威胁情报-知彼

“威胁情报”(Threat Intelligence/TI)这个词准确地说是今年(2015)才高热起来的。下图来自CERT-UK的一份报告(0),显示了”Threat Intelligence”在Google上搜索的结果数量,2014年是76,000个结果。现在,2015年7月18日,这个数字达到658,000,超过下图这些年度数字的总和。

11111

Bruce Schneier说他花了好几年的时间才接受APT(高级持续性威胁)这个流行词,因为他认为APT强调了某种特定的网络攻击者的重要特征,这很有价值。“威胁情报”这个词可能也具备这样的特点,它表明了当前攻防形势下的当务之急是:研究攻击,产生情报,交换共享,驱动防御。

“威胁”本身不是新词,是在风险评估中必须考虑的一个因素,有明确的定义。《GB/T20984-2007 信息安全风险评估规范》中定义的威胁是:可能导致对系统或组织危害的不希望事故潜在起因。

这个标准中,风险评估的核心思路是:IT组织的资产存在价值,各种威胁觊觎其价值,意图利用其脆弱性对其进行攻击获利,这会引发安全事件,是组织面临的风险。知道了风险,也就明确了安全需求,从而可以采取针对性的安全措施,抵御威胁,降低风险。

2222222

这是典型的风险评估,由于不掌握威胁具体的情况,无针对性,所以只能泛泛而论,描述威胁时都是用“可能的”,“潜在的”这些字眼来修饰,实际上就是不知道。“威胁情报”的横空出世,正是为了使这些“可能”和“潜在”变得具体和可知,从而指导行动。

如果说评估脆弱性是“知己”的过程,那么威胁情报则是“知彼”的利器。“知己知彼”,然后能针对性部署安全措施,抵御攻击,百战不殆。传统的风险评估只侧重“知己”的部分,在攻击手段相对固定的年代,保护好自己的弱点基本可以立于不败之地。但如今攻防形势已经大不相同,攻击手段快速演进,APT大行其道,仅从“知己”入手考虑防御措施,效果大不如前。风险评估报告现在总给人没太大参考意义的感觉,就是这个原因。

如果你是单位的网络安全负责人,刚刚上任时,对于本单位的安全状况会处于Unknown unknowns的状态,即完全没概念,连自己该了解什么情况、掌握什么信息都不知道。然后,通过对本单位的IT设施进行全面的脆弱性评估,你会达到Known unknowns的状态,清楚了自身的情况,但也明白,有些该掌握情况自己还不掌握,所以安全状况到底如何,心里还是没数。理想的威胁情报,能够让你达到Known knowns的状态——不但知道本单位存在什么容易被攻击的弱点,还知道攻击者的动机和手段,知道如何部署防御措施,知道如何检测攻击,攻击会造成何种影响,该如何响应攻击事件等。

3(1)

大潘最近提了个信息安全人才南北向的说法,很有意思,可惜只听过转述过来的片言只语,没听亲耳聆听过,所以可能理解的不对。是不是可以这么说——北向人才盖房子,树栅栏,从建设和防御的角度考虑问题;南向人才挖漏洞,做渗透,从破坏的角度考虑问题。那么对于威胁情报来说,就是由北边提出需求,南边收集数据,通过分析获取信息,根据信息生产情报,交给北边使用,使用过后,北边给出评估,然后继续提出新的需求。这是威胁情报的一个循环。借北向南向这种有趣的概念发挥一下,说明一些威胁情报有关的概念,可能与“南北向”的原意不符。

4(1)

CERT-UK的报告中将威胁情报分为两个维度四个象限。层次维度上,低层次的是技术的和战术的,高层次的是业务的和战略的;期限维度上,短期内是技术的和业务的,长期内是战略的和战术的。这是一种比较细的分类方法,一般只分战略的和战术的两种,其中,战术性的威胁情报可能最广为接受的威胁情报概念。

5

战术性的威胁情报应该是结构化的信息,便于计算机读取和处理,可以快速、甚至自动地应用于防御行动。Gartner的威胁情报定义也强调可行动(Actionable)。同时作为情报,还应该形成标准,便于交换和共享,在产业内实现专业化分工,提高效率,形成供应链;IT系统的安全负责人作为情报的消费者,也能够快速从外部渠道获取相关情报,感知相关威胁,实现积极防御。这都需要实现威胁情报的标准化。

结构化威胁信息表达——STIX是威胁情报的一种标准格式(1),其中包括的主要信息项有以下几类:

  • 可观测对象:文件名、注册表项、HTTP请求等结构化威胁信息的基本信息单位
  • 入侵指标IOC;特定的表明了入侵行为的可观测对象,如文件哈希,IP地址,域名,网络/主机标识,工具等
  • TTPs:攻击者的战术,技术和过程
  • 利用目标;被定位用于攻击的系统脆弱性
  • 响应行动;旨在降低影响的安全事件响应
  • 攻击活动;抱着一定的目的发起的系列攻击
  • 威胁者:独立的黑客,无论水平高低;计算机犯罪组织;国家行为;内部人员等

从各类入侵指标到TTPs等信息项,攻击者对其进行更改的代价越大,作为情报的价值也越高。价值低到高的排序为:文件哈希,IP地址,域名,网络/主机标识信息(如浏览器User-Agent等),工具,TTPs。根据Mandiant公司著名的APT1报告产生的STIX格式的威胁情报XML文件近6万行,内容是结构化方式列出的APT1报告中的域名、MD5、数字证书、恶意软件文件名等信息(3)。

7(1)

STIX格式由美国国土安全部资助的Mitre公司提出,同时提出的还有一个交换机制TAXII,用来交换STIX格式的情报。从各方面来看,STIX/TAXII可能是最有前途的威胁情报标准。

另外还有几个标准(2)。OpenIOC.org由Mandiant(属于FireEye)公司创建,它定义了一个XML格式,可以用来描述网络和主机上的恶意活动,包括文件哈希,进程信息项,注册表项,一组描述恶意代码行为的指标项,服务名或者文件名等。这种格式只能用专用工具生成和编辑,而工具只有Windows版本。OpenIOC.org不提供威胁情报交换机制,但其格式可嵌入STIX,通过TAXII进行传输交换。

VERIS和IODEF是两个主要用于描述事件的标准,前者由电信运营商Verizon开发,支持JSON和XML两种格式,不提供传输机制,可映射至STIX格式;后者由RFC5070工作组开发,并提供一种称为RID的机制用来交换。IODEF格式可方便地转换为IP黑名单,Snort规则等入侵检测系统的特征签名。

网络攻防是一场不折不扣的战争。两军对垒之时,你需要了解敌人是谁,哪些兵种,多少兵力,怎么部署,什么武器,由谁指挥,谋略如何,善用何种计谋,武将多少,战力如何,善用什么武器,后勤给养如何,后方形势如何,军内士气如何等等。网络攻防中,威胁从来一个一个都是具体的、真刀真枪的敌人。他们可能是一些脚本小子,可能是某个病毒,可能是无知的内部员工,可能是盯了很久的计算机犯罪组织,甚至有可能是某个国家行为主导下的力量。它们到底是谁,会对你的IT系统做什么,手法如何,这都是你需要了解的。

防御者天然弱势,看不见对手,但要永远提防,不知道对手将在什么时候,将用什么手段来攻击。对手以逸待劳,只需要一次奏效的攻击就能得手。而你只能永远战战兢兢,如履薄冰。

面对如此艰难的防御工作,何以解忧?唯有TI。


(0)www.cpni.gov.uk/Documents/Publications/2015/23-March-2015-MWR_Threat_Intelligence_whitepaper-2015.pdf

(1)http://stixproject.github.io/getting-started/whitepaper/

(2)www.cpni.gov.uk/Documents/Publications/2015/11-jUNE-2015-CONTEXT_CPNI_Threat_Intelligence_FINAL.pdf

(3)http://stixproject.github.io/examples/apt1-stix-1.2.zip

[via@网安志异]