30家外部威胁情报供应商的景观分析和选择攻略(2017)

关注 2017-12-05 14:51:23 查看数 32587 ,评论数 0 安全报告

为什么阅读这份报告?

威胁情报发展了几年了,威胁情报市场充斥着各种混乱的消息,这些信息极大的考验或者说损害了安全和风险(S&R)专家们的能力。本报告提供了30个外部威胁情报供应商的景观分析和选择攻略,以期为行业提供一个修正课程,也为需要建立威胁情报能力的组织或企业提供一个操作指南。

问题关键

威胁情报市场并不智能

威胁情报涉及到大量的产品和服务,这使得很难对供应商提供的产品进行公平公正的比较。本报告中明确以三个指标作为参考因素:战术指标(tactical indicators),原始情报(raw intelligence),成品情报(finished intelligence),我们会举例说明威胁情报供应商们提供的产品的完成情况。

利用威胁情报完善你的安全策略

S&R 专业人员必须建立自己的情报能力,以战略情报为基础深入理解威胁的景观格局。以风险改善为导向,通过风险记录、有针对性的流程改进的方式,来证明你的安全支出物有所值。

不要被“拖尾”指标所困扰

战术指标被称为“拖尾”指标,因为他们在使用之前需要观察、分析和共享。理解这些历史指标的本质,这对于确认它们合适的用例是至关重要的。

利用外部情报了解和阻止威胁

从古至今,关于情报的利用似乎都有一个通用的机制,同样的,诸如窃取信息的动机和技巧也只可以枚举。最难的模式是攻击者改变他们的TTPs(战略、技术和程序):他们是如何做到的(参见下图1)。S&R 专家们可以利用外部的威胁情报,了解攻击者的发展趋势和攻击活动的主要情节,以便更好的应对那些可能转而瞄准你的攻击活动。

图1:TTPs,威胁情报金字塔

外部威胁情报有助于发现/阻止攻击活动

网络攻击很少像教科书里讲的一样,开始于漏洞利用、结束于数据泄漏。犯罪份子们精心策划,出于攻击活动的需要而发展自己的基础设施,然后获取到想要的利益。这就意味着 S&R 专家们也必须认真的检测和阻止此类攻击。那么外部威胁情报会带来哪些帮助呢?

先发制人,遏制那些试图通过冒充组织骗取客户的行为

今天的组织都意识当攻击者冒充他们去欺骗客户的时候,会给组织的名誉带来风险。即使你的组织不是攻击链的一部分,你的品牌也会受到影响。检测到攻击的基础设施是何时被创建是很重要的环节,这能够让组织比那些试图模仿的攻击者领先一步。最近一个新兴的威胁受到了关注:homograph attacks(同形异义词攻击),在这类狡猾的钓鱼攻击中,攻击者使用Unicode字符创建域名,使它看起来与合法的域名一样。(见注4)

跟踪漏洞利用工具包,能够提供漏洞优先修补的能力

在制定应对勒索软件和其他类似的恶意软件攻击的安全策略时,了解攻击趋势和漏洞利用工具包的使用情况是第一关键的步骤。从漏洞利用开发工具提供商那里收集到相关的战术情报,可以识别常见的被利用的、公布的漏洞,并优先修补以防止您的组织被破坏。

通过监测地下交易市场中的被盗数据,检测数据泄露情况

数据交易市场也是一个你可以拦截攻击的地方,虽然检测被盗数据的销售状况不是确定攻击者向你组织发起攻击的理想时机,但考虑外部攻击者的停留时间平均为107天,能够及时意识到数据泄漏是最好的,而不是毫无知觉的任由事故蔓延。例如,信用卡处理器确定GameStop为卡正在网上销售,今年的共通之处。

关于威胁情报,供应商市场存在不同程度的处理和分析

威胁情报周期是一个提问、研究和回答问题的过程。在这个过程中,组织收集、处理、分析数据,并将结果转换成一个成型的情报产品(参见图2)。组织在威胁情报周期的不同阶段接管分析过程,这取决于他们操作的成熟度,正因如此,供应商提供了三种类型的情报:战术情报、原始情报和成品情报。

图2:定量分析与定性判断的综合

只有附带足够的上下文,战术指标才是有用的

入侵指标(IOC)是文件的哈希值、域名、IP地址,或其他方式的话,S&R专家们可以依此来检测威胁或入侵。需要注意的一点是使用这些指标时需要有明确的上下文。威胁情报标准STIX使用了12种不同的子对象来描述威胁,指标仅是其中之一。你必须一个指标的上下文,才能理解基于这一指标触发的报警对组织的确切含义(重要性/危险性)。 例如,赛门铁克为Trojan.Corentry恶意软件的危害等级定为“非常低(Very Low)”,那么当这个恶意软件感染了你的网络时,组织该要如何应对呢?还是依照低风险来处理这一威胁吗?如果黑客组织已经渗入了你的组织呢?不提供上下文的威胁情报,都是耍流氓,你根本就不应该付钱给提供者。

原始情报已经收集和处理,但没有分析

通常,原始情报可以通过 API访问接口被提供,启用基于关键字或其他信息的搜索或警报功能(参见图3)。以Pastebin的警报为例,它允许用户指定关键字,如果匹配上,会生成电子邮件警报通知。这是原始情报,不是成品情报。因为警报只是表明你有一个关键字匹配,不包括触发报警的用户的情绪或细节。同样,当一个逆向工程在分析一个恶意软件的片段时,这种分析并没有成为成品情报产品的一部分,除非它能附带一个相匹配的上下文背景,如它在野外被发现、有关攻击者的情况和动机,这样才有助于组织更好地理解由该恶意软件带来的风险。

成品情报是消耗品,不需要最终分析

完成的情报不仅仅是报告文学,它需要演绎说明,把原始情报融入上下文背景中。引用CIA对情报的分析和产生的描述:“仔细看!所有的信息和决策是如何结合在一起的,然后集中注意力回答原始的问题” 这里有几种成品情报的类型,每一类别都代表了外部威胁情报服务提供商完成的某项特定任务,根据情报请求(requests for intelligence,RFIs)提供定向的指导(见图4)。

图3:不包含上下文的原始情报

图4:成品情报,融合了原始情报和上下文背景

根据组织的成熟度、垂直领域和规模大小来选择供应商

我们经常会从客户那里听到一个问题:“我们应该订阅那些指标?”,不幸的是,这里没有简单的、通用的答案。建议公司根据自身的成熟度、垂直领域和规模大小来做选择。 为了帮助S&R专业人员了解供应商的景观格局,以便选择适合组织的供应商,并为组织整合外部威胁情报建立一个路线图,我们统计分析了30个外部威胁情报供应商及其能力。对于企业而言,了解信息从何而来,对于正确评估应当如何优先安排和使用它们也是很重要的,因此,我们也收集并分析了供应商们所使用的情报源(参见图5、图6)。

图5:了解外部威胁情报的主要来源

图6:外部威胁情报供应商及其能力

遵循三个简单步骤,建立威胁情报能力

许多组织和企业会质疑威胁情报的有效性,也会质疑产品、资源和人员成本,幸运的是,组织或企业在建立威胁情报能力初期,可以从下列三个步骤中看到明显的投入/产出效益:

专注于成品情报,能够减少人员投入

你不需要立即雇佣专业安全人员,就可以开始使用威胁情报。我们在调查中发现,有许多厂商提供成品情报即服务(finished-intelligence-as-a-service),意味着你可以立即享受到安全情报服务。不要落入囤积战术指标的投资陷阱,要考虑到你的组织可能无法有效地利用这种类型的情报。

利用战略情报和RFIs去了解威胁景观

组织使用威胁情报的初始目标,应该是根据当前和不断变化的威胁情况,制定适合自己的安全战略,超越最佳实践,做出明智的决策。学习并提出问题。例如,根据具体的情报请求(RFI )去利用威胁情报供应商对未知文件的逆向能力, 这种新型的按需-供应关系不仅可以帮助您更有效地理解和沟通威胁,而且还可以立即扩展公司安全运营中心(SOC)的功能。

寻找拥有多个情报源的供应商

当您利用多个数据源开发出一个复杂的整合策略时,特定的用例会影响到你的决策。威胁情报是一个微妙的艺术形式。在进行初始投资时,重点关注那些从大量数据源收集和分析数据的供应商。

情报能力成熟时,可以进行深层次的研究

当你熟练掌握并了解情报周期时,就需要考虑如何改进过程和提高产出了。理解威胁景观,并理解这些攻击在您的组织中是如何体现的,调整情报收集策略以适应当前新的情报能力。这个时候,团队需要一个专业的分析师,帮助你制定情报收集策略、管理情报数据并准备简报。

创建一个风险记录表,跟踪组织已识别的威胁

您的战略情报能力应当文档和,确定这些威胁的关键风险、攻击者和对业务造成的影响等。记录好这些威胁,并显示你的安全策略是如何降低这些风险的。通过关注组织面临的特定威胁来丰富你的情报能力。这份报告中概述了多种类型的成品情报,都可以帮你开一个好头儿。

解析各个阶段的攻击模式和目标情报

下一步,为提高识别情报的可见性,可以投资于原始情报和成品情报。在这里,来自特定来源的情报,比如暗网,可以帮助你瞄准你收集的情报。当敌方建立预备用于发起攻击的基础设施时,使用传感器网络可以捕获诸如域注册之类的事件。订阅情报源,跟踪社交媒体上的漏洞利用工具包提供商的活动,这样可以攻击者利用的新漏洞和特征。监控暗网市场上转售的被盗账户凭据,不仅可以识别组织内部泄露的信息,还可以为提醒易受欺诈的客户保持警惕。

要明白,没有一个供应商能满足你所有的需要

专门从暗网中收集资源的供应商将提供某些的见解,您可以从中获益。其他的供应商,比如传感器网络覆盖互联网的供应商,将收集并报告不同的时间纬度和性质的事件。多元化的情报来源,会让你众多观点中获益,您需要一个多厂商联合的解决方案。

先进的组织可以对威胁作出积极的反应

技术人员在情报方面犯的最大错误是认为他们可以把情报工作放进安全信息管理(SIM)或安全分析平台中。虽然想从SIM中获得一些情报能力是可以理解的,但这样做并不是对这些数据的有效使用方法,结果适得其反,只会降低系统的运行效率。相反:

集中地管理威胁情报

当您的组织开始处理大量的情报数据时,有一个地方来集中地收集和分析这些数据是很重要的。威胁情报平台会自动完成这些任务,甚至可以与自定义地工具集成,自动化地丰富警报功能,这将使组织的SOC更高效。

对检测到的威胁进行关联分析以寻求进一步的入侵痕迹

战术指标的价值在于它们之间的关联性。即使不能归属于同一个攻击者,能够将同一时间和地点观察到的两个指标联系起来,也可以推断它们可能是相关的。这里面临着实时数据流分析的挑战——IP地址、DNS名称和其他战术指标太过短暂,以致于无法有效地检测、共享和监控。然而,寻找这些松散的相关事件的历史数据,会暴露出更多的入侵痕迹。

寻找攻击者的特征,并与组织的风险记录表关联起来

了解你的对手,包括他们的战术、能力和资金,使你能够主动防御已知的进攻。了解他们使用怎样的工具以及其他有关的可归因的信息,这样做有助于积极地寻找入侵的迹象,减少对缓解策略没有识别出来的事件进行检测的时间。没有战略情报,将无法完成这些工作。

建议:提升整体威胁情报能力

想要成功地检测和阻止网络攻击,S&R专家们必须妥善整合组织外部和内部的情报能力。

让战略情报成为安全项目的基础

对威胁场景的充分了解,将使您能够有效地确定安全支出的优先级,重点放在组织最迫切需要减轻的威胁上。这样做不仅可以使得安全工具的警报量减少,而且还能确保生成的警报更加突出。

购买之前,先试用;请供应商提供试用的样品或编订的报告

这些将帮助您了解您订阅的最终产品。尽管这一建议更适合于成品情报,但在以客户需求为主的时代,外部威胁情报供应商应该乐于展示自己的分析能力和研究报告。

内部情报闭环管理

外部情报有能力提供关于威胁景观的信息以及组织所处环境的周边情况,也就是说,同样不能忽视组织的内部资源。组织内部产生的情报是你所能获得的最相关和可操作最强的情报,而且还是免费的!

补充材料

为了完成这份报告,我们采访了多家公司,这里要感谢以下这些公司的相关员工,他们在项目研究过程中慷慨相助。
4iQ  AlienVault  CrowdStrike  Digital Shadows  DomainTools  FireEye  Flashpoint  Group-IB  IBM  InfoArmor  Intel 471  Kaspersky  LookingGlass  Optiv  PhishLabs  PhishMe  Proofpoint  PwC  Q6 Cyber  Recorded Future  RiskIQ  SecureWorks  SecurityScorecard  SenseCy  SurfWatch Labs  Symantec  Terbium  ThreatConnect  Webroot  ZeroFOX
交流评论(0)
Loading...
点击 ,就能发表评论哦~如果您还没有账号,请 一个吧
css.php
正在加载中...