用上下文给威胁情报的“智商”加点油
作者: 日期:2017年01月21日 阅:3,010

计算先锋阿兰·凯曾经说过:“上下文价值80分IQ。”IQ分值中,普通人大约在100分左右,爱因斯坦是160分,上下文可将你大幅推进到天才领域!网络安全人士基本都清楚业内不缺威胁数据,上下文就是撬动威胁数据上升成为威胁情报的那根杠杆。

通过整理公司订阅的多种数据馈送,并转译成可用的统一格式,可以开启威胁情报成型之路。这种全球威胁数据可给公司带来对外部活动的一些洞见。而将内部环境中的事件和相关指标(例如:来自公司SIEM系统、日志管理存储库和案例管理系统的那些数据)与外部指标数据、对手及其所用方法关联起来,你将获得用以理解攻击执行者、目标、战场、时间、原因和方法的上下文。更具体点就是:

执行者和目标:攻击者背后的人物或组织,是否受政府支持,惯常目标是什么(地理属性、行业分布、公司规模)。

时间和原因:攻击者的动机(经济、政治、激进黑客主义)和目的(盗取数据、破坏系统、敲诈勒索、发表声明),是否有特定触发事件将他们的目光吸引到特定目标上(并购活动、扩张、新技术采纳、周期性活动)。

方法和战场:对手用以决策、展开接触和贯彻执行的战术、技术和规程(TTP);他们的能力和方法是用漏洞利用工具包,还是其他形式的“攻击即服务”或基础设施;目标系统和受影响系统都有哪些。

SamSam勒索软件攻击,是应用上下文帮助公司理解对手运作模式并作出更佳应对决策的良好例子。

73i87a-extension-virus3

勒索软件一般通过漏洞利用工具包或网络钓鱼活动执行,目标是使受害者无法访问文件或数据,逼迫他们支付赎金来解锁数据。然而,SamSam勒索软件变种,却没有依赖终端用户点击恶意链接或附件,而是入侵没打补丁的服务器来在网络中建立据点,比如JBoss应用服务器。然后,再在网络中横向移动,感染并锁定更多的机器以索要赎金。

正如媒体报道所述,SamSam针对的是医疗行业,2016年3月攻击了管理着巴尔地摩和华盛顿特区10家医院的MedStar非盈利组织。攻击者加密了多台Windows系统主机,索要45比特币(约$18,500)解锁文件。MedStar因为做了文件备份而并未支付赎金。该组织还能早期检测到攻击并防止其进一步感染更多系统。之后不久,FBI发布了包含攻击指标的秘密警告以帮助其他安全团队监测SamSam感染。

从该案例可看出,只要正确应用上下文,就可打造情报概况,描述对手、对手的行动方法、行为指标和发生的事件。上下文还有助于更好地检测和锁定绕过了现有防御层的攻击,能提供诸如特定攻击者特征和感染范围等信息。

上下文将你的威胁数据转化为情报。下一步,就是利用这些情报做出更好的决策和行动。SamSam案例中,这些更好的行动包括了修复漏洞、网络分段和离线备份解决方案。

爱因斯坦用他的天才级IQ写出了《相对论》。威胁IQ的提升或许不能使您创造出看待世界的新方法,但您将能够用全新的视角看待数据,并将之转变为可行性情报。

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章