许多组织选择通过多种方式共享网络威胁情报(Cyber Threat Intelligence, CTI)订阅各种信息源,其中包括妥协指标方案(Indicators of Compromise, IOC)。在当前市场上,威胁情报最普遍的使用场景是利用IOC情报(Indicators of Compromise, IOC)进行日志检测来发现内部重要风险。这种方式可以发现传统安全产品无法发现的很多威胁,并且因为这其中大多是已经被成功攻击的操作,所以“亡羊补牢”对于安全运营仍会有较大的帮助。该方法的核心是从浩如烟海的日志数据中提取出威胁情报,此时,威胁情报的数目仍然较为庞大,需要从威胁情报中进一步提取出具有实用价值的IOC情报以进一步在安全社区内共享,这就要求根据情报本身质量过滤IOC情报,例如相关性、及时性、准确性、可指导响应的上下文等,上下文问题除了一般会考虑到的风险等级、可信度等信息外,还需要提供相关攻击团伙和家族的攻击目的、危害、技战术等相关的内容,提供相关的远控端是否活跃,是否已经被安全厂商接管等信息,以此响应团队可以判定是否需要响应,哪个事件的优先级更高等。 IOC信息通常通过信息共享和分析中心或组织(Information Sharing and Analysis Center or Organization, ISAC/ISAO)来传播。在这些信息流中寻找可操作、实用的IOC是一个重大挑战,只有实用的IOC才能为网络防御提供实质性的好处,然而即使是实用的IOC中大部分也通常在未使用或丢失直到不再有价值时才使用,此时网络攻击者往往会迅速停止使用特定IOC。 图1 CTI“无悔”策略的应用流程 通过多项研究和试点工作,约翰·霍普金斯大学申请的应用物理实验室(Applied Physics Laboratory, APL)已成功部署威胁源,可在几分钟内收集、提取、识别可操作的IOC,并将其共享给共享组织,如ISAC或ISAO,该方法被称为基于“无悔”策略的方法。图1提供了该过程的可视化示意图。本文简要概述该方法和流程,以帮助其他组织利用这些功能满足社区的网络防御需求。
“无悔”策略方法
对网络防御采用“无悔”策略意味着什么?简而言之,这意味着使用“利益”与“遗憾”评估算法来决定是否需要自动化操作。这导致相应的组织将问题的重点转移到何时采取行动以自动执行操作,而不是是否应自动执行操作。关于基于网络威胁情报的自动响应,“无悔”与“有悔”的定义如下:
-
“无悔”:对网络威胁情报采取自动操作极低概率扰乱正常运营,无论情报评估是否正确。
“有悔”:对情报采取自动操作大概率会对正常运营造成影响。
有关“无悔”策略的方法的更多详细信息可通过APL GitHub页面免费获取: https://github.com/JHUAPL/Low-Regret-Methodology.
应用“无悔”策略对威胁情报进行分类
如本文所述,将“无悔”策略应用于CTI分类,围绕ISAC/ISAO概念展开。恶意网络活动,如勒索软件,通常针对工业部门内的特定行业或社区。这一部分本文详细介绍了ISAC/ISAO等共享组织如何使用开发自动化以快速识别和共享“无悔”策略IOC的方法给他们的社区。
提取可疑指标
信息共享组织从多个信息来源收到大量IOC(其他威胁源、系统警报、成员提交等)。这个过程的第一步关键是从每天收到的大量情报中提取可疑的IOC。这不仅仅是利用正则表达式(regular expression, REGEX)等指标对IOC进行相似匹配,任何信息共享组织都还应根据潜在的恶意指标所在的上下文识别流程对IOC进行匹配。这可以通过恶意签名、标签或其他工具实现共享组织内部用于识别具有与恶意网络活动有关的指纹标识。如果没有指纹标识这一步,那么要分析的数据太庞大,无法为一个不断受到网络攻击的网络主体提供需要的可操作IOC情报。 对这种提取应用“无悔”策略的核心原则是“潜在恶意指标”,许多信息共享机制未能在可采取行动的时间范围内提供数据,因为它们希望在共享数据之前无可辩驳地证明IOC是恶意的。但是做出这一决定的时间通常比网络攻击者积极使用IOC的时间还要长。因此,识别潜在恶意指标的过程必须自动化,并利用可重复的编码步骤来确定潜在恶意指标。这并不意味着忽略所有其他数据,因为这是ISAC/ISAO内部额外情报处理能力的关键功能。
删除已知的误报
签名并不完美,而且源信息中总是存在潜在的不一致。某些威胁针对流行或业务关键型网站,这意味着与恶意行为相关的某些IOC实际上可能非常“遗憾”。由于初始提取是完全自动化的,因此需要实现自动化,以过滤出潜在的恶意IOC,如果这些IOC被自动阻止,它们很可能会影响操作。这些被认为是“高度遗憾”,必须通过其他方式进行评估。在这方面,以社区为中心的共享组织(如ISAC/ISAO)的力量可以显著改善这一过程。然而,一些与互联网服务提供商有关的内容,如互联网服务提供商的IP地址等,也可以很容易地维护其重要的网络服务,即使它们对该社区的影响在全球并不广为人知。
确定“无悔”策略的指标
一旦已知的误报被消除,自动化系统将准备对IOC进行评分,以便根据组织的政策和风险承受能力的定义标准来识别哪些是极不可能影响运营的错误。这一步的关键是了解此类恶意IOC通常具有的共同属性,但授权IOC不共享这些属性。确定这些属性后,下一步是找出在何处以及如何访问有关该属性的信息,以便为IOC做出此项决定。然后可以通过自动化方法访问这些信息,再通过基于指标类型的几个快速查询来评估“无悔”分数指标。这些查询可能包括但不限于:
-
域名期限:新注册的域名不太可能成为关键资产;
映射域的数量:历史上解析为一个或两个域的IP IOC,即使驻留在共享基础设施上,也不太可能跨Internet迁移到关键资产;
已知的恶意行为:恶意文件通常具有分析软件标记的特定特征,而合法文件不具备这些特征;
分析人员审查的IOC:如果共享组织的分析人员或威胁公告的可信来源高度信任IOC是恶意的,并且IOC出现在过程中,则应将其标记为“无悔”,因为它很可能是恶意的;
不符合这些检查要求的IOC不容忽视。相反,它们是威胁情报分析人员将要研究的情报库(现在要小得多)。如果分析人员确定IOC确实威胁到恶意活动,IOC可以再次通过分类流程,并贴上“分析人员审查”标签。
为网络防御源准备指示器
一旦自动化识别出满足“无悔”策略的IOC,它就可以快速转录将每个IOC转换为可共享的格式,例如结构化威胁信息表达(Structured Threat Information expression, STIX)标准。用于确定IOC为“低遗憾”的信息还应包括在IOC的机器可读数据对象中,以便接收者无需重复信息共享执行的步骤组织。
与社区分享
一旦IOC被正确格式化,自动化系统就可以共享数据通过机器速度传递机制,如可信赖的自动变速器智能信息交换(the Trusted Automated exchange of Intelligence Information , TAXI)协议或其他可接受的机器速度社区采用的转移机制。不管分享在所采用的机制中,确保接收者接收所有相关上下文是至关重要的。
结 论
“无悔”策略的使用能够提取运营成本中目前被网络防御行动忽视的许多CTI的价值。它不是一个灵丹妙药,它不会捕获从CTI的积极分析中得出的见解,但它可以提供社区成员可在其安全操作中使用的可操作数据,以破坏针对其网络的恶意活动。 简而言之,“无悔”策略即对系统面临的所有网络威胁进行针对性的特征提取,这种“无悔”之处体现在当威胁被自动处理时,无论自动处理的方法是否得当,都不会较大程度影响系统的正常业务,因此被称为“无悔”,在处理方式上,“无悔”策略的价值之处在于低影响下的自动处理,因此对实时性支持较好,有利于威胁的快速发现与响应。
参考文献
翻译修改自《APPLYING “LOW-REGRET” METHODOLOGY FOR CYBER THREAT INTELLIGENCE TRIAGE:Rapidly Sharing Actionable Intelligence for Network Defense》,作者Charles Frick(Applied Physics Laboratory,JOHNS HOPKINS UNIVERSITY)
转载请注明:IT运维空间 » 安全防护 » 网络安全与自动化威胁情报共享优秀做法
发表评论