碳基体

奋斗在产品安全第一线的安全妹子
29
07

威胁情报是个啥


一、什么是威胁情报

什么是威胁情报,其实安全圈一直在使用着它们,漏洞库、指纹库、IP信誉库,它们都是威胁情报的一部分。而对我而言,情报就是线索,威胁情报就是为了还原已发生的攻击和预测未发生的攻击所需要的一切线索。


以web攻击为例,有以下线索

IP

IP用于提供攻击源信息。僵尸网络IP?扫描器IP?云服务IP?CDN IP?搜索引擎IP?恶意爬虫IP?安全公司IP?恶意代理IP?Tor匿名网络?

这块信息非常重要,成本低,产出快速,例如通过IP发现伪装搜索引擎的360扫描器们,通过IP发现被Anti-CC冤杀的搜索引擎们,通过IP定位棒子的僵尸网络集群等等


UA

UA可以一定程度(由于可以篡改,不能直观的当作确认信息)提供请求发起者的身份信息。搜索引擎?采集器?扫描器?mobile?PC?

如果Payload在UA字段上(例如shellshock),还可以提供攻击方式信息


Host

域名信息提供了攻击方式信息,是自动生成的恶意域名,还是肉来的子域名。当一个CC的攻击源是来自一个教育网,很大程度可以判断该教育网是被黑后的僵尸网络的一部分。


URL

URL提供了攻击方式信息,对方是在探测阶段还是攻击阶段?对方利用的是什么应用的哪个版本的哪个漏洞?是在进行暴力破解(目录枚举,登陆口爆破)?还是流量型攻击?还是钓鱼攻击?请求是否rewrite过等



ResponseCode

提供了攻击对象所采用的防御信息,是否有WAF加持,是哪款WAF加持,防御的方式是拦截,重定向,还是验证码?


由上可以看出,威胁情报总体上说由两部分组成:

(1)威胁信息:攻击源(攻击者身份IP,DNS,URL等),攻击方式(武器库), 攻击对象(指纹信息),漏洞信息: 漏洞库,

(2)防御信息:访问控制列表,规则(策略)库 


攻击者身份这块非常有意思,如何人肉一个活跃的攻击者是安全从业人员的技能之一。


二、威胁情报的作用

讲了什么是威胁情报,接下来说威胁情报有什么用?威胁情报给谁用?

从个人角度,如果提供代理IP,刷流量的人想要(绕过IP限制);如果提供僵尸网络IP,安全防御者想要,其实攻击者也想要,攻击者要的总是比防御者多,所以Ta们更能达到目的。


从公司角度而言,先说项目之间,做WAF的、做扫描器的、做漏洞管理平台的可以交换漏洞信息,做杀毒的和入侵检测的可以交换恶意样本信息,做业务欺诈的和做网络攻防的可以交换IP信誉信息,这些都是为了做到内部资源(扫描器,WAF,IPS等安全组件)甚至外部资源(开源资源集合、厂商资源交换)的整合(现状是公司越大,这些信息越碎片化),整合才能起到协同防御的效果,才能有能力地进行深度分析去发现真正有价值的攻击事件与高级的难以发现的APT定点攻击事件。


三、威胁情报的产品化路线

上章讲了情报很有用,有用就有产品化的潜质,而产品化的方向大致有两种

(1)威胁情报信息提供

我在商用WAF-impreva SecureSphere分析一文中提到impreva的WAF有个ThreatRadar组件,这就是威胁情报产品化的一种方式,作为传统安全产品(WAF,Anti-malware/DDoS/CC/DNS,SIEM,SOC,IPS等)的支撑插件,而另一种方式(野心更大)就是以企业为目标用户,以数据分析技术为支撑,以威胁情报提取为目的的企业一体化解决方案产品,当然到时候产品会换个更高级的名字上。


(2)威胁情报信息交换

这是目前主流的盈利模式,起码在国外是,国内嘛,蓝海状态。

情报从RSA 2015开始白热化,下面是我根据RSA 2015会议文档关键词画的word-cloud图,看看出镜率有多高

 


四、情报交换组织与标准

情报的交换自然而然需要统一的交换的标准,标准非常多,其中STIX比较流行,更多的信息可以参考威胁情报共享的相关规范和标准淺談以STIX實現網路威脅情報標準化框架

我的网盘上有一份STIX标准描述的Mandiant APT情报信息 ,大伙可以瞅瞅。



五、更多

情报信息交换,除了制定标准方便情报的输出与提取外,还有以下问题需要细聊


1. 第三方情报信息质量评测

忧伤的是,第三方情报数据质量低,原因主要有两个

(1)时效性,这个问题比较突出(恶意域名,IP都是有时效性的),我们需要有定期的清洗机制

(2)情报的来源,来自游戏行业与来自电商业务的情报信息是有明显区别的(攻击点明显不同),我们需要按业务需求来划分情报类型



2. 构建自己的情报系统

嫌弃质量低,自己来构建情报系统,当然这个是有门槛的,最大的门槛是数据源,数据分析领域有一句话 "garbage in,garbage out", 其次是大数据平台构建能力(玩大数据的都是有钱的,处理100T级以上数据,没有个集群怎么办),前两个都属于硬实力,最后是数据分析的能力(这是软实力,作为个人最能控制的,也是我现阶段的专研方向)。


为啥很多女人把减肥当成第一目标,我觉得这也是因为减肥是所有目标中比较控制的目标,起码比找八块肌容易太多


参考:

https://mp.weixin.qq.com/s?__biz=MzA3ODkxNDQxMw==&mid=209765508&idx=1&sn=43280042506175d5a50f6e7a14734681&scene=1#rd (非常赞,NUKE童鞋是的中国“威胁情报”局的扛把子)

https://www.sec-un.org/ (非常喜欢的站点)

来源:碳基体

● 威胁情报● 情报交换● stix
 

评论

© 碳基体 | Powered by LOFTER