加入收藏 | 设为首页 | 会员中心 | 我要投稿 我爱制作网_潮州站长网 (http://www.0768zz.com/)- 物联安全、建站、操作系统、云计算、数据迁移!
当前位置: 首页 > 服务器 > 安全 > 正文

网络安全与自动化威胁情报共享最佳做法

发布时间:2022-08-01 12:10:41 所属栏目:安全 来源:互联网
导读:许多组织选择通过多种方式共享网络威胁情报(Cyber Threat Intelligence, CTI)订阅各种信息源,其中包括妥协指标方案(Indicators of Compromise, IOC)。在当前市场上,威胁情报最普遍的使用场景是利用IOC情报(Indicators of Compromise, IOC)进行日志检测来发
  许多组织选择通过多种方式共享网络威胁情报(Cyber Threat Intelligence, CTI)订阅各种信息源,其中包括妥协指标方案(Indicators of Compromise, IOC)。在当前市场上,威胁情报最普遍的使用场景是利用IOC情报(Indicators of Compromise, IOC)进行日志检测来发现内部重要风险。这种方式可以发现传统安全产品无法发现的很多威胁,并且因为这其中大多是已经被成功攻击的操作,所以“亡羊补牢”对于安全运营仍会有较大的帮助。
 
  该方法的核心是从浩如烟海的日志数据中提取出威胁情报,此时,威胁情报的数目仍然较为庞大,需要从威胁情报中进一步提取出具有实用价值的IOC情报以进一步在安全社区内共享,这就要求根据情报本身质量过滤IOC情报,例如相关性、及时性、准确性、可指导响应的上下文等,上下文问题除了一般会考虑到的风险等级、可信度等信息外,还需要提供相关攻击团伙和家族的攻击目的、危害、技战术等相关的内容,提供相关的远控端是否活跃,是否已经被安全厂商接管等信息,以此响应团队可以判定是否需要响应,哪个事件的优先级更高等。
 
  IOC信息通常通过信息共享和分析中心或组织(Information Sharing and Analysis Center or Organization, ISAC/ISAO)来传播。在这些信息流中寻找可操作、实用的IOC是一个重大挑战,只有实用的IOC才能为网络防御提供实质性的好处,然而即使是实用的IOC中大部分也通常在未使用或丢失直到不再有价值时才使用,此时网络攻击者往往会迅速停止使用特定IOC。
 
 
  通过多项研究和试点工作,约翰·霍普金斯大学申请的应用物理实验室(Applied Physics Laboratory, APL)已成功部署威胁源,可在几分钟内收集、提取、识别可操作的IOC,并将其共享给共享组织,如ISAC或ISAO,该方法被称为基于“无悔”策略的方法。图1提供了该过程的可视化示意图。本文简要概述该方法和流程,以帮助其他组织利用这些功能满足社区的网络防御需求。
 
  “无悔”策略方法
 
  对网络防御采用“无悔”策略意味着什么?简而言之,这意味着使用“利益”与“遗憾”评估算法来决定是否需要自动化操作。这导致相应的组织将问题的重点转移到何时采取行动以自动执行操作,而不是是否应自动执行操作。关于基于网络威胁情报的自动响应,“无悔”与“有悔”的定义如下:
 
  “无悔”:对网络威胁情报采取自动操作极低概率扰乱正常运营,无论情报评估是否正确。
 
  “有悔”:对情报采取自动操作大概率会对正常运营造成影响。
 
  有关“无悔”策略的方法的更多详细信息可通过APL GitHub页面免费获取:
 
 
  应用“无悔”策略对威胁情报进行分类
 
  如本文所述,将“无悔”策略应用于CTI分类,围绕ISAC/ISAO概念展开。恶意网络活动,如勒索软件,通常针对工业部门内的特定行业或社区。这一部分本文详细介绍了ISAC/ISAO等共享组织如何使用开发自动化以快速识别和共享“无悔”策略IOC的方法给他们的社区。
 
  提取可疑指标
 
  信息共享组织从多个信息来源收到大量IOC(其他威胁源、系统警报、成员提交等)。这个过程的第一步关键是从每天收到的大量情报中提取可疑的IOC。这不仅仅是利用正则表达式(regular expression, REGEX)等指标对IOC进行相似匹配,任何信息共享组织都还应根据潜在的恶意指标所在的上下文识别流程对IOC进行匹配。这可以通过恶意签名、标签或其他工具实现共享组织内部用于识别具有与恶意网络活动有关的指纹标识。如果没有指纹标识这一步,那么要分析的数据太庞大,无法为一个不断受到网络攻击的网络主体提供需要的可操作IOC情报。
 
  对这种提取应用“无悔”策略的核心原则是“潜在恶意指标”,许多信息共享机制未能在可采取行动的时间范围内提供数据,因为它们希望在共享数据之前无可辩驳地证明IOC是恶意的。但是做出这一决定的时间通常比网络攻击者积极使用IOC的时间还要长。因此,识别潜在恶意指标的过程必须自动化,并利用可重复的编码步骤来确定潜在恶意指标。这并不意味着忽略所有其他数据,因为这是ISAC/ISAO内部额外情报处理能力的关键功能。

(编辑:我爱制作网_潮州站长网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
    相关内容
      推荐文章
      站长推荐
      热点阅读

        【免责声明】本站内容转载自互联网,其发布内容言论不代表本站观点,如果其链接、内容的侵犯您的权益,烦请提交相关链接至邮箱bqsm@foxmail.com我们将及时予以处理。

        建议您使用1920×1080分辨率、谷歌浏览器Google Chrome、Microsoft Edge以获得本站的优质浏览效果

        Copygight © 2016-2023 http://www.0768zz.com/ All Rights Reserved. 我爱制作网_潮州站长网

        ICP备案:浙ICP备16034787号 浙公网安备 33038102330565号