越来越多的企业开始采用威胁情报作为网络安全的解决方案,并且越来越多的企业开始重视攻防演练,这些攻防演练包括企业内部组织的和其他第三方组织的。在拥有威胁情报的前提下,如果把威胁情报和攻防演练结合起来进行应用?例如:针对扫描器和C&C,威胁情报所提供的信誉值,在攻防演练中如何使用?假设,扫描器和C&C符合正态分布。
左侧信誉值为100,右侧信誉值为1,分数步长为1。信誉值100为置信度最高、时效最高,信誉值为1,置信度最低、时效最低,信誉值为0则默认为不计入威胁。
问题:是否针对高信誉进行重点监控?抑或针对低信誉值进行重点监控?
威胁情报分析师,需要综合的知识,这些知识包括经典统计学、现代统计学等组成的数学知识体系,还包括信息安全领域的技能,大数据技能,以及心理学技能,及各种方法论。
为了回答上面的问题,让我们来看一看“幸存者偏差”。
幸存者偏差,也被通俗的称为“死人不会说话”,这意味着,在梳理统计的结果中,抽样数据是经过某种特定条件所筛选的,因此,筛选的过程被忽略了,筛选掉的数据也被忽略掉了,而这经常造成一种谬误。(威胁情报是经过筛选的数据,尤其是标定的信誉值,所以,威胁情报分析师在应用威胁情报时尤其需要注意逻辑谬误的产生)。
第二次世界大战飞机受损研究的案例,是幸存者偏见中最常见案例。
在第二次世界大战期间,美军面临的一个问题是如果对轰炸机进行装甲保护,以避免其被高射炮击落,他们能够研究的数据是返回的轰炸机飞机上所布满的弹孔。在绘制这些飞机所遭受的打击和损害时,研究人员发现弹孔是分散的,主要集中在机尾,机体和机翼周围。因此,研究人员普遍认为应当对机翼、机体和机尾进行装甲保护。
然而统计研究小组的统计学家亚伯拉罕·沃尔德(Abraham Wald)却根据这一信息做出了相反的结论:如果通过在飞机的这些部分上升级装甲将犯下一个可怕的错误。 为什么? 因为研究人员只是看到了返回飞机上的损坏。 他们没有将无法返回的飞机的损失计算在内。
未能返回的轰炸机就是以那些返回的轰炸机上所看不到的方式遭受打击并损坏的,这个看不到的地方即是它们的引擎。 与身体,尾巴和机翼不同,引擎非常脆弱。 一经打击,飞机便坠落了。研究人员并没有将未能安全返回的即损失的轰炸机纳入计算。
事实证明,亚伯拉罕·沃尔德(Abraham Wald)是对的。
让我们结合攻防演练中扫描器和C&C的威胁标记,对幸存者偏差的利用贝叶斯公式分析一下:
X = 攻击方IP地址,Y = 1, 0 是否标记为威胁;
发起攻击的IP为的分布为P(X),有威胁标记的攻击分布为P(X|Y=1);
则攻击威胁度为P(X|Y=1)=P(Y=1|X)/P(Y=1)*P(X),哪里攻击多,就应当对哪个地址进行重点关注。//然而,攻防演练中所用的IP地址,是否可能会被威胁情报厂商所标记呢?
通过以上幸存者偏差的介绍,相信大家已经知道在攻防演练中如何结合威胁情报对假想红方进行分析了。在此,笔者不对结论进行公开,以使得阅读者能够充分展开思维空间,不断寻求情报分析能力的提高。另外,情报的收集方法,也是威胁情报分析师需要进行关注的内容,在没有获得威胁情报的前提下,以上方法无法得到有效的应用。
针对幸存者偏差,还可以引用DEO(试验设计)的原理进行解决,DOE通过详细、全面、客观地记录数据能够有效的避免幸存者偏差。
由于威胁情报分析师对综合技能的要求非常高,而基于威胁情报导向的网络安全正在萌芽和成长状态,威胁情报分析师的缺口十分巨大。欢迎各位同行加入探讨,并推动威胁情报分析师职业的发展。
迷茫,发展道路咋样?
威胁情报是否真的徒有其表 ,还是关键在于使用的人?