安全威胁情报实战
程序员文章站
2022-03-19 12:15:02
2012年5月18日,DarkReading发表了一篇文章,题为威胁情报实战。这个文章提及了威胁情报分析的重要性。
作者认为,在面对新型威胁,新技术革新(例如云计算)的时候,安全专家们需要改...
2012年5月18日,DarkReading发表了一篇文章,题为威胁情报实战。这个文章提及了威胁情报分析的重要性。
作者认为,在面对新型威胁,新技术革新(例如云计算)的时候,安全专家们需要改变传统的安全防御思路。对此,我也表示赞同。
首先,要确定所要保护的重要资产。正如《当APT成为主流》中所述,在对抗新型威胁的时候,现在已经没有经历去保护网络内部的每个资产了,必须有所取舍,有所重点,要重点保护关键资产。
其次,要获取对网络的可视性(Visibility)。这个我以前的博文也多次提及。要想知道网络中存在什么样的威胁,首先要看到现在网络的运行状态。而可视性的更高境界可以称作态势感知(Situational Awareness),则是在获悉状态的基础上分析下一步的可能走势。
要获取对网络的可视性,必须借助一套生产力工具,SIEM是其中一个重要的工具。借助SIEM,可以快速获知对网络的可视性。
在获知可视性后,就要进行进一步的安全威胁分析,从表象中看出潜在的威胁和风险。这就需要对海量的安全信息进行智能化的分析,这个过程可以称作“安全智能”(Security Intelligence)分析,而分析的结果就是获取网络内部的安全威胁情报(Security Threat Intelligence)。
要想分析出威胁情报,不是那么容易的。需要一系列相关的理论和算法。基于规则的关联分析只是其中一种方法,除此之外,还有很多其他方式,例如基于统计学的方法,基于BI多维分析的方法,等等。
借助成型的分析工具是很有必要的,这也是SIEM目前正在尽力去达到的能力。优秀的SIEM应该具有良好的、智能化的分析能力,产生威胁情报。更进一步地,这些威胁情报不仅仅只是参考性的,而应该是可执行的,叫做Actionable Intelligence。
上面提到的威胁情报主要是指来在客户网络内部的情报,是通过对内部的安全信息分析获取的情报。而我在《安全威胁情报分析》一文中提及的威胁情报主要是指来自客户网络外部的,来自cyberspace的威胁情报。
内部和外部的威胁情报对于客户而言都是很有用的。
要想获取外部威胁情报,一方面可以寻找OSINT资源,另一方面可以购买情报提供商的服务。
在获取外部情报的时候,应该尽可能地与内部网络情报相结合,例如,相比于购买大量的C&C服务器的情报信息,不如购买通过内部情报分析发现已经对网络发起过攻击的C&C服务器的信息更加有用
作者认为,在面对新型威胁,新技术革新(例如云计算)的时候,安全专家们需要改变传统的安全防御思路。对此,我也表示赞同。
首先,要确定所要保护的重要资产。正如《当APT成为主流》中所述,在对抗新型威胁的时候,现在已经没有经历去保护网络内部的每个资产了,必须有所取舍,有所重点,要重点保护关键资产。
其次,要获取对网络的可视性(Visibility)。这个我以前的博文也多次提及。要想知道网络中存在什么样的威胁,首先要看到现在网络的运行状态。而可视性的更高境界可以称作态势感知(Situational Awareness),则是在获悉状态的基础上分析下一步的可能走势。
要获取对网络的可视性,必须借助一套生产力工具,SIEM是其中一个重要的工具。借助SIEM,可以快速获知对网络的可视性。
在获知可视性后,就要进行进一步的安全威胁分析,从表象中看出潜在的威胁和风险。这就需要对海量的安全信息进行智能化的分析,这个过程可以称作“安全智能”(Security Intelligence)分析,而分析的结果就是获取网络内部的安全威胁情报(Security Threat Intelligence)。
要想分析出威胁情报,不是那么容易的。需要一系列相关的理论和算法。基于规则的关联分析只是其中一种方法,除此之外,还有很多其他方式,例如基于统计学的方法,基于BI多维分析的方法,等等。
借助成型的分析工具是很有必要的,这也是SIEM目前正在尽力去达到的能力。优秀的SIEM应该具有良好的、智能化的分析能力,产生威胁情报。更进一步地,这些威胁情报不仅仅只是参考性的,而应该是可执行的,叫做Actionable Intelligence。
上面提到的威胁情报主要是指来在客户网络内部的情报,是通过对内部的安全信息分析获取的情报。而我在《安全威胁情报分析》一文中提及的威胁情报主要是指来自客户网络外部的,来自cyberspace的威胁情报。
内部和外部的威胁情报对于客户而言都是很有用的。
要想获取外部威胁情报,一方面可以寻找OSINT资源,另一方面可以购买情报提供商的服务。
在获取外部情报的时候,应该尽可能地与内部网络情报相结合,例如,相比于购买大量的C&C服务器的情报信息,不如购买通过内部情报分析发现已经对网络发起过攻击的C&C服务器的信息更加有用