如何評估威脅情報中的情報源，是你作出應對之策的首要問題

新聞 06-09

隨著攻擊面不斷擴大和威脅的日益複雜。對於安全行業的人員來說，僅僅對攻擊事件做出相應的應激反應是不夠的。日益複雜的環境為攻擊者提供了多種攻擊機會。由於每個行業和組織都有自己獨特的數據保護需要，並使用和自己需求匹配的一套安全應用程序、安全技術等。不過，從另一個側面來講，使用的安防手段越複雜，攻擊面也就越多，所有這些都為新的攻擊方法引入了大量的新變數，這也是攻擊事件層出不窮的另一個原因。

在過去幾年中，我們觀察到攻擊事件正在和其原始的開發組織之間的關聯關係變得越來越遠。以前只被少數組織利用的攻擊方法和工具，由於黑市產業鏈的形成，已經非常普及了。再加上網路技術的門檻越來越低，對攻擊技術的改進速度也是非常的快。這意味著，就算你發現了攻擊，也無法從根源上去剷除其背後的組織和利益方。以影子經紀人組織(Shadow Brokers group)為例，2016年，一夥叫做「影子經紀人」神秘黑客組織成功黑掉了「方程式小組」，並使大量「方程式小組」的黑客工具大量泄漏。之後，「影子經紀人」不僅免費向所有人泄露了其中部分黑客工具和數據。還宣稱將通過互聯網拍賣所獲取的這些「最好的文件」，如果他們收到100萬個比特幣，就會公布更多工具和數據。據CNET報道，如果沒有黑客組織Shadow Brokers（影子經紀人），勒索病毒WannaCry的影響力絕不會像現在那樣遍布全球。

另一個例子是高級持續威脅（APT）活動的出現，其重點不是網路間諜活動，而是通過竊取資金，為APT集團參與的其他活動提供資金。應該說，這樣的例子不勝枚舉。

成功的防禦需要新的方法和思路

隨著企業越來越多地成為先進和有針對性攻擊的受害者，很明顯，成功的防禦需要新的方法和思路。為了保護自己，企業需要採取積極主動的方法，不斷調整其安全控制策略以適應不斷變化的威脅環境。因此，跟上這些變化的唯一方法是建立一個有效的威脅情報計劃。

威脅情報指在為面臨威脅的資產主體(通常為資產所屬企業或機構)提供全面的、準確的、與其相關的、並且能夠執行和決策的知識和信息。

根據Gartner對威脅情報的定義，威脅情報是某種基於證據的知識，包括上下文、機制、標示、含義和能夠執行的建議，這些知識與資產所面臨已有的或醞釀中的威脅或危害相關，可用於資產相關主體對威脅或危害的響應或處理決策提供信息支持。業內大多數所說的威脅情報可以認為是狹義的威脅情報，其主要內容為用於識別和檢測威脅的失陷標識，如文件HASH、IP、域名、程序運行路徑、註冊表項等，以及相關的歸屬標籤。

威脅情報已經成為各個行業和地區的不同規模公司建立的安全行動的一個關鍵組成部分。威脅情報以人類可讀和機器可讀的格式提供，可以在整個事件管理周期內為安全團隊提供有意義的信息，並為戰略決策提供信息。

以中國為例，2017年9月，由啟明星辰、天融信、衛士通、華為、安天、360、山石網科、安恆、眾人科技、格爾軟體、立思辰、飛天誠信等多家中國網路安全行業領軍企業，發起了「威脅與攻擊情報交換共享聯盟」（簡稱「威脅情報交換共享聯盟」）。

然而，對外部威脅情報日益增長的需求，已經產生了大量威脅情報供應商，每個供應商都提供許多不同的服務。隨著網路安全市場的公司越來越多，每個公司都號稱自己的解決方案獨一無二，這可能會使為你的組織選擇在作出正確的選擇時，變得無從抉擇。

不針對企業具體情況而定製的威脅情報可能會加劇問題，如今，在許多公司中，安全分析師花費超過一半的時間來排除篩選假陽性，而不是主動尋找和應對威脅，這導致檢測時間顯著增加。向你的安全操作提供不相關或不準確的情報將使錯誤警報的數量進一步增加，並對你的響應能力，以及你公司的整體安全產生嚴重的負面影響。

選擇最符合你的威脅情報來源

那麼，你如何評估眾多的威脅情報來源，怎樣確定哪些與你的組織最相關，並有效地實施它們?幾乎每個供應商都聲稱自己的方案是最好的，那你如何辨別它們呢?

對於這些問題，我的答案是這些問題都不是問題，因為最有價值的情報就來源於你自己公司網路內。市面上的那些公司，都是第三方，對自己公司網路最了解的還是自己。

來自入侵檢測和預防系統、防火牆、應用程序日誌和其他來自安全控制的日誌的數據可以揭示公司網路中發生的許多事情。這些情報可以識別特定於組織的惡意活動模式，也可以區分普通用戶和網路行為，幫助維護數據訪問活動的蹤跡，識別需要預防的潛在數據漏洞等。有了這些情報，公司就可以對外部公司提供的威脅情報進行有目的的判斷，並將其與內部觀察到的情況聯繫起來。否則，盲目利用外部資源可能是困難的。事實上，一些供應商可能對網路威脅情報的搜集要遠遠好於某些安全網路公司，因為它們的產品遍及全球，會從世界不同地區收集、處理和關聯數據，但只有在有足夠的內部環境中才有用。

為了構建有效的威脅情報計劃，公司（包括已建立安全運營中心的公司）必須像攻擊者一樣思考問題，識別和保護最有可能的攻擊目標。從威脅情報程序中獲得真正的價值需要非常清楚地了解什麼是關鍵資產，以及哪些數據集和業務流程對於實現組織的目標至關重要。通過識別這些「王冠上的寶石」，公司可以在它們周圍建立有針對性的情報收集點，進一步將收集到的數據與外部可用的威脅信息進行對比分析。考慮到信息安全部門通常擁有的分析工具和資源都有限，對整個組織進行剖析是一項艱巨的任務。因此，高效的解決方案是採取基於關鍵目標的防護策略，比如，首先關注最易受影響的目標。

一旦確定了內部威脅情報來源並將其作為使用外部策略的參考依據，公司就可以開始考慮將合適的外部工具添加到現有安全工作流程中。

注意，外部威脅情報來源的信任度也各不相同:

1.開放源碼是免費的，但是它們常常缺少使用背景，並且返回大量的誤報。

2.要有一個有針對性的情報收集途徑，可以訪問特定行業的情報共享社區，比如金融服務信息共享與分析中心(FS-ISAC)。這些社區會提供非常有價值的信息，不過要想辦法成為會員才行。

3.商業威脅情報來源要可靠得多，儘管購買訪問它們的許可權可能會很昂貴。

外部威脅情報來源的選擇應以質重為第一選擇原則。一些組織可能會認為，選擇的外部情報工具和途徑越多，他們能整合的威脅情報來源越多，就能獲得更好的情報。應該說在某些情況下，這可能是正確的。例如，當來源（包括商業來源）高度可信時，提供針對組織的特定威脅配置文件定製的威脅情報才有效。否則，它會讓公司陷入被誤導的重大風險。

不過通常情況下，不同的專業威脅情報供應商提供的重複性信息可能非常小。由於他們的情報來源和收集方法各不相同，所以他們各自提供的見解在某些方面都是不一樣的。例如，在某個特定區域具有重要影響力的供應商將提供關於該區域發出的威脅的更多細節，而另一個供應商將提供關於特定類型威脅的更多細節。應該說，同時獲得這兩方面的情報可能是最好的選擇，因為一個是宏觀的，另一個是細節的。如果把它們結合起來使用，可能有助於分析出一個更有針對性的情報策略，並指導更有效的情報搜索和事件響應。但請記住，這些可靠的來源還需要仔細的事先評估，以確保它們提供的情報適合你的組織的特定需求和用例，例如安全操作、事件響應、風險管理、漏洞管理等。

評估商業威脅情報產品時需要考慮的問題

目前評估各種商業威脅情報產品仍然沒有共同的標準，但在評估時要牢記以下幾點:

1.尋找具有全球情報搜集能力的情報機構，因為攻擊沒有邊界，針對拉丁美洲公司的攻擊可以從歐洲發起，反之亦然。供應商是否在全球範圍內收集信息，並將看似無關的活動整理成有價值的信息?這種能力至關重要。

2. 如果你正在尋找更具戰略性的組織來為公司的長期安全計劃提供情報，則這些組織必須具有以下能力：

·能將攻擊趨勢用圖像呈現出來；

·攻擊者使用的技術和方法要有獨創性；

·該組織成立的目的和動機，是為了幫助客戶更好的服務還是有其他目的。

3.尋找一個有可靠的威脅情報提供商，不斷發現和調查你所在地區或行業的威脅情況，情報提供商根據公司的具體情況調整其研究能力的能力也很重要。

4.根據公司的需要和所在環境，提取有針對性的情報，沒有有針對性的情報是沒有什麼價值的。例如，從與檢測到的IP地址相關聯的域或從中下載特定文件的URL中找到的情報，才能讓安全人員作出具體的應對之策。

5. 假設你的公司已經有一些安全控制措施，並定義了相關的流程，那麼對於你來說，使用已經使用和了解的工具來讓外部威脅情報更有價值，才是最重要的。因此，將外部威脅情報順利集成到現有安全操作中，是非常重要的。