS服务器的IP地址等等。 但是,如果通过多种保护措施来监视主机访问的IP地址,则将很难获得有关哈希量的信息。 因此,从它们可以跟踪哪些指标的角度出发,我们考虑所有可以用作任何日志源的系统:
指标类型
| 来源类型
|
域
| 代理服务器,NGFW,DNS服务器
|
网址
|
插座
| 代理,NGFW,FW
|
邮寄
| 邮件服务器,反垃圾邮件,DLP
|
工艺流程
| 来自主机,DB AVPO,Sysmon的日志
|
登记处
| 来自主机的日志
|
哈希值
| 来自主机,DB AVPO,Sysmon,沙箱CMDB的日志
|
从原理上讲,检测危害指标的过程可以表示为:
我已经讨论了上面的前两点,现在更多地讨论了IOC数据库检查。 例如,我们将使用包含有关IP地址信息的事件。 每个事件的关联规则根据指标执行四种可能的检查:
搜索是通过Socket类型的相关指示器执行的,同时检查IP地址和相应端口的总体设计是否符合该指示器。 因为 在有关威胁的信息中,并不总是指示特定的端口,即IP:任何构造都会检查数据库中是否存在带有未定义端口的地址。
在规则中实现了类似的设计,该规则可检测注册表更改事件中的危害指标。 在输入的信息中,通常没有关于特定键或值的数据,因此,当将指示符输入数据库时,未知或不具有确切值的数据将替换为“ any”。 最终的搜索选项如下:
在日志中找到危害指标后,关联规则将创建一个关联事件,该事件标有事件规则处理的类别(我们在“
RIGHT Kitchen ”一文中对此进行了详细讨论)。
除类别外,还将为关联事件补充有关此指标出现在哪个警报或报告中的信息,其权重,威胁数据以及到源的链接。 通过事件规则对所有类型的指标检测事件进行进一步处理。 他的工作可以用以下示意图表示:
但是,当然,您应该牢记例外:在几乎所有基础架构中,设备的行为都是合法的,尽管这些设备正式包含系统受损的迹象。 此类设备通常包括沙箱,各种扫描仪等。
还需要关联不同类型指标的检测事件,这是由于以下事实:异构指标最常出现在有关威胁的信息中。
因此,指示器检测事件的分组可以使您查看从渗透到操作的整个攻击链。
我们建议将以下方案之一的实现视为信息安全事件:
- 检测到高度相关的折衷指标。
- 从一份报告中检测出两种不同的指标。
- 达到阈值。
使用前两个选项,一切都很清楚,而当我们除了系统的网络活动之外没有其他数据时,第三个选项是必需的。
追溯检查折衷指标
在收到有关威胁的信息,识别指标并组织其标识之后,需要进行回顾性检查,以使您能够检测到已经发生的危害。
如果我更深入地研究SOC的工作原理,我可以说这个过程需要大量的时间和资源。 在日志中搜索危害指标长达半年之久,迫使我们将大量指标用于在线检查。 此外,检查的结果不仅应该是有关指标存在的信息,而且还应该是有关攻击发展的一般数据。 连接新的客户信息系统时,还必须检查其中的数据是否有指示符。 为此,有必要不断完善SOC的所谓“内容”-相关规则和危害指标。
对于ArcSight SIEM系统,即使在过去几周内进行这样的搜索也可能花费很长时间。 因此,决定利用这种趋势。
“趋势是一种ESM资源,它定义了如何以及在什么时间段内对数据进行汇总和评估以得出主要趋势或最新趋势。 趋势会按定义的时间表和持续时间执行指定的查询。”
ESM_101_Guide
在负载系统上进行几次测试之后,开发了以下使用趋势的算法:
使用有用数据填充相应活动工作表的分析规则,您可以在SIEM上分配总负载。 收到指标后,将在相应的工作表和趋势中创建请求,并在此基础上做出报告,这些报告又将分布在所有安装中。 实际上,只剩下运行报告和处理结果。
值得注意的是,加工过程可以不断改进和自动化。 例如,我们推出了一个用于存储和处理MISP危害指标的平台,该平台目前可以满足我们对灵活性和功能性的要求。 它的类似物在开放源市场上得到了广泛的代表-YETI,国外-Anomali ThreatStream,ThreatConnect,ThreatQuotinet,EclecticIQ,俄语-TI.Platform,R-Vision威胁情报平台。 现在,我们正在直接从SIEM数据库中进行自动事件卸载的最终测试。 这将大大加快折衷指标的报告速度。
网络智能的主要要素
但是,处理指标本身和报告的最终链接是工程师和分析人员,上面列出的工具仅有助于做出决策。 在我们国家,响应小组负责添加指标,监视小组负责报告的正确性。
没有人,系统将无法充分发挥作用;您无法预见所有小事情和例外。 例如,我们记下了对TOR节点IP地址的调用,但是在客户报告中,我们共享了受感染主机和仅安装了TOR浏览器的主机的活动。 可以将其自动化,但是在设置规则时很难事先考虑所有这些要点。 因此,事实证明,响应组根据各种标准消除了会产生大量误报的指标。 反之亦然-可以添加与某些客户(例如,金融部门)高度相关的特定指标。
监视组可以从最终报告中删除沙箱活动,检查管理员是否成功阻止了恶意资源,但是可以添加有关外部扫描失败的活动,向客户显示攻击者正在检查其基础结构。 机器不会做出此类决定。
代替输出
为什么我们推荐这种使用Threat Intelligence的方法? 首先,当您需要为每种新攻击创建单独的关联规则时,它可以使您远离该方案。 这花费了无法接受的长时间,并且仅显示了正在进行的攻击。
所描述的方法充分利用了TI的功能-您只需要添加指标,这从它们出现之日起最多为20分钟,然后对日志进行全面的追溯检查。 因此,您将减少响应时间,并获得更完整的测试结果。
如有任何疑问,欢迎发表评论。