安全威胁情报简述

, ,

安全威胁情报简述

该篇文章内容主要来自漏洞银行的公开课,主讲人是g3on。此篇是自己学习情报工作时,对于安全相关方向的记录,希望与你分享。

安全威胁情报简述

什么是安全情报?

可以分为:资产情报、事件情报、漏洞情报和威胁情报。

注意,我们常说的威胁情报,并不完全等同于安全情报。

四大类信息[2]

  • 资产情报:主要用于确认企业自身的资产

    e.g. 企业自身的数据SOC、SIEM数据日志、告警等。

  • 事件情报:对于已经发生的安全事件的报道

  • 漏洞情报:软硬件各种已知或未知的漏洞的情报

    e.g. cve, nday

  • 威胁情报:

    OSINT(Open source intelligence ,公开资源情报); 未公开数据(黑产群、社区等)。

  • 资产情报如何搜集?
    • 主要来自于企业的SOC( Security Operation Center), SIEM(Security Information and Event Management)数据
    • 网络日志等
    • 告警信息

什么是攻击源画像?

画像:根据用户社会属性、生活习惯和消费行为等信息而抽象出的一个标签化的用户模型。

攻击源画像:描述攻击源的基础设施、技术风格、惯用手法等标识。

什么是安全威胁情报?

SANS:针对安全威胁、威胁者、利用、恶意软件、漏洞和危害指标、所收集的用于评估的应用数据集

iSight:网络威胁情报是关于已收集、分析、分发的,针对攻击者和其动机的目的手段,用于帮助所有安全级别的,和业务员工的,用于保护企业核心资产的知识。

总的来说:

威胁数据——> SIEM(安全信息与事件管理)——>安全保障

常见误区

1.漏洞情报就是威胁情报。威胁企业的,漏洞只是一部分。漏洞知己,威胁知彼。

2.威胁信息=威胁情报。 威胁情报,不仅是收集,还需要分析。情报是已经处理和分析的。

3.威胁情报就是信息收集。信息收集只是威胁情报的第一部分。情报是对企业有意义的。

安全威胁情报的现今发展

情报体系

行业标准:CybOX, STIX和TAXII等[3],《网络安全威胁信息格式规范》。

常规做法:渗透黑客、诈骗犯社区、漏洞平台、漏洞库、安全社区、针对性漏洞、代码研究

国内厂商:微步在线、360威胁情报中心、X-Force Exchange(IBM的一个威胁情报平台,链接)、NOSEC大数据平台PolySwarm

监控黑灰产常用的威胁猎人。“星云”业务风控系统。TODO

利用厂商的这些产品,可以更快更方便的收集整理信息,但这只是一小部分。

为什么企业需要威胁情报?

~提供了培养公司整体网络风险感知的指南

~驱动公司安全建设方向和降低灾损危害

~不再是料敌先机和被动防御,更能防守反击

怎么从白帽子黑客转为情报员?

  • 基本保密意识和反社工能力,善用搜索引擎和社工收集信息(最常用的)

  • 热点制作与钓鱼,渗透入侵等技术手段获取敏感信息

  • 从海量数据中筛选分析真假数据(核心是数据分析0),生成画像溯源威胁源。使用工具收集整理和分析

  • 战术开发,战略规划。(产出入侵方案和反入侵方案)

企业安全建设

情报收集常用方法

第一步,进行威胁情报信息收集。

  • OSINT:聚合分析,情报圈,威胁情报平台,共享威胁情报[1]

    • 扩:聚合分析是什么——对有关数据进行内容挑选、分析、归类,对一个数据集求最大、最小、和、平均值等指标的聚合。最后能够产生标量值的数据转换过程。
      简单地来说,就是聚集大量数据,分析和处理后,产生一个可用的结论。

  • 未公开情报:暗网情报、黑客黑产社交社区(Telegram中存在大量的交流频道,频道搜索)

  • 基础情报:SIEM(Security Information and Event Management,比较有名的软件比如McFee的SIEM)、FC-ISAC、日志管理器等威胁数据

情报分类及画像

收集的情报会有很多,但我们需要对情报进行分类,对其重要性进行评估。也是就是对情报进行级别划分。

  • 战术级情报(标准的安全知识定义)——运营级情报(标签化的画像、场景的运用)——战略级情报(国家层面,高效的知识传递手段)

  • 威胁情报是为了解决:检测误漏、防护滞后和相应迟缓等问题。

  • 威胁情报是一种知识和能力,目的也很明确,是为了企业进行更好的安全决策

不同情报类型在企业的应用

  • 策略情报
  • 行动情报
  • 战略情报

情报研判

情报研判属于公安或者网安专门用于经济犯罪的情报侦缉手段。

情报收集平台

举例,不同的情报收集平台。

RedQueen

  • 链接
  • 安全情报,并不及时

永安在线

  • 原威胁猎人。提供黑产对抗与反欺诈服务。链接

  • 产品本身不免费,但提供了一个开源的风控系统“星云”

[TODO,看看黑灰产报告,https://zhuanlan.zhihu.com/p/34087704]

TreatBook

  • 微步在线情报社区
  • 提供一个域名监控功能,当一个域名发生变化的时候,平台会把监控信息发送到指定邮箱。在企业中,可以监控自身的域名资产,排查异样的情况。
  • 可视化 功能,可以看到相关域名等信息。

如何收集?

  • 拿到数据后,从一个常见的指标进行分析:

    • 网络。IP,URL
    • 主机。文件哈希,动态链接库,注册表
    • 邮件

  • 使用开源的威胁情报平台 [TODO]

  • 自己搭建蜜罐、蜜网,收集攻击数据(IP,Hash,URL等)

  • 对自己的已有资产进行分析建模

互联网资源搜索

身份类

  • 身份类信息概述
    • 国家信息体系建设介绍
    • 政府开放信息资源介绍
  • 政府开放信息查询
  • 信用信息查询
  • 法律裁判及处罚查询
  • 职业身份查询
  • 其他

手机号

  • 号码归属地查询

  • 持机人身份查询

  • 位置查询

  • IMEI查询

  • IMSI查询

    • 超雪IMSI
    • the-x

  • ICCID查询

    • ICCID查询
    • 果粉查询
    • 卡神查询
    • 找果网

  • MAC查询

  • 行踪查询

金融类

TODO

图像类

  • 图像识别

    • 以图搜图
      • Google 图片
      • 百度识图
      • 搜狗图片
      • 360识图
      • 汇图网
      • 淘宝网
      • Saucenao
      • Tineye
    • 微博图片来源插件
    • 拍照识别
      • 花伴侣
      • 形色识花

  • 人脸识别对比

  • 图片位置信息查看

  • 图片及网页内容检测

  • 超高清图像拍照

  • 在线视频查看

  • 模糊图像处理

  • 视频编辑

物品类

搜索类

其他类

情报研判详解

[TODO]

情报带来更多的是攻防思路的变化

其他

  • 如何学习情报分析

    推荐的书籍:

  • 安全威胁情报是和数字取证相关联的,数字取证获取的一部分资料,就是安全威胁情报的一部分。

  • 黑客和情报员的身份是可以同时存在的。

参考资料

[1] 威胁情报的私有化生产和级联:威胁狩猎及情报共享(https://www.freebuf.com/articles/es/222359.html) TODO

[2] 威胁情报的层次分析(https://ti.360.net/blog/articles/level-of-threat-intelligence/)

[3] About CybOX(Archive)(https://cyboxproject.github.io/about/)