威胁情报
介绍对 SOC 检测能力有影响的 TI 基本组件。
本页绝不是 TI 的 Codex,而是为您介绍交付 TI 的基本组件,这些组件对 SOC 的检测能力有影响。英国内政部制作了一份有用的指南,更详细地探讨了 TI 的复杂性。
威胁情报 (TI) 的作用
威胁情报是指对攻击者活动的了解。这可以是关于威胁行为者动机的简单叙述,也可以是对攻击者策略、技术和程序的深入技术描述。
威胁情报的价值取决于您的检测方法:
- 如果您使用商业工具来检测攻击,则威胁情报通常由供应商进行,您可能不需要自己的 TI 功能。
- 如果您要实现自己的用例和警报,TI 是尝试保持领先地位或至少与攻击者保持同等水平的关键部分。
TI 还提供了在入门时有用的宝贵见解。
情报共享
无论采用哪种方法,及时了解最新的威胁形势都至关重要,这就是情报共享发挥作用的地方。
NCSC 运营一项名为网络安全信息共享合作伙伴关系 (CISP) 的服务,这是一项行业和政府联合倡议,旨在允许英国组织在安全和保密的环境中共享网络威胁信息。
CISP 适合在组织内负有网络安全义务的专业人士。这些人必须为英国注册组织或英国政府工作。
欲了解更多信息,请参阅我们的CISP 页面。
TI 格式
在思考 TI 时,痛苦金字塔很有价值。它指的是如果您可以检测到攻击者的部分攻击,攻击者将必须做的额外工作(痛苦)量,突出了 TI 在 SOC 中的重要性。
痛苦金字塔-TI 有多种格式,但您可以将其分为三大类。其实际使用范围取决于 SOC 中可用的工具和资源。在理想情况下,SOC 将利用所有类型的 TI。
妥协指标 (IoC) - 在最低级别,开源 TI 源将提供妥协指标。这将包括已知的不良 IP 地址、域、哈希值和字符串等内容,所有这些都可以与您的日志进行比较。如果匹配则表明系统正在与已知的不良 IoC 进行交互。有许多 IoC feed 可以使用并引入到监控解决方案中。
战术技术和程序 (TTP) - 比 IoC 稍微抽象一些,定性 TI 通常指的是攻击者 TTP,这对于创建行为分析非常有价值。例如,与您的组织相关的某个威胁参与者一直在利用几个特定的系统工具来执行权限升级。此类信息如果使用正确,可以转化为检测用例。
情境 - 更抽象的信息可能有助于指导研发或完善 SOC 策略。这通常包括有关趋势和地缘政治局势的信息。
威胁情报平台 (TIP)
小心,这里有龙 和 万金油!TIP 是 SOC 存储、关联和管理 TI 的地方。它们配置为从 TI 提供商获取 TI 源(通常是 IoC),并链接到您的 SIEM 工具以实现 IOC 的自动检测。
市场上有多种 TIP,因此找到适合您的工具非常重要。如果无需太多麻烦就需要 TI,那么商业工具可能非常宝贵,但可能缺乏开源工具带来的一些自由。(MISP是使用最广泛的平台之一,值得考虑)
获得TIP后,需要找到可为SOC提供最大价值的 TI 源。开源源为您的组织提供一系列情报 (OSINT)。也有一些商业源可以提供稍微更定制的服务。
实施 TIP 的关键部分是:
- 确保不会陷入低可信度、过时的 IoC 中 - 请记住,攻击者很容易更改 IP 地址。请注意,某些威胁源可能不包含“最佳使用日期”,随着时间的推移,这可能会导致 SOC 无意中将合法地址标记为恶意地址。
- 不要低估分类定性情报(白皮书、报告、新闻文章)的价值 - 确保分析师有时间阅读和消化英特尔报告将有助于更好地理解和更好的用例。
- 根据价值对情报进行评分 - 如果它不断产生误报,那么也许可以检查正在使用的来源。
- 确保TI 来源能够提供价值。这是一个竞争非常激烈的市场,因此没有必要把所有鸡蛋放在一个篮子里。