Accuvant的Threat Intellgence白皮书分享及点评

发表评论 / 技术 / 作者: / 2019-07-26
打印 .PDF 电子书

好多天没更新,今天想来很惭愧,找个大家可能感兴趣的东西分享一下吧。最近更新少的主要原因之一是没想好写什么方向,如果大家有感兴趣的方向可以通过公众号给我建议。

今天分享的内容是偶然看到的Accuvant刚发布的一个Threat Intellgence白皮书。

原文见 http://files.accuvant.com/web/file/d96f8c4996ee4571999bcf513126399c/Threat%20Intelligence_Solution%20Primer.pdf 。

这里就是挑其中的重点摘要翻译点评一下。

从今年来Threat Intellgence已经成为大热点,已经成为解决APT攻击和传统安全方案(如UTM、IPS、SIEM)实用性差的重要手段之一,逐渐成为主流多产品线安全公司的标配。部分APT相关领域的厂家也纷纷提出了自己的解决方案,部分国家和组织也推出了自己的方案和标准。这里不做过多描述了,可参见我以前发的公众号。


下面开始摘要和点评部分:

安全负责人和其团队已经开始考虑逐渐转向至“Intellgence驱动的安全”来满足对其改进检测、响应和解决对业务的威胁诉求

“Intellgence驱动的安全”可以有效的提升资源的利用效率并且将损失最小化。

Threat Intellgence的最大挑战来自跨产品、服务和能力的兼容,主要难度来自产品、服务和能力间不同的企业安全应用场景(点评:当然也包括跨供应商的兼容问题,都会希望以自己为主,让别人兼容)。


Threat Intellgence的定义,一个基于上下文关联和及案例知识的生态系统(点评:即基于感知的安全啦,感知这个玄妙的词其实其实现也不是那么复杂,都是掺水,玄幻化),通过其与平台和工具的集成,实现快速和准确定位在一个标准化、可被分析格式数据中的危险个体、组织或资产。


Threat Intellgence市场中的相关组成

1.Intellgence源,即提供识别、分类、验证、改善和分发威胁数据相关领域内容。其中又可分为以下几个子部分。

攻击对象情报-聚焦于攻击者机器战术、技术和过程的情报服务,包含并不限于攻击工具、C2架构、被利用的漏洞、攻击方法等情报。

大批量恶意代码情报-通过沙箱或其他自动手段分析大批量的恶意代码或软件,并将其结果形成服务(点评:区别于下一个分类是其大批量、自动化),比如VirusTotal,国内韩海源的B超(FS老板给我广告费!)等。当然这个形式也不限于全自动,也可以包含手工形势,其目的主要是通过提供大批量二进制文件的威胁信息,来改善恶意代码的发现和跟踪。

攻击恶意代码情报-分析通过安全事件或者应急响应中发现的代码样本,形成恶意代码情报(点评:区别与上一个子类是其从真实攻击的代码中形成)。一种典型方式是对安全事件取证过程中发现恶意代码进行逆向(点评:典型的是Fireye和国内的韩海源等Anti-APT产品提供商,以及MSS服务商)。

信誉情报-识别“坏”的IP地址、URL、域名等,比如C2服务器相关信息等(点评:这个常见于网关类产品,国内也已经有很多家做信誉库相关内容)。

Threat Intellgence

2.融合及分析平台

融合平台提供采集原始feed数据、汇总和分析的框架,并且与响应工具进行集成,为组织内和跨组织工作对接和信息共享提供便利(点评:即某些产品或方案的云服务部分,如Fireye产品的云服务)。

分析平台可以作为一个单独产品部署、也可以作为一个功能进行集成,其定义是为调查分析提供更丰富数据的工具(点评:这就是Fireye或国内韩海源之类的APT检测分析平台了)。

3.响应系统-即利用情报数据自动或手工执行响应动作的工具和系统(点评:防火墙、IPS、SIEM甚至网络设备都可以是响应系统)。


Threat Intellgence的运行

Threat Intellgence发挥作用,有赖于组织有效地进行规划、满足一系列依赖的先决条件和有效的运行。

十分依赖于组织相关供应商提供的工具和基于威胁情报的决策,工具需要支持自动的利用情报对进行响应(如防火墙需要支持利用情报信息进行IP阻断)。


Threat Intellgence的利用

除了最基本的自动化,Threat Intellgence的有效利用还有赖于一下几个关键能力:

1.威胁和漏洞管理程序,即漏洞扫描类程序。其可以发现和识别重要资产,评估漏洞及其风险,可以有效的辅助安全团队对防御进行聚焦。

2.变更管理和资产管理,可以为组织在响应时提供资产属性、允许的变更内容等相关信息,提升调查和处置效率。

3.跨组织工作流和响应,必须可以在一个企业有效快速的进行跨IT组织的响应(点评:如一个大型企业的不同二级范围或不同的省公司之间)。


实施路线开发

第一阶段,可视、可现和自动响应

第二阶段,自适应的响应和战略改进

第三阶段,连续性优化

这段比较务虚了,就不多翻译了。


发完,手工。

如果有感兴趣,希望我来八卦一下的,记得可以通过公众号或网站评论给我说下。

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注