欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  网络运营

安全威胁情报实战

程序员文章站 2022-07-03 21:37:24
2012年5月18日,DarkReading发表了一篇文章,题为威胁情报实战。这个文章提及了威胁情报分析的重要性。 作者认为,在面对新型威胁,新技术革新(例如云计算)的时候,安全专家们需要改...
2012年5月18日,DarkReading发表了一篇文章,题为威胁情报实战。这个文章提及了威胁情报分析的重要性。
作者认为,在面对新型威胁,新技术革新(例如云计算)的时候,安全专家们需要改变传统的安全防御思路。对此,我也表示赞同。
首先,要确定所要保护的重要资产。正如《当APT成为主流》中所述,在对抗新型威胁的时候,现在已经没有经历去保护网络内部的每个资产了,必须有所取舍,有所重点,要重点保护关键资产。
其次,要获取对网络的可视性(Visibility)。这个我以前的博文也多次提及。要想知道网络中存在什么样的威胁,首先要看到现在网络的运行状态。而可视性的更高境界可以称作态势感知(Situational Awareness),则是在获悉状态的基础上分析下一步的可能走势。
要获取对网络的可视性,必须借助一套生产力工具,SIEM是其中一个重要的工具。借助SIEM,可以快速获知对网络的可视性。
在获知可视性后,就要进行进一步的安全威胁分析,从表象中看出潜在的威胁和风险。这就需要对海量的安全信息进行智能化的分析,这个过程可以称作“安全智能”(Security  Intelligence)分析,而分析的结果就是获取网络内部的安全威胁情报(Security Threat Intelligence)。
要想分析出威胁情报,不是那么容易的。需要一系列相关的理论和算法。基于规则的关联分析只是其中一种方法,除此之外,还有很多其他方式,例如基于统计学的方法,基于BI多维分析的方法,等等。
借助成型的分析工具是很有必要的,这也是SIEM目前正在尽力去达到的能力。优秀的SIEM应该具有良好的、智能化的分析能力,产生威胁情报。更进一步地,这些威胁情报不仅仅只是参考性的,而应该是可执行的,叫做Actionable Intelligence。
上面提到的威胁情报主要是指来在客户网络内部的情报,是通过对内部的安全信息分析获取的情报。而我在《安全威胁情报分析》一文中提及的威胁情报主要是指来自客户网络外部的,来自cyberspace的威胁情报。
内部和外部的威胁情报对于客户而言都是很有用的。
要想获取外部威胁情报,一方面可以寻找OSINT资源,另一方面可以购买情报提供商的服务。
在获取外部情报的时候,应该尽可能地与内部网络情报相结合,例如,相比于购买大量的C&C服务器的情报信息,不如购买通过内部情报分析发现已经对网络发起过攻击的C&C服务器的信息更加有用