(一)简介
本报告描述了提供外部情报的30家供应商,为行业提供了参考。 它还提供了使用这些数据建立成功的威胁情报能力的指南。
1.1 关键点
威胁情报市场不智能
情报是指广泛的产品和服务,这使得产品难以比较。本报告给出三个主要情报:战术攻击指标(tactical
indicators),原始情报(raw intelligence,)和最终情报(finished
intelligence)。我们给出了这些产品的示例,以及相应的供应商。
通过威胁情报开发安全策略
安全和风险(S&R)专家必须在战略情报的基础上,以了解威胁态势,建立自己的情报能力。编制风险记录(risk register),并实施有针对性的流程改进,使用风险优先级,来证明您的安全花费。
了解“Trailing”指标
战术指标被称为“Trailing”,因为它们需要在使用前观察、分析和共享。了解这些指标的根本性质,对于确定适当用例非常重要。
(二)使用外部情报了解和预防威胁
攻击者窃取信息也有动机和技巧。 攻击者要最难改变的是他们的策略、技术和程序TTP–如何攻击(见图1)。 S&R专业人员可以使用外部威胁情报来了解其他组织的攻击趋势和线索,当这些威胁攻击者将注意力转向你时,你就可以使用情报。
2.1 外部威胁情报能检测甚至预防攻击
网络攻击并不是从利用开始,以数据窃取结束。犯罪分子仔细计划,如何开发他们进行攻击所需的基础架构,然后获利。这意味着S&R的专业人员还必须仔细计划,以检测和防止攻击。外部威胁情报如何帮助?它可以:
>>领先于欺诈者,后者冒充注册虚假域名。今天的组织也意识到与冒充他们欺骗客户的攻击者有关的声誉风险。即使您的组织不是攻击链的一部分,您的品牌也将遭受损失。检测何时创建攻击的基础设施很重要,以领先于冒充组织的攻击者一步。最近受到关注的一个新兴威胁是homograph攻击,攻击者使用Unicode字符创建与合法域名无法区分的域名。
>> 跟踪利用漏洞的工具来优化补丁。了解攻击趋势和使用漏洞工具是制定打击勒索和其他类似恶意软件攻击的策略的关键第一步。通过从漏洞工具广告中收集战术情报,您可以确定被利用的常见漏洞和暴露(CVE),优先考虑打补丁,防止您的组织受攻击。
>>通过监控暗网市场窃取的数据来检测攻击行为。监听攻击的一个地方就是数据商品化。虽然检测到被盗数据的销售并不是识别攻击的理想时间,但考虑到外部攻击者的停留时间平均为107天,最好是能发现这种行为,而不是允许其持续。 例如叫GameStop的信用卡处理器是今年在线销售的卡的最流行的链接。
2.2 供应商根据处理和分析水平的不同供应不同的威胁情报
情报生命周期是提问、研究和回答的过程。在此过程中,组织收集、处理和分析数据,将其转化为成品情报产品(见图2)。组织将在情报周期的哪个阶段对接这种分析,取决于其运营成熟度,这就是为什么供应商提供三种类型的情报
– 战术指标(tactical indicators)、原始情报(raw intelligence)和最终情报(finished
intelligence)。
>>如果有足够的上下文,战术指标是有用的。攻击指标(IoC)是S&R人员可用于检测威胁或攻击的hash、域名,IP地址或其他模式。一个重要的注意事项是使用这些攻击指标时需要上下文(context)。
STIX语言使用12个不同的域对象来描述威胁,攻击指标只是其中之一。必须了解攻击指标的上下文,以便在触发基于该指标的告警时,了解其对组织的影响。例如,赛门铁克为Trojan.Corentry恶意软件标识了“非常低”的风险级别。如果有信息显示网络上出现恶意软件感染的系统,将如何应对?如果风险很低,该怎么办?如果中情局渗透了组织,那该怎么办?如果攻击指标不提供攻击背景,则不值得投资。
>>原始情报已经收集和处理,但未被分析。通常,通过API访问可以提供原始情报,根据关键字或其他信息进行搜索或告警(见图3)。一个例子是pastebin告警,它允许用户指定关键字,一旦出现粘贴,则生成电子邮件告警。这是原始的、没有完成的情报,因为告警只表明你有一个关键字匹配,不包括是谁粘贴文本的细节。类似地,虽然逆向工程师可能被认为是分析一部分恶意软件,在与其他攻击背景配对之前,该分析并不成为成品情报产品的一部分,例如在哪儿发现攻击、相关威胁方,以及恶意软件的动机等。
>>最终情报是消耗品,不需要再分析。最终的情报需要解释,并将原始情报加上攻击背景和上下文。例如,在分析和制作过程中,中情局会更加仔细地查看所有的信息,并确定如何关联在一起,集中在回答原始的任务。有几种类型的最终情报,每个类别都代表着外部威胁情报服务提供商的一个独特任务,向客户提供满足具体的情报需求(RFI,requests
for intelligence)服务,形成能力,使得客户可以进行有针对性的研究(见图4)。
图3 不提供上下文原始情报
|
恶意软件分析 |
由逆向工程师或取证调查人员进行的详细分析,以确定关键要素,如网络/主机工件、被利用漏洞以及其他相关指标,帮助您了解攻击者使用中的策略,技术和程序 |
|
攻击账号数据 |
通过公共攻击或隐蔽手段泄露的帐户,有查询或告警的能力 |
|
原始情报访问 |
API或门户驱动的搜索功能,用于查询与品牌、身份或其他攻击指标相关的关键字的收集能力 |
图4 最终情报(原始智能加上攻击上下文)
|
管理保护 |
监控假冒、诽谤或劫持帐户,有针对性的威胁、由于旅行导致被无意攻击以及个人信息泄漏 |
|
欺诈情报 |
监测信息泄漏、洗钱计划以及针对该组织的其他欺诈证据。将此作为最终情报的一个重要部分是,能够跟踪欺诈者尝试商品化的信息泄露的来源 |
|
品牌保护 |
监控意图损害品牌的收入或声誉的假冒、诽谤 |
|
漏洞风险 |
报告漏洞利用的趋势,以允许企业在其威胁态势下优先考虑漏洞修复工作 |
|
威胁方数据 |
详细介绍攻击方的策略,动机和能力,使组织能够评估风险,并结合相关攻击指标来协助检测、归因和删除威胁 |
|
内部威胁监控 |
监测网站和论坛,发现对内部人员的招募或尝试出售特权用户数据 |
|
第三方风险 |
对第三方的安全状况、易受攻击以及数据泄露的评估和评分,以确定将其纳入供应链的风险 |
|
原始情报访问 |
管理层的消耗性情报报告,告知安全策略并提供对威胁态势的理解 |
|
情报需求 |
客户需要丰富的、有针对性调查的能力 |
(三)根据公司的成熟度和规模大小选择供应商
我们从客户那里听到的一个常见问题是“我应该订阅什么攻击指标feed?”不幸的是,没有一个简单的答案。
建议根据您公司的成熟度、垂直度和规模大小而有所不同。
为了帮助S&R专业人员了解总态势,选择供应商,并将外部威胁情报整合到组织路线图上,我们列举了30个外部威胁情报供应商及其功能。
了解信息的来源,以便正确评估如何确定优先次序,消化这些观点也很重要,因此我们列出了供应商提供的用于收集数据的情报资源的比例(见图5,见图6)。
图5 了解外部威胁情报的主要来源
|
表网
(Surface web) |
表网是互联网的一部分,由搜索引擎搜索,信息可以自由访问。 虽然这种情报偶尔会因为公共来源而被看不上,但这种蔑视忽略了两个关键因素:犯罪分子面临着为其货物提供无障碍市场的必要性,人们常常犯有操作安全的错误。 现实是,可以从开源中获得大量有价值的信息,但不能保证您所获得的不是深加工的市场材料。 |
|
深/暗网 |
深网是一系列站点的集合,由搜索引擎、需要身份验证,只能通过特定的网络协议访问。 暗网是其中的一个子集,需要使用TOR或类似协议来建立排他性和匿名性。 从深网收集的信息需要人员建立信誉,才能获得资产访问,这是非常特定和敏感的情报来源。 |
|
社交网络 |
社交媒体监控经常与声誉风险相关联,这就是为什么在消息传递中经常出现这种情况 |
|
网络传感器 |
传感器网络,从部署在全球各地的网络监视设备不同,用于检测到新域名的注册、对未知文件进行静态分析的终端产品,以及从全球托管安全服务提供商的SIEM告警。 本类信息往往是非常有战略性,需要进一步的分析,以归因为某个威胁方。 |
3.1 在构建威胁情报能力时,遵循三个简单的步骤
许多Forrester客户不仅对企业中的威胁情报能力的有效性提出质疑,而且也关心产品、资源和人员的成本。幸运的是,您可以通过三个简单的步骤,可以获得初步投资的回报和利益:
1、重点关注最终情报,减少人员需求。我们所调查的许多供应商都提供最终情报即服务,用户可以立即消费。不要掉入初期投资战术攻击指标feed的陷阱,一般来说,初期组织无法有效地利用这种类型的情报。
2.使用战略情报和情报需求RFI来了解威胁景观。威胁情报的初步目标应该是根据当前和不断变化的威胁景观,将您自己的安全战略决策演变为超越最佳实践,并做出情报决策。学习和并提出问题。使用情报需求(RFI)来利用情报供应商获得未知文件的逆向工程能力。这种新的供应商关系不仅可以帮助您更有效地理解和沟通威胁,还可以立即扩展SOC的功能。
3.寻找从多个来源收集数据的供应商。当你使用多个Feed进行威胁情报收集时,具体的用例将会影响决策。威胁情报是一种微妙的艺术形式。当进行初始投资时,请专注于从广泛来源收集和分析数据的供应商。
3.2 随着情报能力成熟度的提高,关注于研究
在情报周期中,请注意如何改进流程和总体产出。了解威胁态势以及这些攻击如何在您的组织中显现出来,定制收集策略,以实现情报能力。在这一点上,需要分析人员帮助开发收集策略,管理情报能数据,并准备简报。
>>创建一个风险记录,以跟踪机构的威胁。战略情报能力应产生一个文档,识别威胁的关键风险、威胁方和业务影响。准备好处理威胁,遵循安全策略,以减少这些风险。通过关注组织的具体威胁,丰富情报的能力。本报告对许多类型的最终情报产品进行了概述,以帮助用户开始使用。
>>在各个阶段解构攻击模式和目标情报。接下来,投资于原始和最终情报产品,以更好地帮助识别确定的威胁。以下是来自特定来源(如暗网)情报可以帮助定位已收集的情报。使用传感器网络来捕获诸如域名注册的事件,因为对手是在建设攻击基础设施。订阅feed以识别被利用的新功能和漏洞。监控暗网被盗凭证的转售,不仅可以识别您组织内泄漏的信息,而且还要保持对可能受到credential
stuffing的客户告警。
>>能理解没有一家供应商能够完全满足需求。专门从暗网等渠道收集信息的供应商将能对特定点有帮助。其他供应商,如具有传感器网络,可以收集和报告在不同的时间框架和不同的性质的事件。拥有多样化的来源将使您获得这些收益,你需要一个多供应商的解决方案。
3.3 先进组织可以积极应对威胁
想要从SIM中获取情报是可以理解的,这不是这些数据有效的使用,会降低SOC的运行效率。应该:
>>在集中管理威胁情报。当您的组织开始使用大量的情报数据时,重要的是要集中收集和分析这些数据。威胁情报平台可以自动执行这些任务,甚至可以与您的业务流程工具集成,自动丰富告警,从而使您的SOC更加高效。
>>对检测到的威胁进行关联分析,寻求进一步追踪进一步的攻击。战术指标的价值在于他们的关系。即使不归属于威胁方,也能够将在同一时间和地点观察到的两个指标相关联,可以推断出它们可能相关。这就是实时流分析的挑战
– IP地址、DNS名称和其他战术攻击指标太短暂,无法有效地检测、共享和监控。然而,在历史数据中搜索关于松散关联事件,能会暴露更广泛攻击。
>>寻找与您的风险记录相关的威胁方的记录。了解您的对手,包括他们的策略、复杂性和资金,使你能够主动防范已知的进攻。知道他们是如何用工具和其他有关信息,将使你积极追踪入侵的痕迹,减少检测时间。如果没有战略情报,你就不能这样做。
(四)建议
发展体系化威胁情报能力
为了成功发现和防止网络攻击,S&R专家必须在组织的外部和内部观察:
使战略情报成为安全计划的基础。了解威胁态势,您可以有效优先考虑安全支出,重点放在减轻组织最需要的威胁。对手的工具不仅会降低告警数,还要确保生成的告警更加突出。
在购买之前测试,让供应商提供样品或报告。这些将帮助了解订阅的最终工作产品。虽然这项建议更多地针对最终情况,但在客户时代,外部威胁情报供应商应该乐意展现其研究背后的分析和写作能力。
>>用自己的内部情报形成情报闭环。外部情报提供有关威胁态势的有价值信息,以及企业之外的事情。不要忽视你的内部来源。从你的组织中产生的情报是您可以使用的最相关和可操作的情报,它是免费的!