威脅情報應用價值之應急響應
作者:星期二, 十一月 19, 20190

作者:天際友盟

 

能夠解決問題的威脅情報體系,才是對客戶有價值的威脅情報體系。

過去四年間,天際友盟的威脅情報方案與能力,已在近百家企業客戶的實際生產運營中,得到了廣泛的應用。其中,除了企業用戶直接使用威脅情報數據或溯源查詢服務之外,通過與各類專業安全解決方案廠商能力結合,將威脅情報的價值間接傳遞給客戶,共同在客戶現場發揮價值,也是威脅情報應用中的一種特有場景。

我們稱之為 Threat Intelligence Inside,TI Inside 模式。

迄今,通過 TI Inside 模式,天際友盟的威脅情報能力,已實現與國內三十多家安全廠商的集成聯動,不僅增強安全廠商原有產品的情報能力,提升了其安全解決方案的綜合實力,也更加貼近企業客戶的實際應用場景,共同為客戶解決實際問題,創造價值。

不同安全廠商的方案,情報的聯動方式也各不相同。本系列將對 TI Inside 模式中的幾個典型場景做分析,展現情報與安全廠商聯動的場景與特性。

應急響應廠商篇

安全應急演練,已被納入許多大型企業的年度例行計劃,基于安全事件的應急響應,也成為許多企業的基本工作流程。同樣,國內各大測評或者標準認定機構,也都會對企業的應急響應流程規范性做定期檢查。

但實際情況確是,企業只是采用了大量的紙質流程、文檔流程,大多數都停留在抽屜里面,并沒有落實到實際生產工作中。思想高度重視,行動完全忽視。

2018 年 Gartner 市場指南的 Digital Forensics and Incident Response Services 中重點提出,已經有很多應急響應服務商利用威脅情報來支撐安全應急事件前和后的調查取證,并擁有結合內外威脅情報分析能力。

Gartner 2018 Market Guide for Digital Forensics and Incident Response Services

Gartner 2018 Market Guide for Digital Forensics and Incident Response Services

Gartner 2019 Market Guide for Security Threat Intelligence Products and Services 指南中也指出,威脅情報能力將會提升數字業務的彈性。

Gartner 2019 Market Guide for Security Threat Intelligence Products and Services

并在Recommendations 部分強調了TI在應急響應中的使用案例和用戶策略,利用多源威脅情報建立自定義特征集合,應急響應團隊還需要發展對當前和未來的威脅進行分析及分享能力。

Gartner 2019 Market Guide for Security Threat Intelligence Products and Services

Gartner 2019 Magic Quadrant for Managed Security Services, Worldwide 文章中指出, 提供 MSSP 的服務商都應該提供威脅情報的服務,縱觀本次評測廠商,也大部分都提供了威脅情報的集成服務。

Gartner 2019 Magic Quadrant for Managed Security Services, Worldwide

在市場分析部分,Gartner指出,MSS服務商檢測和響應部分的核心服務能力中漏洞管理能力, 特別是根據威脅情報觸動的漏洞持續監測能力,依然是很多組織所面臨的挑戰。

 

Gartner 2019 Magic Quadrant for Managed Security Services, Worldwide

中國信息通信研究院 2018 年中國網絡安全產業白皮書中指出,目前我國威脅情報的應用場景,主要集中在安全事件的檢測防御、攻擊溯源以及應急響應,例如通過威脅情報阻斷攻擊,溯源分析查獲證據,輔助事件處置等。

目前,全球各大安全公司紛紛通過有針對性設計的 Playbook,幫助企業客戶實現基于威脅情報的自動化編排響應。IBM 推出 Resilient 產品同威脅情報平臺 XForce 的深度集成;Splunk 也通過收購 Phantom 實現自動化編排的能力;Palo Alto Networks 收購 Demisto 提供抽取網絡層面安全數據。似乎從安全方案的完整度上,都在朝著由 Gartner 提出的 SOAR (Security Orchestration, Automation and Response) 方向,進行技術演進。

日常的應急響應,定期的攻防演練,例行的應急響應演練,安全團隊在持續的實戰中得到歷練,甚至利用網絡靶場模擬演練,參加行業內部組織的紅藍對抗比賽,實現以賽代練。越來越多的企業把關注點放在威脅情報的能力建設中,如何將威脅情報引入現有工作流程環節,無縫對接各個安全管理系統,快捷高效利用威脅情報,輔助并支撐應急響應小組的高效工作

溯源能力是網絡安全團隊考察的重點能力,很多時候我們把精力花在追蹤攻擊者,其實,網絡中依賴自身的能力和實力,去追蹤和捕獲攻擊者是一個比較難的事情。企業客戶可以利用威脅情報技術,對大數據進行篩選和挖掘;定位和找到攻擊來源。利用威脅情報結合安管平臺,進行攻擊者畫像。使用自建或者商業的應急響應流程管理平臺,全流程跟蹤,跨部門協作。

部分企業客戶已經開始投資溯源能力提升,并且在應急響應上有長足進步。

方式1:基于威脅情報的安全應急響應服務單位

目前,國內許多安全應急響應服務單位,已經在使用或者集成威脅情報及本地威脅溯源產品,獲取情報數據和分析事件的基礎信息,在本地建立威脅分析與溯源定位能力。

基于對整個攻擊事件在戰術、技術及過程三個方面 ( TTP) 表現出高級威脅的特征的分析,結合運營級的威脅情報進行復合攻擊屬性標識,安全應急服務單位得以實現主動防御的能力。

行業級支撐安全應急響應的服務單位,可以結合威脅情報平臺,對行業內部的成員單位之間進行情報推送;或在一些園區安全云項目中,形成基于威脅情報的安全響應流程及響應支撐服務能力。

天際友盟可以提供網絡安全威脅的規則類別庫到這些應急響應單位,在現有的類別庫中,增加基于威脅情報的動態列表,后臺通過策略管理平臺或者網管平臺進行更新。在類別庫中提供關聯威脅情報的防護規則或者審計規則,由企業客戶的安全團隊自行決定是否啟用。

案例:某安全服務商,利用天際友盟威脅情報構建SOC服務平臺,為其多家客戶提供安全運營服務。通過發現局部威脅結合威脅情報進行深入分析,梳理出行業威脅和通用威脅,及時部署到SOC平臺中,實現主動防御。其客戶通過委托安全運行的模式,獲得了在攻擊實際發生前即能精準防護的能力,避免了可能的入侵行為。

方式2:基于威脅情報的安全應急響應平臺

天際友盟 Alice 本地威脅溯源產品,作為 SIC 安全情報中心的增強模塊之一,幫助用戶整合內外多源的情報數據與安全基礎信息,建立一整套本地化威脅溯源知識庫,輔以可定制化的可視化溯源檢索與分析系統,使用戶具備在本地進行威脅線索擴展分析與溯源定位能力,協助其完善事件分析與響應處置工作的本地閉環管理。

在應急響應流程中,企業客戶需要戰術級別情報,包括客戶 IP 地址威脅情報、C&C 失陷檢測情報、IOC 威脅指示器等;最終將全面的威脅情報,饋送到企業客戶的安全運營團隊,幫助企業客戶建立完善流程,根據威脅情報及內部資產數據判斷影響范圍和部門。

威脅情報可以與安全應急響應平臺集成,提供 API 查詢接口及數據關聯能力,在企業客戶的統一安全響應工作平臺界面,提供事件檢測、分析、數據泄露、隱私保護、威脅分析等全流程的情報能力;強調威脅情報的關聯性,以及網絡威脅對客戶的影響;判斷威脅情報的時效性,是零日攻擊還是一個老舊系統漏洞的重復利用;攻擊的動態變化,利用的IP地址信息或者采用的攻擊技術,判斷攻擊者是否已經停止攻擊或者改變了攻擊策略。

案例:某安全服務商為企業客戶建立安全響應處置平臺,利用天際友盟提供的威脅情報,在某次遭遇實際攻擊中,在攻擊方發起首次掃描即根據攻擊方慣用的掃描地址、C&C 地址、慣用軟件和技術等,提前布局,捕獲了攻擊者新的攻擊手段,為未來可能發生的新攻擊做好了準備,同時選擇了在適當的時間點(Kill Chain安裝環節)對攻擊實施了有效防護,在其提取CRM系統中客戶信息時切斷了其網絡連接;同時,在提取了樣本后,清除了所投放的惡意軟件,避免了實際損失。

方式3:基于威脅情報的安全服務供應商

多數情況下,威脅情報缺乏持續的跟蹤和反饋,這些發布出去的漏洞及安全威脅告警,實際命中情況和發布后的作用和效果如何,是整個安全生態圈需要關注的問題。持續的運營和改進,這些內容在閉環管理的要求下,反饋和修正其實也需要更多關注。因此,結合威脅情報到應急響應流程中,就尤為重要。

除了考慮威脅情報的關聯性和時效性,在戰略級威脅情報中,威脅情報體系要為企業客戶提供了決策依據。部分企業級客戶,將威脅情報體系和企業自身風險管理系統結合,利用威脅情報判斷動態風險等級,結合威脅情報的權重,支撐在應急響應過程中的風險管理和動態決策。

安全服務供應商面對不同的組織和客戶群體,從一定程度上參與情報的生產,通過共享脫敏的實時威脅數據,可以提供經過行業化和定制化的威脅情報,這對于其服務的大型客戶是更有價值的。而在這些數據的基礎上,服務商利用威脅情報平臺的情報數據,結合本地生產的情報,進行內外情報的量化評級,可以進行更細粒度,更多維度的挖掘,做情報生產再加工,也更符合國內大型企業客戶的使用環境。

國內某些MSSP服務商,就是在安全托管服務中心內建立風險管理框架模型,同時對接威脅情報系統,建設并完善威脅特征類別庫,為托管客戶提供應急響應流程的管理和指引。利用威脅情報和風險管理的結合,在安全應急事件中快速決策,緊急修復或者動態部署調整,防范威脅攻擊,減少企業因安全事件造成的損失。

案例:某企業在其安全服務商的協同下,利用天際友盟的威脅情報,重構了風險模型,兼顧外部攻擊和失陷主機的發現。同時,利用天際友盟所提供的CPE情報,能夠在極短的時間內對威脅源所利用的漏洞進行快速發現,為防護節約了寶貴的時間,從而能夠在攻擊發生前或者攻擊成功利用漏洞前進行修復,有效的加固了防御陣線。

方式4:(不建議) 應急響應團隊實時遠端查詢威脅情報

威脅情報的一個特點是相關性。目前在威脅情報的應用上有兩種模式:一、基于懷疑對象查詢;二、基于情報集合進行深度分析。對比兩種模式可以發現,第一種模式是查詢-驗證的思路,而第二種模式是不僅僅能滿足查詢-驗證,在此基礎上可以通過已知知識(威脅情報)進行預測分析。

采用已知知識的模式,需要威脅情報明文足量提供,且可以明文下載到本地或設備廠商指定的位置,才能夠將已知知識用于威脅模型進行預測。

案例:某威脅監測設備廠商聯合驗證式情報廠商,發現互聯網上報道的某起攻擊行為,通過分析判斷其服務的客戶在未來的某個時間段可能受到威脅。但進行遠端查詢僅能獲得該起攻擊行為的簡單信息,無法進行全面防護。于是轉為全面情報收集模式,通過檢索天際友盟的情報庫,提取了與該攻擊行為相關的應當修復的漏洞、可能被利用的端口,以及攻擊源可能來自的IP地址信息等,在縱深防御的各可能被利用的節點提前部署攔截、審計等策略。此后,網絡中監測到對該客戶的探測行為。事后分析,該次部署有效的防護了一次可能的威脅。

結尾

企業客戶首先關注防御效果,其次才關心實現方式。在應急響應流程中,威脅情報是動態變化的,也許你還沒走到流程的下一步,威脅的變種或者新的特征已經出現,因此在應急響應的全過程中,每個階段和步驟都應該結合威脅情報。提供事件調查階段的各個輸出,在事件調查過程中,建立溯源能力。

特別針對熱點事件的實時響應,企業客戶還應當考慮在一些特定的熱點事件發生后,對企業安全生產帶來的影響和威脅。當前互聯網時代,信息傳播速度幾倍于傳統信息。在企業應急響應過程中,靈活的組織架構,便捷的流程響應機制,結合威脅情報的動態變化,配合完善的自動處理模型。

快速判斷安全威脅造成的損失和泄露,建立完善的防御機制,離不開威脅情報在應急響應流程中的作用。天際友盟威脅情報系統,將努力提升企業整體安全防護的能力和水平邁向更高層面。

相關閱讀

 

威脅情報的應用價值:聯動協作

 


相關文章

寫一條評論

 

 

0條評論