快速識別重要威脅：威脅情報與SIEM的結合

科技 04-14

ThreatConnect是威脅情報代表性企業之一，著名的鑽石模型理論提出者。它近期發布了一份報告，講述企業如何通過威脅情報平台來增強SIEM/SOC的安全能力，以便更全面的理解威脅、消除誤報，形成主動、智能的防禦體系。小編帶您一起具體了解下這份報告的內容。

ThreatConnect是威脅情報代表性企業之一，著名的鑽石模型理論提出者。ThreatConnect近期發布了一份報告，講述企業如何通過威脅情報平台來增強SIEM/SOC的安全能力，以便更全面的理解威脅、消除誤報，形成主動、智能的防禦體系。小編帶您一起具體了解下這份報告的內容。

1. 從SIEM的本質出發，它是用來做什麼的？有哪些局限？

安全信息與事件管理系統（SIEM）在國內我們通常更傾向於稱之為安全運營中心（以下簡稱SOC），主要用於發現整個企業中的趨勢和態勢，從多種事件和具有上下文信息的數據源中收集和分析安全事件，SIEM支持威脅檢測和安全事件響應——即：一個界面可以連接所有數據。大多數企業使用SIEM來收集日誌數據，並將安全事件與多個系統（入侵檢測設備，防火牆等）內部安全日誌和事件數據相關聯。它是有效關聯內部數據和提取的威脅數據信息流的起點，還可以自動報警並進行阻斷。然而，隨著攻擊者的不斷「創新」，企業需要越來越多的了解威脅的本質、意圖、技術和造成損害的能力，SIEM的局限性開始顯現。隨著SIEM投產與運營。不斷增加的噪音和系統複雜性中的「感測器疲勞」會逐步壓垮SIEM和它的安全技術團隊。企業安全團隊正在努力從已部署的SIEM中發現真正價值，原因如下：

快速識別重要威脅：威脅情報與SIEM的結合

· 太多原始「噪音」：SIEM的一個重大困難在於其中輸入的數據需要大量的過濾。如果過量的威脅元數據進入SIEM，可能會產生大量的誤報，降低SIEM性能，也會強烈干擾監控和事件響應團隊。此外，當無效的原始威脅信息流開始併入到SIEM中，它就無法分別情報的好壞。如果您的SIEM都無分辨，您又如何做到？

· 知己欠缺知彼：雖然SIEM可以關聯事件，或分析可疑或惡意活動，精確定位威脅。但是它缺乏專註於對手的意圖或基於過去觀察到的行為顯示入侵者下一步可能做什麼的能力。

· 只對已知威脅有反應：由於SIEM通常只能識別和標記已知威脅，而當您試圖在惡意行為之前提前採取行動時，這將成為問題。如果一個持續的攻擊者使用新的技術或工具來抵禦企業的檢測，SIEM本身無法檢測到它，因為它對這種新方法並不熟悉。

2. 將威脅情報集合到SIEM中的好處

· 許多機構認為，SIEM和態勢感知系統是解決安全分析困境的靈丹妙藥，實際上它們只是一個起點。因為傳統SIEM不是設計用來處理非結構化、具備多種格式的威脅情報，並且這些情報是分析所必需的，來自於不同來源。如果輸入太多未經驗證的數據，這些數據將會在實質上以垃圾信息的方式來阻礙企業的安全動脈，會快速導致SIEM消化不良並拖垮稀缺的安全分析資源。所以希望將一大堆未經審查的威脅數據輸入SIEM，來實現一個所謂的威脅情報解決方案的，一定請三思。

· 威脅情報為安全團隊提供了「及時識別和應對攻陷指標的能力「。雖然有關攻擊的信息比比皆是，威脅情報在過程中識別攻擊行為的實質是將這些信息與攻擊方法和攻擊進程的上下文知識緊密結合。

· 將SIEM與威脅情報匹配。企業將以敏捷和快速反應的方式應對不斷發展的、大批量、高優先順序的威脅。如果不進行匹配，企業則是在盲目地努力並且還要面對混亂報警的局面。

· 在SIEM中觀察威脅會過度關注內部細節。所有形式的威脅數據，不論是結構化還是非結構化的，都需要從更「全球化」的角度進行綜合分析和研究。當使用篩選後的高質量威脅情報來預警時，你才能開始形成對於威脅的態勢感知能力（它們可以對你做什麼以及它們如何做），黑客基礎設施和武器（它們從哪來），動機（為什麼它們這麼做）以及它們的目的和資源的全面的了解。

3. 用威脅情報來構建SIEM的主要部分，將SIEM與威脅情報平台綁定聯動。

威脅情報平台可以幫助企業完成經常超過企業自身能力的、需要耗費大量勞動力的對於威脅情報的威脅分析。威脅情報平台是一個動態系統，從許多不同的來源自動採集威脅數據，然後將該數據相互關聯，將其豐富，並將其無縫與基礎安全設施聯動。

通過威脅情報平台，企業可以匯總和合理化威脅數據自動篩選出攻陷指標（IOC）作為可機讀威脅情報（MRTI），並且使用現存的日誌對比匹配以便輕鬆發現不常見的趨勢或線索，並對其有效執行操作。通過將團隊、流程和工具結合在一起，威脅情報平台為安全團隊提供了對於威脅來自哪裡前所未有的視野，並可以從頭到尾跟蹤整個事件，通過報告，可指導安全響應並進行阻斷。節省了追蹤傳統SIEM產生的誤報所花的大量時間。

在威脅情報平台聚合的威脅情報和SIEM可讓您對威脅進行有效的控制、驗證、度量威脅情報的價值，並在SIEM中成熟地使用它來進行警報和阻斷。通過威脅情報平台，可以確信您的數據是與威脅相關的並已經進行優先性排序的，以便您在SIEM中更正確地處置。

4. SIEM+威脅情報平台：如何充分利用您的威脅情報？

如果正確實施的話，威脅情報可以增強檢測和響應能力，節省時間，並幫助您做出更好的戰略安全決策。但要充分利用威脅情報，威脅情報平台提供的一些最佳實踐和工作流程能夠幫助統一人員、流程和技術。

· 日誌，事件和數據的進一步分析：基於兩個系統之間的雙向數據流，來自威脅情報平台的攻陷指標將自動發送到SIEM中進行警報，並將來自SIEM的特定事件發送回威脅情報平台來進行關聯分析、數據挖掘和優先性排序。在威脅情報平台通過確定哪些來源或工具被識別出的惡意行為，可在網路中進行定位，分析人員可以鎖定惡意行為的所在位置。

· 建立企業自身威脅知識庫：綜合性威脅情報平台可以作為企業的中央威脅信息庫。幫助企業了解網路犯罪分子的工具、流程、受害者和預期目標。可以輕鬆地將來自過去的攻擊者活動的信息與當前的信息進行關聯，並從過去的攻擊中學習，主動阻止攻擊者當前和未來可能的攻擊。

· 優化企業安全投資：利用內置的工作流程，威脅情報平台也可以將更智能的做法轉移到SIEM及其他入侵檢測安全工具中。

· 根據企業網路環境生成和優化情報：威脅情報平台沒有像SIEM那樣關注一系列事件找出矛盾的地方，而是增加了上下文信息和關係豐富的指標，從而使企業能夠更好地了解威脅的性質、對企業的風險，更有效地做出全面的反應。幫助企業從戰略上挫敗攻擊者，而不是玩打地鼠的遊戲。

· 形成主動防禦：威脅情報平台允許安全響應團隊跨過自己的網路尋找線索和聯繫，這可以顯示攻擊企業的威脅與可能存在的威脅之間的關係，並發現新的相關的情報。使用這些信息，幫助安全團隊變被動防禦轉為主動防禦。

快速識別重要威脅：威脅情報與SIEM的結合

一個高效的威脅情報平台（Threat Intelligence Platform,TIP）致力於精準發現內部失陷主機，幫助安全團隊快速並準確定位威脅所在，提供威脅相關的豐富的上下文信息以供分析和響應。比如微步在線是基於龐大的威脅分析雲，經驗豐富而專註的分析師團隊，深度學習技術積累，國內外領先的網路基礎數據和威脅情報社區，幫助客戶實現以下檢測目標：

1. 以結果驅動的數據收集體系。

威脅情報中心是以實際的檢測和分析能力輸出作為驅動，與SIEM最大的差別在於不是數據的吸塵器，收集過多的數據只會產生更大的雜訊，並對影響性能。僅收集必要的多源數據，極大降低了投入和運維成本，縮短建設周期，可快速見效，有助於幫助管理層逐步樹立對大數據安全建設的信息。這也是國內知名威脅情報公司定位於聚焦威脅，情報驅動的初衷。

2. 能夠快速準確的檢測威脅，發現被控主機。

要基於海量數據和強大分析師團隊提取遍布全球的惡意域名、IP等攻擊基礎設施在網路流量中準確發現失陷主機與被控端的連接。此外應用深度學習方法的DGA演算法，發現對惡意動態生成域名的訪問。TIP還在通過在主機端指定目錄和進程中進行惡意軟體和木馬的發現，進一步幫助定位失陷主機。

3. 結合威脅情報數據和海量基礎數據提升客戶對威脅事件的分析能力。

有效的將企業安全分析所需的海量網路基礎數據、黑客組織畫像等基礎能力植入本地TIP平台，幫助客戶形成一整套用於威脅分析的能力體系。

在實際應用當中，一個高效的威脅情報中心還應具備的實戰應用特性，如微步在線TIP：

· 基於出站流量檢測，實現更全面的失陷主機發現。

· 主機Webshell和流行黑客工具檢測功能。

· 主機惡意文件雲端沙箱與多引擎分析，這是對未知威脅的有效檢測機制。

· 可實現內部溯源分析：最大範圍地發現內部被攻擊的節點，幫助企業更快響應和處理。

· 可對安全事件進行關聯分析。

· 能夠與企業安全現有方案有效結合。

· 具備企業整體安全狀態可視化能力滿足企業態勢感知需求。