在第一部分《也来聊聊态势感知(上)》,我们知道了态势感知分为三个部分:数据收集、分析理解、预测。在第二部分《也来聊聊态势感知(中)》,我们谈到了数据收集部分的问题,即数据源不足。数据收集之后,我们就要进行理解分析,并要预测威胁了。这两个阶段目前也有让人诟病之处。
三、不结合情报系统的态势感知都是耍流氓
我们经常说:知己知彼,百战不殆。知己,我们靠的是内部EDR、IDS、漏扫等众多的数据采集,知彼,就要靠威胁情报。“未知攻,焉能防”。
说起感知,很多人以为是对未知威胁的感知。我个人认为这是不准确的,因为真正未知的威胁是很难发现和感知的。更多的时候,我们感知的应该是已经在外部某地发生但尚在本网络内发生的威胁,或者说我们感知的是在其他地方已经发生,未来有可能会在本地发生的威胁。而判断是否会在本地发生,最重要的一个因素就是情报,根据情报判断是否会在本地发生。情报越及时越准确越能有效的分析和感知出威胁的存在。
威胁情报的质量对整个网络安全态势感知能力落地非常关键,对海量威胁情报数据的理解和处理也是网络安全态势感知能力落地的基础之一。
举个简单的例子,你在内部的日志中发现有一个IP试图访问内网,这种情况在我们的网络中非常常见,如果没有情报系统,我们不知道这个IP是好是坏,是正常的访问还是黑客的攻击前的行为,也只能作罢。但如果有了情报:
• 只包含指标信息的情报:这个IP x.x.x.x是坏的
• 带上下文信息的情报:这个IP x.x.x.x是被白象APT组织使用的
• 深度信息:白象组织是一个来自于xx国家的专门攻击外交机构的一个组织
• 更多信息:这个组织攻击的流程一般是……为了防御这个APT组织,你需要采取如下的措施……。
通过情报,可以准确的对攻击者进行画像,知道是谁实施的攻击,攻击目标、攻击目的、攻击手段、攻击程度、攻击现象、攻击后果以及如何补救。
可见,在态势感知中,外部情报的作用是非常大的,有了外部情报,再结合内部的数据,我们才有可能预测未来可能发生的威胁。没有外部威胁情报的数据,我们的预测无从谈起,所展示出来的也只能当前已经发生的安全事件而已。
我们可以把情报分为两种,一种叫机读情报,我们也可以称之为战术情报,一种叫威胁报告,我们也可以称之为战略情报。
机读情报交付的一般是JSON格式(见备注)的数据,可以被态势感知平台或SIEM平台读取。 主要有以下种类:
恶意程序信息:当下最有危害还非常活跃的恶意程序信息
IP信誉:提供IP的信誉值以及相关的信息
恶意域名信息:提供恶意域名相关信息
钓鱼链接和网站信息:钓鱼链接和钓鱼网站相关信息
僵尸网络 C&C信息:僵尸网络控制服务器信息
移动恶意程序信息:当下最有危害的同时非常活跃的移动恶意程序信息
……
下图是某安全厂商提供的威胁情报样本:
定制的威胁报告我们可以称之为战略情报(APT报告,定制报告),战略情报PDF形式,这种情报里详细的列出事件 的前因后果、攻击者的身份,甚至我们会定位出攻击者团队中哪一些人有什么技能特征、 在历史上这个团队有过什么案例,有详细的技术分析。
战略性情报实际上是一个让领导和相关专业人员能够把整个APT事情了解清楚的一份 完整技术报告。
对于APT组织,你面对的不是恶意程序或者是攻击所用的工具,你面对的是人 , 做为人,他们有喜好、特长、模式和弱点 ,威胁分析人员研究这些人的这些特点,帮助理解这个APT攻击背后人的因素,包括其攻击通常采 用的技术手段、后端的基础架构和流程 (TTP)等帮助理解上下文和溯源的信息。所以这种报告的针对性强,再结合威胁追查平台,就可以很清晰的知道该威胁的详细信息。
从情报的来源上分,情报又可以分为开源情报和商业情报。
开源情报顾名思义,就是免费的、开源的。其好处是来源广泛、情报众多,而且免费。缺点是存在大量“误报”和垃圾数据,精准度欠佳,而且时效性有时并不能保证。比较有名的开源情报数据源如:
(实测过都可以打开)。
商业情报是指一些安全公司对外提供的专业的安全威胁情报。其优点是有专业的团队维护,时效性高,数据精准性高。缺点是费用较高。目前也有不少优秀的提供商业情报的公司,比如XXXX、XXX、XX等,名字我就不提了,大家自己体会吧。
对于态势感知平台来说,威胁情报是不可或缺的部分。没有情报驱动的态势感知不能叫态势感知。
对于威胁情报,主要考察的几个因素是:
1、情报来源。是开源情报还是商业情报。这个决定了感知结果的及时性和精准度。
2、情报的时效性。对情报而言,时效性是个非常重要的参数。不同与病毒库,可以每天更新,威胁情报根据类别不同更新时间间隔为十分钟到一个小时。因此每时每刻都有新的情报出现,又有新的情报作废。这些作废的情报如果不能及时删除也会造成大量的误报出现。下图是某商业情报24小时的情报变动情况。
3、情报的精准性。每天的情报很多,但可能大多数都与自己无关,因此我们在讨论情报价值的时候不仅要看其时效性,还要看情报的精准性,也就是说是否为本单位或本行业定制的情报。如专门针对政府或特定IP范围的攻击情况。或针对电信行业的APT攻击情报等,都是专门的精准情报,这也是商业情报和开源情报的一个重要区别。
在考察“态势感知”的时候,问一下他们有没有专业的情报来源,或许……
所以说:不结合威胁情报的态势感知都是耍流氓。
_四、_没有人才支持的态势感知都会沦为鸡肋
态势感知的三个步骤中,数据提取是基础,理解分析是重点,态势预测是目的。我们要进行大量的数据收集,然后理解这些数据,进行上下文关联分析,再结合外部威胁情报,预测未来可能发生的威胁。
安全分析是网络安全态势感知中最复杂也是最耗时的部分,在分析阶段,虽然现在有人工智能、机器学习、行为分析等各种新的算法和技术,但分析过程并不是一个机械化的过程,是不能完全依靠软件完成的,因为黑客的攻击手法多样,并没有统一的固定的标准,完全看攻击方自身的主观性,因此还需要专业的分析人员凭自身的技术和经验进行判断。人的作用是无可替代的,甚至毫不夸张的说,人的分析是态势感知的决定性因素,是一个组织进行网络安全防护的关键所在。
网络安全的对抗始终是人的对抗,这一点我们必须要有清醒的认识。
如果没有相应的专业的安全分析师,花费不菲建设的态势感知平台终究会成为摆设,不能充分发挥其作用。
所以,现在很多安全公司都推出了**MSS(Managed Security Service,安全托管服务)**服务。
建设网络安全态势感知系统,不能只买一堆设备和大屏,专业的安全服务也是必不可少的。
04)
结束语
越来越多的单位意识到,安全是防不住的。主动安全防御体系建设理念在全球正在成为主流。而网络安全态势感知体系的建设是主动安全防御体系中重要的一环。
但要想真的建设好态势感知系统,却不是一蹴而就的事,也是需要摸着石头过河,越来越多的安全厂商开始了对态势感知系统的研究,在摸索的过程中,虽然有很多不足,但毕竟已经开始,我相信以后会越来越好。
最后,有几条建议:
1、希望各厂商能支持多源异构的数据,而不是只能收集本公司产品数据。
2、情报及分析能力是态势感知平台的核心能力,尽量使用专业的商业情报,不要在这上面省钱。
3、安全服务很重要,甲方在建设态势感知平台的时候一定不能省。当然对方人员的能力是重点。
全文完
*注:JSON(JavaScript Object Notation, JS 对象简谱) 是一种轻量级的数据交换格式。它基于 ECMAScript (欧洲计算机协会制定的js规范)的一个子集,采用完全独立于编程语言的文本格式来存储和表示数据。简洁和清晰的层次结构使得 JSON 成为理想的数据交换语言。易于人阅读和编写,同时也易于机器解析和生成,并有效地提升网络传输效率。
参考资料:
1、《网络安全态势感知:提取、理解和预测》作者:杜嘉薇等 机械工业出版社
2、《2019年中国态势感知解决方案厂商评估报告》IDC
3、《网络安全态势感知技术及应用发展蓝皮书》
4、感谢卡巴斯基、天融信、深信服、安全牛、安恒、启明等安全厂商提供资料。
延伸阅读:
欢迎扫描二维码关注:大兵说安全
