引子:信息安全的战场,没有硝烟、没有时间尽头、没有边界。威胁情报就是战场的“前哨站”……
高速移动网络、物联网、大数据、人工智能,随着时代的发展深入人们的生活。就像细菌与整个生物世界是共生的情况一样,信息安全问题伴随着信息生成、传递、使用的过程,从来就是和信息一体的,而不是一个割裂话题。在信息安全管理和技术分类中,威胁情报自Gartner提出以来,越来越受到信息安全管理成熟的组织所青睐。如何打造一个多功能的,可供决策层提高“战场”视界的“前哨站”?让我们一起层层剥开威胁情报的神秘面纱。
威胁情报是什么?Gartner如是说:“威胁情报是基于证据的知识,包括场景、机制、指标、含义和可操作的建议。这些知识是关于现存的、或者是即将出现的针对资产的威胁或危险的,可为主体响应相关威胁或危险提供决策信息。”
由“ 威胁情报”的定义可以看到,威胁情报最主要的价值是在战略层提供决策信息,在战术层提供可操作的建议,从时间维度看可以基于历史知识,也可以是预判,这些特征就如同战场上的 “前哨站”,发现潜在的威胁,并向指挥部提供决策所需的信息。为网络空间安全实现攻击预警、应急响应及发展态势预测提供依据。
在威胁情报管理中,应当重点关注什么内容呢?如果我们回顾ISO13335关于风险模型的描述和Gartner威胁情报的定义,可以发现共性可以抽象为资产、威胁和漏洞模型。
图一、ISO13335风险管理关系模型
首先是资产,正是因为信息资产的存在,风险才有了依附的条件,所谓“匹夫无罪,怀璧其罪”,任何组织都有自己的信息资产,其保护属性也各不相同,因此组织有针对性的进行自己信息资产进行独特的风险分析是必要的,尽管在实际操作中我们所采用的方法论是相似的。信息资产的价值被宵小之辈所觊觎,由此,第二个概念产生了,即“威胁”。无论是通过勒索软件、盗卖数据、 “薅羊毛”的形式获利,还是通过其他手段,威胁总是与威胁者的利益关联的,即使攻击成功只是为了炫耀攻击者的能力。对于信息资产而言,只有信息资产保护技术或管理信息资产的流程存在“漏洞”,“威胁”才能够得以实施,因此“漏洞”就成了威胁情报管理中的另一个重点。对于信息资产而言,“漏洞”似乎永远都是存在的,当前还有没哪种技术或管理能够确保万无一失,信息安全的斗争始终是一场动态的博弈,而信息安全防护工作则是如何发现和抵御入侵行动,以及如何快速处置已经发生的入侵。
互联网的安全是脆弱的,某些威胁的产生,可能本身并非针对互联网全部用户,但由于恶意软件本身不具备目标识别和导向能力,一旦流入互联网,则对所有互联网用户产生侵害,部分企业由于防护意识强而免于误伤,但更多安全意识弱的公司则被误伤(详细案例可参考2017年5月,WannaCry勒索软件大范围传播,影响范围广泛,给多个国家、不同商业机构和社会各届都造成了难以弥补的损失,在我国也造成了多个行业造成的IT灾难,导致公共服务局部停顿;时隔1年以后,该勒索软件及变种仍不时发生,并无终止的迹象),由此可见,企业需要重视系统的保护,并根据威胁情报的最新信息,及时调整或部署针对性防御,例如:针对勒索软件,在第一时间获得消息,可以采取打补丁、关闭勒索软件利用的网络相应端口进行防范,也可以通过备份策略在防护被突破后进行恢复措施。
不同行业由于主营业务的差异,在运营过程中所遇到的信息安全威胁的方式不尽相同。因此对威胁情报的需求是不同的,例如我们在总结过去的攻击事件中,可以发现针对基础设施和科研单位的APT攻击事件数量会高一些,而DDos则集中在游戏、云服务商等行业,金融服务行业则拖库攻击的比例较高。因此,企业需要根据行业特色,以及在行业中的竞争位置,适当的选取威胁情报类型,并随着威胁的变化而调整。(建议企业采用EA[企业架构]方法论进行威胁情报能力规划)
企业构建威胁情报管理能力的目的是通过各种手段所收集的威胁情报,最终结合组织的自有信息技术环境,通过分析和利用,改善组织信息安全防护体系,提高信息安全事件监测、响应和追溯能力而产生价值。因此,企业需要结合组织现状构建适度的威胁情报分析利用能力和响应能力,预测不是最终目标,预测是为了将损失降低到尽可能小,因此响应的能力需要同步建设。响应能力包括闭锁能力,针对特定目标执行禁用,例如:禁止涉事IP地址访问;迟滞能力,即延长攻击成功的可能时限,例如:针对登录尝试进行随次数递增的锁定时长;范围锁定,通过对被攻击目标进行区域分割,将攻击限制于某一特定范围,甚至引向蜜罐/蜜网;追溯能力,逆向发现攻击者,以威慑未来潜在的攻击;以及针对APT的响应能力。
威胁情报来自于各种安全设备/软件和应用(各类传统防火墙、下一代防火墙、IDS/IPS、代理、探针等),因此会产生大量数据,分析、分发、利用都需要响应的资源,并受到时效影响。组织类型、规模、分布模式对技术架构的设计是重要输入,直接影响信息采集和发布的频率、时效。以下建议可用于不同规模和组织结构的企业构建威胁情报管理平台的参考:
图二-1、订阅模式:适合中小企业
图二-2、单一平台模式:适合组织结构简单的大中型企业
图二-3、分布式SIC模式:适合集团型IT组织架构大型企业
在构建威胁情报管理能力时,还需要关注情报整合能力,在不同情报源上产生的信息,汇总在一起,不难发现其中有些信息是重复的,因此威胁情报首先应当去除冗余信息,从而为统计分析的准确性奠定基础,例如:系统日志和审计系统可能会记录同类信息。
威胁情报管理能力还需要需要数据甄选能力,在异源信息中,有一部分信息是不一致的,甚至是相互冲突的,这些是设备功能的局限性所造成的,攻击者在攻击中通过修改数据包尝试对源地址的隐藏,可能在不同的系统(防火墙、审计系统等)形成不同记录,就需要系统具有一定的甄别建议能力,判断数据记录的权威性。
威胁情报分析,可以通过聚类分析、因果分析、时序分析等手段,提供趋势预测,为决策提供依据。例如:通过地域进行聚类分析。
图三、威胁地图示例
在威胁情报管理能力的建设过程中,企业/组织需要根据自身的信息安全需求和管理成熟度来选择适合自身特色的模式。例如:大型机构、特殊行业,可通过自建运行和服务能力外包来构建复合的能力;中小企业,可采购情报和服务,弥补企业资源不足的困境。威胁情报管理作为“前哨站”最重要的作用是通过各种迹象发现潜在的威胁,并及时传递给决策中心,从而形成决策中心的闭环响应能力。
有趣的是,随着威胁情报管理能力的建设,企业的风险管理能力也能获得进一步提高,威胁情报可以成为信息安全风险管理的有机组成部分,使信息安全风险管理获得更加动态、更细颗粒度的管理能力。