今年的SANS的网络威胁情报峰会(Cyber Threat Intelligence Summit)2月份在美国华盛顿举行,这个关于网络威胁情报的安全峰会主要介绍分享关于Cyber Threat Intelligence的工具、方法和流程,帮助与会者学习通过CTI进行防御所需要的工具、技术以及解决方案。目前已经是第三年举行,今年现场有近200人参会,但亚洲面孔并不多。所以不怪得国内圈的人说国内的网络威胁情报至少落后国外2-3年。今年终于有幸参加,看看欧美的先进玩法,看看关于Cyber Threat Intelligence的发展现状。
这次会议为期2天,除了传统的演讲(共13个议题)还有多嘉宾讨论(两组),6分钟快速演讲(1轮)以及餐间演讲(四组两两同时进行)。议题都主要围绕甲方公司/第三方公共机构就安全威胁情报方面的发展及使用心得以及乙方公司的解决方案。
期间共有17间安全情报展商参展,主要可分为提供情报源类厂商,提供安全情报平台类,终端防护类厂商。根据各厂商的专注方向,情报源大致可以分为基础信息类,信誉库类,公开信息类等。
纵观两天的会议,网络威胁情报总体而言可以分为两个方向,一个是开源路线,借助开源的信息和商业购买的信息自行组建情报分析的系统。另一个则是商业路线,从终端或者SIME整套方案用厂商提供的。
重点议题
Cyber Threat Intelligence的现状
参加这次会议就是想看看究竟所谓的网络威胁情报长什么样,外面的网络威胁情报是怎么玩的。最好的回答这个问题莫过于大会主持人Rick Holland主讲的《State of Cyber Threat Intelligence Address》,这个议题安排在keynote后面第一个议题,可见其分量。
议题中里面引用到David Bianco(Mandiant公司)的这个Pyramid of Pain其实就是对网络威胁情报的一个比较具体的阐述了,
从这个金字塔中可以看到所谓的情报,具体讲,通常可包括hash值,ip地址,域名信息,网络与主机攻击,工具,TTPs,越往上是越有价值也是越难得到的,即便是对供应商也是如此。
Hash值,例如MD5,SHA1,具体的恶意文件唯一特征。
Ip地址,恶意的IP地址,甚至是ip地址段。
域名,恶意域名,子域名信息。
网络,通过网络传播恶意软件的网络活动特征,例如http的user-agent,SMTP的发送者,C2信息,URI模式。
主机,例如注册表键值,恶意文件位置。
工具,例如用于制作钓鱼邮件的恶意文档的工具,后门。
TTPs信息,Tactics, Techniques and Procedures。例如攻击者是用钓鱼邮件实施攻击,究竟是习惯用附件类型的钓鱼邮件?还是恶意链接类型的钓鱼邮件?恶意附件是习惯用PDF的,还是word的。
有兴趣的可以看看这个“金字塔”的出处:http://detect-respond.blogspot.com/2013/03/the-pyramid-of-pain.html
而这两天会议中,讲述详细的情报分析方法、工具,基本上就是针对这个金字塔提到的信息而展开的。例如对hash值,ip地址及其对应域名的关联分析(这些信息有些可以通过开源获得,有些需要购买vendor的),更高层次一点的是对其编译工具,攻击漏洞的关联分析等等。当然最难的TTPs分析,其实也没有看到哪家可以很容易的实现到。
除此,2014年总的趋势是关于CTI的投资很热,isightpartners,ThreatConnect,ThreatStream,AnubisNetworks等都榜上有名。在情报供应商上,Rick提到很多号称可actionable的情报,如果不是跟你的环境相关的其实被并无actionable可言。
威胁情报平台方面越来越多的和SIEM结合,STIX标准也被越来越多的厂商支持。关于情报共享,信任问题仍然是目前很大的困难。
工具:会上还分享了一本CIA情报分析方面的书籍《The Psychology of Intelligence Analysis》说可以从传统中取取经。
具体分析工具/方法类
如上所述,围绕着情报金字塔里的要素,有开源和商业两个方向的分析方法和工具。相比商业,会议现场有关开源类的分析来得更具体和可操作。例如机器学习方面项目(MLSec)的发起者Alex Pinto,讲的《From Threat Intelligence to Defense Cleverness: A Data Science Approach》,主要讲述如何利用工具(机器学习)对开源的威胁情报的处理(主要针对IP/域名信息的处理)。还有《Maltego Kung Fu Exploiting Open Source Threat Intelligence》讲述结合Maltego对公开源的内容进行归纳分析。《DNS As A Control Point For Cyber Risk》从DNS维度分析和利用共享的威胁情报识别网络中的恶意域名,黑IP。
Verisign研究员Kyle的干货
最抢眼球的莫过于由Verisign iDefense的Kyle Maxwell和GitHub的Scott Roberts共同演讲的《The Most Dangerous Game Hunting Adversaries Across the Internet》。现场拍照和会后交流的人最多。两位演讲者从一攻一守两个我维度讲述对威胁情报的利用。从“target”环节,到“hunt”环节,到“kill”环节。针对这些环节,防守方是发现,修复,完成。而攻击方是利用,分析,传播(F3EAD:Find,Fix,Finish,Exploit,Analyze,Disseminate。)“target”环节可以理解为是各种情报来源,“hunt”环节则是运用各种工具进行分析,“kill”则是具体的事件响应。这个议题之所以受欢迎很大程度是因为他们介绍了不少实践经验。从议题中可以看到很多Intelligence来源和分析工具以及思路。例如:
“target”环节
- Feed
- 蜜罐:honeynet project, Theart Stream的Modern Honey network
- 漏洞信息:博客,报告以及专门提供的服务或api
- 还有一些是说通过挖掘内部数据,和通过共享获得。
“hunt”环节
- 恶意软件hash/C2:VirusShare.com,VirusTotal.com,Malwr.com
- 内部系统日志:防火墙,日志,proxy,web,mail,DNS,授权审计信息等
- Snort,Yara(由VT工程师开发的识别和分类恶意软件样本的开源工具)
- 二进制分析管理框架:Viper
- 恶意软件收集:Maltrieve,Cuckoo(沙盒)
- criminal类型的攻击者分析,Google,Twitter,Facebook,地下论坛
- espionage攻击者分析,对所使用恶意软件的智能分析,whois等注册信息,行动针对的目标。(难)
挖掘零日漏洞攻击的关联
在6分钟快速演讲里面。由Uplevel Security一位美女演讲的利用开源情报挖掘零日漏洞攻击在关联也很有意思。《Connecting the Zero-Day Dots: Using Data Visualizations of Open Source Intelligence to Uncover Attack Patterns》
首先是对Adobe Flash的零日漏洞CVE-2015-0311利用的分析,发现关联的域名及IP地址信息。
进而分析发现这些恶意域名的注册邮箱。最终关联发现Adobe flash的CVE-2014-0515零日漏洞也曾经使用相同的注册邮箱注册过恶意域名。从而发现了两拨攻击的关联性。
总体发展方向
针对网络威胁情报的发展情况,还有一个比较有代表性的报告是由SANS做的一个调查报告。调查结果的简述在这次会议上由Lockheed Martin的Mike主持,调查中有326个有效答复,当然调查范围主要是欧美国家及政府机构。
调查结果显示64%的调查对象都对情报有投资(投入)。
然而有37%的调查对象都不确定威胁情报可以带来的提升有多少。
情报共享的标准:
情报不得不提的就是共享的话题,而共享最首要的是共享的标准。如前面Rick对行业的综述里面也提到过在众多的实现标准里面,在过去的2014年STIX是发现较好的一支。《Speaking the Same Language: An Update on Standardized Information Sharing Using STIX and TAXII》议题介绍了STIX/TAXII的发展历程。会议提到该项目目前收集有5Gb的Open Source的indicator,目前已经有越来越多的厂商加入到STIX中。
谈到关于STIX/TAXII未来方向,将基于合作伙伴的需求,快速完善该标准,并在发展成熟的时候将其转变到国际标准里面去。
其他
现场也没有太多美女/ShowGirl,就拿几位重量级人物来八卦一下。
左起至右分别为Brain Krebs,Mike cloppert,Rick Holland
- Brain Krebs:屡获安全博客大奖的博主,安全领域作者,在地下黑客圈具有极广的脉。近年最为人熟知的是他2013年最先披露Target公司信用卡数据遭黑客入侵,失窃数据事件。
- Mike cloppert:此次会议主持之一,Lockheed Martin CIRT的情报主管。
- Rick Holland:此次会议主持之二,独立的技术和市场调研公司Forrester Research(类似Gartner)研究员,专注于安全威胁情报,漏洞管理,email和web内容安全。可以说是threat intelligence市场方面的活跃分子,早在2013年的时候就发表过《five steps to build an effective threat intelligence capability》《Threat Intelligence Buyer’s Guide》等市场研究报告。对网络威胁情报的市场有很深的研究。
关于Keynote
这场会议的开头就是由Brain Krebs做Keynote《OOPSEC: Capitalizing on OPSEC Fail》主要分享了Brain在跟各种黑客打交道过程中发生的故事。发现一些黑客会在多攻击地方留下相同的昵称等的弱点。这里面提到的黑客主要是for fun的,网络犯罪的,spam邮件等方面的黑客,因此里面提到的弱点不一定适用用APT攻击类型中的黑客。议题中Brain分析了一些他在调查时常用的一些工具:
Mind Mapping工具(如Xmind,Freemind等),domaintools.com,Google Analytics,Archive.org,Twitte