認識威脅情報系統(tǒng)
?? 
一、背景
當前網(wǎng)絡空間安全形勢非常復雜,入侵手段不斷攀升,比如匿名網(wǎng)絡(The Onion Router簡稱Tor)、網(wǎng)絡跳板、僵尸網(wǎng)絡(Botnet)、惡意URL地址等方式在網(wǎng)絡攻擊者大量使用,發(fā)現(xiàn)困難、追蹤更難,這些都攻擊手段的出現(xiàn)帶來了新的挑戰(zhàn)。傳統(tǒng)方法往往只能獲取局部攻擊信息,無法構建出完整的攻擊鏈條,網(wǎng)絡空間希望有類似國際刑警組織能夠獲取到各地網(wǎng)絡中的威脅信息,從而為網(wǎng)絡攻擊檢測防護、聯(lián)動處置、信息共享提供一個決策信息平臺。
近幾年在網(wǎng)絡安全領域逐步興起的威脅情報(Threat Intelligence)分析為網(wǎng)絡態(tài)勢感知提供了技術支持。所謂威脅情報系統(tǒng)就是在網(wǎng)絡空間里,找出網(wǎng)絡威脅(各種網(wǎng)絡攻擊)的直接或間接證據(jù),這些證據(jù)就隱藏在大量威脅源中,系統(tǒng)會在海量數(shù)據(jù)中甄別出你感興趣的內容,要理解威脅情報系統(tǒng)所做的工作還必須對攻擊事件有所了解。
當發(fā)生網(wǎng)絡入侵事件后,網(wǎng)管首先要確定入侵源,實現(xiàn)這一目的主要通過日志、流量(異常流量意味著某種攻擊活動,如內網(wǎng)主機在與某僵尸網(wǎng)絡進行通訊)。要實現(xiàn)威脅情報分析,首先需要它能夠實現(xiàn)態(tài)勢感知,能理解威脅并能夠預測即將呈現(xiàn)的狀態(tài),以實現(xiàn)決策。
二、攻擊事件分析
網(wǎng)絡中沒有單純的攻擊事件,很多網(wǎng)絡攻擊由一系列事件所組成,通常為有序的或相互依賴的多個步驟,通常大家只會關注某一個事件,很難從全局上看問題。
下面舉個入侵事件的例子,黑客利用漏洞(CVE -2014-6324)特權提升,對Web服務器進行入侵,獲得Web服務器的本地訪問權限,由于Web服務器可連接到NFS服務器,黑客還修改了文件服務器中的數(shù)據(jù),一旦黑客掌握了NFS服務器的控制權,便可以文件服務器上安裝木馬,待安裝完成,便等待一名內部用戶在該工作站上運行這個事先已安插好的木馬,一旦用戶激活木馬,黑客進一步獲得更高級別的控制權,企業(yè)內部資料就這樣源源不斷的被秘密傳輸?shù)街付ǖ牡攸c,這就是常說的APT攻擊,這種攻擊持續(xù)很長時間,能穿越了各種廠家的設備,不易被發(fā)現(xiàn)。
大家平時工作中遇到類似這樣的入侵問題,大多都是猜測,對這種潛在攻擊活動的感知能力十分有限(因為大家都沒有在網(wǎng)絡中間部署分布式的IDS傳感器),這時利用IDS系統(tǒng)能提前對這種異常行為在故障發(fā)生前,發(fā)出預警信息,這也是威脅情報源的一種類型。
三、安全威脅情報
安全威脅情報(Security Threat Intelligence),它是網(wǎng)絡安全機構為了共同應對APT(Advanced Persistent Threat高級持續(xù)性威脅)攻擊,而逐漸興起的一項熱門技術,它實際上是我們從安全服務廠商、防病毒廠商、和安全組織得到安全預警通告、漏洞通告、威脅通告等。這些信息用于對網(wǎng)絡攻擊進行追根溯源,這些信息由安全廠商所提供,數(shù)據(jù)來源則是通過收集大量基礎信息、監(jiān)測互聯(lián)網(wǎng)流量,或將客戶的網(wǎng)絡也納入檢測的范圍,以獲得該客戶的特定安全情報信息。然后利用蜜網(wǎng)、沙箱、DPI等技術進行數(shù)據(jù)分析加工,最終形成報告。這些數(shù)據(jù)深度加工任務只有專業(yè)安全廠商才能做到,對于傳統(tǒng)企業(yè)來講,無法達到專業(yè)廠家的實力,主要還是收集內部網(wǎng)絡的威脅信息源,訂閱各種安全威脅情報信息和漏洞信息,但匯總、分析這些信息的工作就落到安全人員身上,執(zhí)行的效果完全取決于專業(yè)能力。
四、技術框架
威脅情報系統(tǒng)的技術框架如圖1所示,從圖中可看出它包含了內部威脅和外部威脅兩個方面的共享和利用。
?? 
圖1 威脅情報系統(tǒng)總體框架
外部威脅情報主要來自互聯(lián)網(wǎng)已公開的情報源,及各種訂閱的安全信息,漏洞信息、合作交換情報信息、購買的商業(yè)公司的情報信息。公開的信息包含了安全態(tài)勢信息、安全事件信息、各種網(wǎng)絡安全預警信息、網(wǎng)絡監(jiān)控數(shù)據(jù)分析結果、IP地址信譽等。在威脅情報系統(tǒng)中能夠提供潛在的惡意IP地址庫,包括惡意主機、垃圾郵件發(fā)送源頭與其他威脅,還可以將事件與網(wǎng)絡數(shù)據(jù)與系統(tǒng)漏洞關聯(lián),全球IP信譽顯示如圖2所示。
在圖1中顯示的合作交換的信息主要來自安全廠商的固定客戶,比如AlienVault公司的OSSIM USM可將客戶上報的威脅匯聚為一個威脅數(shù)據(jù)庫在云端共享,其他客戶可以共享這些情報,好處是,只要有一個客戶在內網(wǎng)中發(fā)現(xiàn)了某種威脅,并上報便可通過網(wǎng)絡立即跟其他客戶分享。
只要在系統(tǒng)中發(fā)現(xiàn)可疑IP,立即通過威脅系統(tǒng)里的IP信譽數(shù)據(jù)庫能夠發(fā)現(xiàn)到該惡意IP的信息,詳情如圖3所示。
?? 
圖3 通過IP信譽查詢的惡意IP的情報信息
內部威脅情報是相對容易獲取的,因為大量的攻擊來自網(wǎng)絡內部,內部威脅情報源主要是指網(wǎng)絡基礎設施自身的安全檢測防護系統(tǒng)所形成的威脅數(shù)據(jù)信息,有來自基礎安全檢測系統(tǒng)的也有來自SIEM系統(tǒng)的數(shù)據(jù)。企業(yè)內部運維人員主要通過收集資產(chǎn)信息、流量和異常流量信息、漏洞掃描信息、HIDS/NIDS信息、日志分析信息以及各種合規(guī)報表統(tǒng)計信息。
五、威脅情報系統(tǒng)的選擇
與其他IT系統(tǒng)發(fā)展相比,網(wǎng)絡威脅情報系統(tǒng)發(fā)展還處于初級階段,但這個領域的主導廠商以國外的為主,包括FireEye、Cyveilance、IBM X-Force Exchange、LogRhythm、VeriSign、AlienVault;國內的360威脅情報中心和微步在線Threatbook從2015年剛起步,離一個完整、成熟的威脅情報平臺還有一段路要走。如果您是正在關注威脅情報的企業(yè),不要盲目加入威脅情報的行列,不要被銷售人員夸夸其談所吸引,還是要理性的看待問題。我認為前期首先利用開源軟件來實現(xiàn)情報威脅系統(tǒng),而這種功能的開源工具非OSSIM莫屬,該系統(tǒng)中OTX所提供的功能可滿足威脅情報系統(tǒng)的要求。OSSIM具體部署與使用大家可參考《開源安全運維平臺-OSSIM最佳實踐》一書。
六、威脅情報利用
說道威脅情報所發(fā)揮的作用,再接著看看APT攻擊事件威脅情報利用。通常,APT攻擊事件很可能持續(xù)很長時間,它在OSSIM系統(tǒng)中反映出來的是一組可觀測到的事件序列,這些攻擊事件顯示出了多臺攻擊主機的協(xié)同活動,如圖4所示,顯示出在攻擊檢測中的價值。
?? 
圖4 一組網(wǎng)絡攻擊圖
與刑事犯罪取證類似,網(wǎng)絡安全分析人員需要綜合各種不同的證據(jù),以查清互聯(lián)網(wǎng)全球性攻擊現(xiàn)象的根本原因。這種工作,往往很枯燥,非常需要耐心,在網(wǎng)上很難根據(jù)關鍵詞來獲取答案,主要依靠分析師的專業(yè)技能,它涉及攻擊事件的若干不同維度的特征。
對上述攻擊,顯示了9條關聯(lián)出來的安全事件,如圖5所示。
?? 
圖5 關聯(lián)出的事件
攻擊圖和告警關聯(lián)工具可以結合在一起進行評估,告警關聯(lián)關系工具可以把特殊的、多步攻擊的零散報警,合理的組合在一起,以便把攻擊者的策略和意圖清晰的告訴安全分析人員。除了以上例舉實例之外還有包括安全分析和事件響應,這里就不一一舉例。
七 總結
本文主要通過實例例舉介紹了個人對威脅情報系統(tǒng)的理解、威脅情報的分類及使用場景、選擇適合的威脅情報系統(tǒng)等方面的問題,當然威脅情報應用的例子還遠不止這些,這里只是例舉了一些典型的例子,希望引起更多人的興趣。如果您是正在關注威脅情報的企業(yè),不要盲目加入威脅情報的行列,不要被銷售人員夸夸其談所吸引,從企業(yè)自身網(wǎng)絡安全需求出發(fā),理性的看待問題。
