构建威胁情报程序?小心数据推送过量

标签:IT安全安全技术CTO数据库

访客:12506  发表于:2016-12-27 09:55:51

构建威胁情报程序?小心数据推送过量

如果不能进行处理,网络威胁情报仅仅只是数据。在本文中,我们为IT团队提供了聚焦于相关的CTI以获得更快的威胁侦测及响应速度的技巧。

作为政府承包商的一名前安全分析师,Larry Larsen为联邦机构做的很多工作都涉及威胁情报在网络防御策略中的广泛使用。

“我们发现了来自许多不同来源的针对政府的多种各异的攻击方法,要了解攻击的来源和缘由在运营角度势在必行”,Larsen回忆说。

现在,作为弗吉尼亚州费尔法克斯市的Apple Federal Credit Union公司的首席信息安全官,Larsen拉森应用类似的方法,在威胁情报程序设计用于处理针对他当前雇主的多方面的威胁应用过程中,发现了许多的价值。 “网络安全并非是真正意义上的技术冒险”,他说,“它是在技术环境中的行为风险,这同时也是反情报方法的介入点”。

大多数公司都有防火墙、反病毒软件和其他IT安全工具,这些工具可以接入公司的网络基础设施中。但是(这些工具)经常没办法告诉安全分析师攻击的源头来自哪里,以及是谁正在试图进入后门等这些信息。

“我想知道是谁正坐在键盘前操纵着这些攻击,还有他们到底想要得到什么”,Larsen说,“想要财务数据?还是大规模的信息收集活动?还是想要收集这些信息用于更加具有破坏性的攻击?”

Larsen是通过实施威胁情报容量来帮助引导安全程序技术方面的越来越多的安全技术官员中的一人。据分析公司IT-Harvest的统计,2015年威胁情报市场保守估计总计达1亿9000万美元的收入。但预计今年将高达4亿6000万美元,到2018年将超过15亿美元。

推动市场发展的是大众越来越基于公司所面临的具体威胁情况,面向实际需求在安全方面的集中努力并促成对环境更好的感知聚焦。总部设在三藩和伦敦的Digital Shadows公司便提供此类的服务,量身定制的威胁分析和警报,面向被盗数据和凭证的深度网页搜索等等,这些都通过该公司的SearchLight平台实现。

这是事关“了解你周围发生的事情,你可以弄清楚该做什么,”Rick Holland说,他是长期供职于Forrester Research的资深分析师,现在是Digital Shadows的战略副总裁和SANS Cyber Threat Intelligence Summit的联合主席。

他说:“环境意识需要那些提供并超越公司的边界的内部和外部视野的工具”。

根据Larsen和其他安全专家的意见,我们总结了实施网络威胁情报能力时,你需要牢记的一些原则。

挖掘你的内部基础设施

建立强大的态势感知能力所需的大量数据都是留存在公司内部的。从应用程序日志数据、入侵检测和入侵防御系统、防火墙、终端防病毒系统和其他安全控制工具能够告诉你很多关于即将在网络内发生的问题以及目前已经曝光在你面前的漏洞。位于芝加哥的Alliant Credit Union公司首席信息安全官Bill Podborny指出。

它可以告诉你谁在试图闯入你的网络,什么东西混了进来以及正常的用户和网络行为应该是什么样子的。最重要的,他补充道,你从自己内部网络中所收集的数据,利用安全信息和事件管理或者像Splunk的数据收集和分析工具,能够帮助你识别缝隙和利用你的安全控制范围内的漏洞,据此可以提前做出反应。

公司经常关注使用来自外部的威胁反馈和威胁数据。他们很难将数据放回与自己内部网络所发生的事情联系起来,这只是因为他们没有足够的视野。

“情报的最佳来源是公司自己的数据”,SIEM供应商LogRhythm公司的首席信息安全官James Carder说道,该公司位于科罗拉多州的博尔德市。该公司的统一安全情报平台(Unified Security Intelligence Platform)将日志管理、终端及网络监控、SIEM以及安全分析组合起来。

“如果公司内部没有基础设施的部分,你就无法将数据放在公司内部。如果不关注自己公司内部的数据便无法运转公司”,Carder说。 充分利用入侵数据 创建威胁情报程序的任何方法应该包括收集和分析网络内不同恶意行为的流程,特殊行业内的威胁情报数据,从金融服务、医疗健康到零售,这些行业的威胁数据的来源更加宽广,超出了业务自身的范畴。

“公司必须从实际入侵发生的环境中收集威胁情报数据”,Holland强调。 举例来说,安全公司应该监控和收集有关攻击和僵尸活动的数据,命令和控制流量、恶意软件交付机制和文件泄露。

你需要具备从公司遭遇的攻击中收集IP地址、恶意域名、文件哈希值和其他损害的指标的能力,并且使用这些信息快速识别未来自己网络中相似的攻击目标。

“没有什么相关的威胁情报能比得上实际发生在公司内部的真实事件”,Holland说。 关乎质量,而非数量 有关威胁数据的一项常见误解是需要大量的信息才能真正起到作用。事实上,除非你的公司有足够的人员和资源来筛选大量的数据,从干草堆中寻找一根针,因此你需要关注的是威胁数据的质量,而非数量。

“我不关心是否每天会送来500TB的数据”,Apple Federal Credit Union的Larsen说,“我宁可选择1024KB我实际能用得到的信息”。

订阅威胁信息源的关键是选择那些能够帮助你回答“那又怎么样”问题的内容,Larsen补充道。有太多数量提供即将出现的威胁和威胁源的信息源和服务,但很难辨别你的公司究竟需要哪一款。

多个威胁服务使用来自同一信息源的威胁源的情况很常见。因此,安全运营过程中的大量信息也很可能是重复的。 “公司必须避免尝试订阅所有的‘信息源’”,Holland建议说,“与你的业务、威胁模型所不相关的威胁情报只会压垮你的安全人员和安全控制”,从另一个角度说,相关的威胁情报减少了干扰,因此安全团队必须跟踪和释放掉它们,以便进一步聚焦在较小且更具相关性的事件数据上,他说。

像敌人一样思考

当实际实施网络威胁情报时,采取基于风险的方法。这意味着要理解潜在的目标——你最具价值的资源——以及它们是如何被保护的。还有,有时,做到这一点的最佳办法是像敌人一样思考,据Larsen说。“如果我是坏人,我会盗取哪些数据以及我要怎么得手?”

最终情报的重要性

Forrester Research的高级分析师Josh Zelonis建议,在订阅威胁情报服务时,选择支持自定义服务的供应商具体化需求。

“在不理解公司详细情况以及所面临威胁源的动机前提下,为某人推荐威胁信息订阅源是不负责任的”,他说。 按照Apple Federal Credit Union的首席信息安全官Larry Larsen的话来说,目标应该是尝试和获得“最终情报”来从服务供应商处拓展可能性。“最终情报与单纯的信息之间有很大的差别”,Larsen说,他的公司在SurfWatch Labs处订阅了某一自定义的威胁情报。最终情报是你可以直接立即利用、挖掘和采取行动的信息。

举例来说,获得威胁源是黑网站上兜售的雅虎账户的情报。而完全了解在数据转存中的这些账户属于公司内的48名用户则是另外一件事。

“威胁情报需要与您公司的方式通知战略和战术决策的需求量身定制”,Zelonis说。 “任何没有被浓缩到这个级别的情报就仅仅是数据,如果公司内部没有能力进行浓缩和提取时应该避免这一问题。” -- J.V. 要了解主要的威胁源以及对方所使用的各种技术、技巧和流程是很重要的。对方使用哪种攻击向量?他们在跟踪哪种数据以及原因是什么? 公司所面临的主要威胁来自于不怀好意的内部人员、外部威胁源、国家资助的实体还是犯罪组织?或者还是来源于用户疏忽地点击了来自陌生人邮件中的附件。

“我告诉我的同事们必须保持健康的意识”,Larsen说,“你真的需要告诫你的员工,特别是当他们在进行与网络防御有关的任务时,这需要有意识地反复训练”。

采取基于风险的方法

要让威胁情报能够充分利用起来,需要对公司所面临的威胁造成的风险有敏锐的认识,Ryan Stolte表示。他是位于三藩市的安全供应商Bay Dynamics公司的联合创始人和CTO,该公司提供将用户和实例行为分析集成起来的自动化的平台Risk Fabric。

“威胁和漏洞是一定存在的,某些价值也存在风险”,Stolte说。某些威胁并不具有相关性,因为你的数据或其他资产并没有遭受风险,他补充说,“如果你面临的威胁确实存在,但不会有任何损失,那谁会在意?”

威胁情报程序的目标应该有关保护机密性、完整性以及重要资产的可用性,而无论是网站、支付系统,还是数据库或其他知识产权。需要了解哪些是重要的资产以及如果它们不可用时会造成什么样的后果。 最大的风险是知识产权的丧失,名誉损失还是客户的流失? “每天工作结束后,我都试着去理解。如果我今天要去修复一个问题,如何操作才能够最大程度上降低风险?”,Stolte说,“如果我要修复100个问题,风险又会如何降低,原因会是什么?”

从小规模尝试开始

根据Podborny的观察,当实际实施网络威胁情报时,很容易被数据所淹没。处理威胁情报数据就好像从消防水管中饮水那样,消费和演算来内部和外部信息源所倾倒的大量信息需要有恰到好处的流程控制。

“首先尝试着取得一些成果”,他说。要弄清楚威胁数据会带来什么,以及应该如何处理他们,然后可以从流程中学习并构建。 “一些成果指的是:你能够对能够发生在自己身上的具体事件保持积极的态度,或者如果这个事件从未发生过,你可以证明它能够发生在你身上”,Podborny说。

实施网络威胁情报程序的关键在于要让好的信息以完全的信息进行展示,Stolte强调。

“不要自己闭门造车”,他说,“对待办事项做好计划,先调整部分数据。确保能够先得到一些结果并且依据这些结果可以进行下一步的操作”,他补充说,在推出计划企业范围。

坚持标准 关注新兴的技术和标准。威胁情报程序的成功,依赖于你以自动的方式或通过手工分类实现数据获取和处理数据的能力。 你需要能够解析出数据到某一点上,来看看它是否足够采取行动,或者是否仅仅是供参考,Podborny指出。威胁情报的一大部分工作是关于修正数据,并采对其取适当的行动。

支持信息分享参数的威胁信息源和服务,如结构化威胁情报表达式(Structured Threat Information eXpression,STIX)以及可信自动交换指标信息(Trusted Automated eXchange of Indicator Information,TAXII),代表着信息遵从某一标准格式,且相对于非标准化的数据,更容易自动化和共享。 按Digital Shadows公司的Holland的话说,企业正在意识到要构建成功的威胁情报程序,仅仅依靠技术是不够的。技术在其中起到促成并加速对人的分析的作用。 “我们开始看到面向结构化威胁情报表达式(STIX)此类标准后面有更多的牵引力量,这将推动威胁情报从业人员统一沟通规则”,他说。这将促成执行阻拦、侦测和响应敌人的防御功能身手更加敏捷。

评论(0)

您可以在评论框内@您的好友一起参与讨论!

<--script type="text/javascript">BAIDU_CLB_fillSlot("927898");