(一)前言
有的用户对威胁情报平台理解是:“这是一个威胁情报平台…可以汇聚攻击指标(IOCs),然后发到SIEM,做一些匹配,OK!”
本文是ThreatConnect的一篇博客,描述的是如何实施情报驱动防御,其实对各行各业准备使用威胁情报的用户以及威胁情报厂商都是有借鉴作用的。
不仅是一个产品; 一个哲学
我们正在努力使组织都能实现情报驱动的防御。 为什么? 因为你会需要它。 现今时代,如果仅仅基于合规的安全性,缺乏对业务流程威胁防范,相当于蒙上眼睛,进入一个无法测量的风险雷区。
基于情报驱动的防御是什么样子呢?为了更好地理解这个概念,让我们几个角度来理解。
1、情报不仅仅是IOC
首先,让我们再来谈谈威胁情报(TI)应该是什么意思。
很大程度上被误解为仅仅是指IOC feed。 这些feed有其支持防御性的地方,但它们远远不能完全代表TI。 大多数IOC
feed是信息不是情报。
DIKW金字塔(见下图)表明:情报不是原始数据,它不仅仅是信息,它是可以用来做决策的威胁知识,并可能用于预测未来的情况或事件。
2、情报与运营
情报是用于决策的。因此,威胁情报是用于支撑安全运营、战术和战略的决策。
作为安全小组的职能,情报和运营应该是周期性和共生性的。情报支持业务运营的决策,然后根据这些决策采取行动。这些行动(如清理、进一步调查或其他缓解措施)又产生以新的数据和信息,诸如目标或受影响资产的列表、识别的恶意软件、基于网络的IOC、新观察的攻击模式等。这些新的信息可以精炼成为情报,从而为未来的运营做出决定。虽然许多组织在其团队中没有正式定义的情报功能,无论是否拥有威胁情报分析人员,很多组织实际也是这样做的。
3、通过OODA Loop来看
如果我们根据OODA(Observation观察,Orientation判断,Decision决策,Action行动)循环来描述,这个概念可以更有用地表达。
OODA循环的发明人是美国陆军上校约翰·包以德(1927-1997),因而又被称为包以德循环。
(1) 观察: 对战场环境进行感知或观察,从战场环境中搜集信息和数据;
( 2) 判断: 对当前的战场态势进行分析和评估,并对相关的信息和数据进行处理;
( 3) 决策: 根据战场环境信息和当前自身的状态制定策略,并选择合适的行动方案;
( 4) 行动: 根据所选方案实施行动。
Boyd的图表显示,所有的决策都是基于对正在解决的问题的不断变化的情况的观察。
观察结果是决策和行动所依据的原始信息。 观察到的信息必须进行处理以将其作为决策。 Boyd说,第二个“O判断” –
作为历史记录及以往经验的存储库 – 是O-D-A循环中最重要的部分,因为它形成了观察的方式、决定的方式、行为方式。
OODA环在决策周期的几个步骤中都有反馈机制,为观察阶段提供新的数据、信息和理解。防御者和攻击者都有OODA环。可以更快地通过OODA环行动的一方能够适应,并能破坏对手的OODA环并获胜。情报正在做这项工作,通过过滤不重要的内容,使得防御者更准确地观察更多和更准确的信息来帮助您进行适应。同样,一旦做出了行动决定和采取行动,这些行动的结果本身就是观察的结果,并推动下一个决策。
(二)如何实现基于情报驱动的防御
紧密结合情报和操作反馈循环,缩小OODA环是,实施情报驱动的防御。
对于各种规模的组织来说,正确的做法存在一些重大的挑战。从根本上说,这些挑战都源于碎片化(fragmentation
),阻碍了那些需要采取行动的人清晰地获取相关信息。我们着手帮助组织实施情报驱动的防御,重点是解决信息、组织、技术和流程(PPTD)之间的碎片化问题。
信息:为了将相关信息提炼为可用的情报,必须能关联、丰富化和提供背景信息。必须通过为其创建共同的记录源来减小碎片化数据的孤岛。
可以通过将内部和外部信息归一化为通用的模型,从而将其提炼为可用于指导决策的情报。内部来源信息、
IR调查的细节,SOC的安全事件,或甚至内部团队产生的情报通常是我们实现的反馈环中最重要的部分。
组织:像数据一样,组织中的各个职能部门(IR,SOC,内部,风险,管理等)需要打破孤岛。
他们需要访问其他团队以及组织以外的共享社区的相关信息。 他们还需要动态工作流。
可以通过允许团队成员相互提供提示和任务,为相关功能组织创建和输送情报,并根据威胁情况为决策者提供报告。
技术:大多数组织都有一个非常多样的和不连贯的点防御技术。使组织能够协调情报驱动的行动,跨越不断增长的超过100个集成库。
流程:一旦消除了信息、人员和技术之间的孤岛, 就能够利用内部和外部情报简化流程,为团队和技术提供行动决策,并从过去的经验中学习。