经验证的威胁情报(或者有着适当上下文的数据)应该能改变行为——无论这些行为是否是安全运营中心(SOC)确定并响应警报的做法;是否是用户判断并处理网络钓鱼邮件的方式;是否是决策者和高管投资安全项目或优先考虑长期安全计划的行动。某些情况下,威胁情报将帮助事件响应(IR)团队争取到更短的检测和响应时间——切实的好处。
一名分析师的案例:
最近金融行业的一名安全从业人员接受了采访,透露了他们的威胁情报使用体验,以及威胁情报是怎样影响他们的操作的。出于保护他们公司和客户的考虑,我们就称他为M吧。
M说,涉及到数据反馈和处理多种来源的大量信息时,一个很大的问题在于,公司能不能成功管理起这些数据,能不能获得需要的定制数据。
“目前,我所在的金融公司主要利用日志分析软件Splunk,将通用黑名单和开源情报反馈与我们边界设备记录下来的地址、蜜罐和金融服务信息共享与分析中心(FS-ISAC)的通报关联起来。”
作为一名分析师,小M要审查特定的FS-ISAC数据,查找金融相关网络钓鱼、凭证窃取、诈骗相关数据,并与她的团队和公司风险高管共享这些信息。必要的话,他们有时候也会与FS-ISAC共享网络钓鱼或诈骗指示器相关信息。
“我们曾一度采用统一威胁共享工具,付费和开源的都用过。我们从FS-ISAC弄了个早期版本的Soltra服务器,但那需要大量的数据库知识才能管理。随着时间的推移,出现了很多需要跨团队介入才能解决的问题,而我们缺乏人手。”
“鉴于我们目前的处理过程适合公司当前规模,在砸钱引进解决方案上我们有一点点顾虑。不是没有尝试过一些看起来靠谱的付费产品/设备,尤其是Vorstack。然而,因为预算调整,我们觉得当前拥有的东西就足以应付需要处理的数据/威胁规模了。”
那么,工作流究竟是怎样的呢?
小M的大多数安全设备,都已经可以基于厂商提供的指示器反馈来响应/封锁/报警威胁了。但是,在社会工程和人际互动会引入风险的地方,小M的团队会将这些信息与员工们共享。
比如说,向HR发出简历相关的攻击行动警报。但人工筛查只在必要的时候进行,因为他们觉得,当我们已经向非以安全为中心的团队提供了太多数据时,警报疲惫就相当可观了。
那么,事关警报,多少数据才算太多呢?
“我们现在只寻找特别针对金融公司的威胁了,比如与已知诈骗活动相关的数据、面向金融行业的DDoS威胁、网络钓鱼/凭证窃取、高管级鲸钓尝试、具金融性质的特定水坑攻击……”
政治活动相关的威胁也要进行监测和走势预测,以防存在攻击者重叠。不过,通常,暴力攻击IP本质上很杂乱,小M的公司启用了他们的防火墙、入侵检测系统、负载平衡厂商的黑名单,以及其他启发式/流量行为检测机制来对抗。
“例如,针对政府的水坑攻击、匿名攻击等等,对我们的影响就没有那些可以在较大型金融机构遭到攻击时提前听说的银行木马、偶发匿名金融攻击等的大。”
FS-ISAC在价值,在于对社会工程诱饵、诈骗策略,以及特定攻击“诡计”的描述和建议。这些具体信息能帮助安全团队准备对员工的培训,通过内部网络钓鱼演练和一般的安全意识培养都能达到效果。
原始数据的相互关联非常有用。只要收到能帮安全团队理解攻击模式的情报,他们通常都可以预测出相关的攻击工具变体,通报给事件响应团队和可能会被盯上的员工。攻击指征(Indicator)是很好用的,但如果团队理解了攻击行为或目标,而不是只面对一堆静态数据,它们也就不是那么重要了。
“之前就这么说的,但情报总是太多太杂,公司真正需要的是可行性情报,跟那些24小时前遭到的每条暴力攻击原始情报数据完全不是一码事,到那时候,我们的设备早都收到新的黑名单了。”
“每个行业都有自己特别的需求,大多数威胁情报提供商给出的是高压水枪式喷涌的数据,需要空间管理和人力审查,得精挑细选出对公司真正有影响的,以及真正应该响应的。”
(责任编辑:安博涛)