8.5. 威胁情报¶
8.5.1. 简介¶
8.5.1.1. 产生原因¶
新一代的攻击者常常向企业和组织发起针对性的网络攻击,这种针对性强的攻击,一般经过了精心的策划,攻击方法、途径复杂,后果严重。在面对这种攻击时,攻防存在着严重的不对等,为了尽可能消除这种不对等,威胁情报 (Threat Intelligence) 应运而生。
8.5.1.2. 定义¶
威胁情报(Threat Intelligence),也被称作安全情报(Security Intelligence)、安全威胁情报(Security Threat Intelligence)。
关于威胁情报的定义有很多,一般是指从安全数据中提炼的,与网络空间威胁相关的信息,包括威胁来源、攻击意图、攻击手法、攻击目标信息,以及可用于解决威胁或应对危害的知识。广义的威胁情报也包括情报的加工生产、分析应用及协同共享机制。相关的概念有资产、威胁、脆弱性等,具体定义如下。
一般威胁情报需要包含威胁源、攻击目的、攻击对象、攻击手法、漏洞、攻击特征、防御措施等。威胁情报在事前可以起到预警的作用,在威胁发生时可以协助进行检测和响应,在事后可以用于分析和溯源。
常见的网络威胁情报服务有黑客或欺诈团体分析、社会媒体和开源信息监控、定向漏洞研究、定制的人工分析、实时事件通知、凭据恢复、事故调查、伪造域名检测等。
在威胁情报方面,比较有代表性的厂商有BAE Systems Applied Intelligence、Booz Allen、RSA、IBM、McAfee、赛门铁克、FireEye等。
8.5.2. 相关概念¶
8.5.2.1. 资产(Asset)¶
对组织具有价值的信息或资源,属于内部情报,通过资产测绘等方式发现。
8.5.2.2. 威胁(Threat)¶
能够通过未授权访问、毁坏、揭露、数据修改和或拒绝服务对系统造成潜在危害的起因,威胁可由威胁的主体(威胁源)、能力、资源、动机、途径、可能性和后果等多种属性来刻画
8.5.2.3. 脆弱性 / 漏洞(Vulnerability)¶
可能被威胁如攻击者利用的资产或若干资产薄弱环节。
漏洞存在多个周期,最开始由安全研究员或者攻击者发现,而后出现在社区公告/官方邮件/博客中。随着信息的不断地传递,漏洞情报出现在开源社区等地方,并带有PoC和漏洞细节分析。再之后出现自动化工具开始大规模传播,部分漏洞会造成社会影响并被媒体报道,最后漏洞基本修复。
8.5.2.4. 风险(Risk)¶
威胁利用资产或一组资产的脆弱性对组织机构造成伤害的潜在可能。
8.5.2.5. 安全事件(Event)¶
威胁利用资产的脆弱性后实际产生危害的情景。
8.5.3. 情报来源¶
为了实现情报的同步和交换,各组织都制定了相应的标准和规范。主要有国标,美国联邦政府标准等。
除了国家外,企业也有各自的情报来源,例如厂商、CERT、开发者社区、安全媒体、漏洞作者或团队、公众号、个人博客、代码仓库等。
8.5.4. 威胁框架¶
比较有影响力的威胁框架主要有洛克希德-马丁的杀伤链框架(Cyber Kill Chain Framework)、MITRE的ATT&CK框架(Common Knowledge base of Adversary Tactics and Techniques)、ODNI的CCTF框架(Common Cyber Threat Framework,公共网空威胁框架),以及NSA的TCTF框架(Technical Cyber Threat Framework,技术性网空威胁框架)。