简单来说,威胁情报就可以帮助人们识别安全威胁并做出明确决定的知识。
威胁情报可以帮助人们解决如下问题:
- 如何跟得上包括恶意攻击、攻击方法、安全漏洞、黑客目标等等在内的如潮水般海量的安全威胁信息?
- 面对未来的安全威胁,如何获取更多的主动?
- 如何向领导汇报具体安全威胁的危险和影响?
“威胁情报”到底是什么鬼?
威胁情报最近备受关注。尽管对于威胁情报到底是什么有着许多不同的定义,但以下几条却是经常被引用的说法:
威胁情报是循证知识,包括环境、机制、指标、意义和可行性建议,现有的或新兴的、对资产的威胁或危害,可用于主体对威胁或危害的反应做出明确决定。
威胁情报就是收集、评估和应用关于安全威胁、威胁分子、攻击利用、恶意软件、漏洞和漏洞指标的数据集合。
为什么人人都在谈论“威胁情报”?
据《威瑞森2015年数据破坏调查报告》,预计2015年将发生安全事帮79790起,造成7亿条数据记录泄露,经济损失高达4亿美元。
只要安全威胁和数据泄露不断发生,任何企业都会想法设法去保护自己的数据。威胁态势总是不断变化,因为我们对IT系统的依赖,我们的业务风险也在不断增加,。
既有来自内部的安全威胁,也有来自外部的安全威胁。各单位为了有效地管理威胁,一直承受着巨大的压力,几乎不堪重负。尽管原始数据的信息唾手可得,且耗时很难,但要获得基于可设置有效衡量标准的有意义的信息却不是那么容易的事,而且耗时耗力。
这自然就把越来越多的用户推向了威胁情报,因为它有助于在海量数据、警报和攻击中对威胁进行优先级排列,并提供可操作的信息。
下表给出了几种可以由威胁情报源进行识别的常见的漏洞指标:
类别:网络
漏洞指标:
- IP地址
- 网址
- 域名
实例:恶意软件感染与已知的不法分子进行通讯的目标内部主机
类别:电子邮件
漏洞指标:
- 发件人邮件地址和邮件主题
- 邮件中的附件
- 邮件中的链接
实例:网络钓鱼通过内部主机尝试点击毫无戒心的电子邮件,并回传至恶意的命令与控制服务器
类别:基于主机
漏洞指标:
- 文件名和文件哈希表(例如MD5)
- 注册表键
- 动态链接库(DLL)
- 互斥对象名
实例:来自可能会自我感染或已经感染的主机的外部攻击
威胁情报能力
攻击可以大致归为基于用户、基于应用程序和基于基础设施的威胁。一些最常见的威胁包括SQL注入、DDoS、web应用攻击和网络钓鱼攻击等等。
拥有一套可以提供情报能力通过主动出击和及时响应来管理这些攻击的安全解决方案是至关重要的。攻击者不断改变其方法来挑战安全系统。因此,对于各单位来说,就不可避免地要从各种各样的来源获取威胁情报。
一种被证明行之有效的掌控攻击的方法,就是通过安全信息和事件管理系统(SIEM)来发现和应对威胁。安全信息和事件管理系统可以用来追踪环境中所发生的一切,识别异常活动。孤立事件可能看起来无关紧要,但与事件和威胁情报关联起来,你会发现环境中到底发生了什么。
如今,IT安全专家必须要在假定发生数据泄露的心态下工作。比较威胁情报中针对已知不法分子的监控流量,来自有助于识别恶意活动。
然而,这样的措施可能需要手动操作,而且耗时耗力。将基于威胁情报的指标集成到一套安全信息和事件管理系统安全解决方案,将有助于识别受损系统,甚至可能阻止部分攻击。
最佳实践
通过整合威胁情报和应对袭击对抗格局不断变化的威胁是远远不够的。你需要分析形势,确定可能面临的威胁,在此基础上提出预防措施。
这里有几条最佳实践谨供参考:
- 拥有一份应用程序白名单和黑名单。这会有助于防止恶意的或未经批准的程序的执行,包括DLL文件、脚本和安装程序。
- 仔细检查日志,看看未遂袭击是不是孤立事件,或者该漏洞之前是否被利用过。
- 确定未遂攻击中发生了哪些变更。
- 审计日志并确定此事件为什么事件发生——原因可以大到系统漏,小到驱动过时。
威胁情报为安全信息和事件管理系统带来了什么
类似SolarWinds日志事件管理器之类的安全信息和事件管理系统从监控流量中收集和规范日志数据,并对可疑事件自动进行标记。
有了集成威胁情报机制和内置规则,监控事件可以对不断更新的已知威胁列表进行比对。
您可以通过实时日志数据快速搜索并监控来自攻击的点击,识别常见的漏洞指标。
您可以对已知恶意IP地址自动响应,以防恶意攻击的企图。