情报从2015年RSA会议开始热炒,到现在已经变成了比较油腻的名词了,但我对这个名词仍是模糊的很,从我所接触到的PPT文章大多数忽悠成份居高;而成形的情报产品又一直局限在ip,域名,文件hash三板斧的查询或是花钱买漏洞(交换漏洞)的套路中。于是买了本较为体系的书看看,虽然这本书在亚马逊的评分不高,对基本与我对情报的构想符合——情报是安全分析技能,估计评分低的原因也是揭露了这一并不新鲜的事实。
下面按章节来描述一下整个书的内容及个人的看法
第一章理解威胁
介绍了传统的安全产品,包括
a. 防火墙
从最原始的包过滤(iptables为代表),到重要协议层的应用层代理检测(WAF为代表),
再到DPI深度包检测(没发现口碑好的)
b.入侵检测系统
IDS的问题:专注构建特征库而不是对网络行为的理解,目前聚焦在更快发现漏洞(漏洞社区),更准确将漏洞转化为规则,优化规则匹配的性能(多模匹配,减少回溯,及时编译)
c.端杀毒软件
端杀毒软件的问题:非常依赖于基于特征的检测方法 与 观测其在沙箱上代码运行行为
d. 邮件过滤器
其实垃圾邮件黑名单是网络安全情报的早期形式之一
从早期的垃圾邮件攻击过度到钓鱼邮件衍生了网络欺诈这种新型的攻击方式
e.抗D
对抗方式还是军备竞赛,产品的变形方式也是朝着更容易使用再进化(云化,api化)
d.UTM统一威胁管理
对UTM的理解是最早期的安全大礼包,一个控制面包,多个安全组件集成。
对大礼包的问题,除了误报严重这种显著问题外,实际的安全策略同源也会导致漏报也很严重
描述了网络威胁的发展,一句话就是网络环境越来越恶化
资产定义扩大: 网络资产-品牌资产(营销帐号)
网络边界扩大: BYOD(移动病毒),云(基础设施云化,办公环境云化)
攻击方式增多:水坑,产业化
安全团队的能力并没有相应更上,还是再做擅长的边界防御,对来自内部的攻击收效甚微。
第二章 什么是情报
包括情报的生命周期:
- 规划
- 收集
- 处理
- 分析——讲故事
- 传播 ——报表
情报收集中的困难,遭遇两种欺骗方式:
拒止: 阻止或降低敌方情报收集的能力
欺骗:制造假信息/垃圾信息掩盖真实的信息
第三章 构建网络安全情报模型
终于提出网络安全情报的定义了——基于证据、为资产所面临的现有或新兴威胁提供可付诸行动的信息
翻译一下就是讲一个攻击故事,故事的格式是
谁 在 什么时间段 出于什么目的 对某个对象的某个 重要业务(资产) 通过什么方式 发起了一次或多次成功或失败的攻击行为
第四章 收集数据
中心思想——全面观察资产及理解其面临的威胁(不仅仅是漏洞)
实际就是安全监控,可持续的安全监控,照着SIEM去构想,看SIEM收集了哪些数据
这方面做的比较好的是
SANS 《A Real-time approach to continuous monitoring》
漏洞和资产管理
系统和日志收集、关联与报告
高级网络监控
威胁情报和业务分析
并且强调了发布情报(讲故事)的时候,要注意——安全问题的描述应该与资产(业务)关联,而不是攻击的数量
第五章 内部情报来源
该章节的核心是内部的安全建设要做好,安全常备套件按需都搭建起来,“情报”就是发现自己公司的安全问题
然后介绍了一些常见安全组件,包括
a.资产管理:枚举资产,关联资产对应的风险
b.SIEM(数落了SIME很多问题)
优势:
关联能力,但关联规则难写,特别是“低而慢”的攻击,
常规的IDS是把每个事件当成单独的事故处理的
案例:低而慢的攻击,发送钓鱼邮件,安装恶意软件,等待数日,开始C&C
这时候第三方情报就发挥作用了
异常检测能力,异常是指表面上合法但是不符合组织环境的流量,成功的异常检测需要对网络的深度理解
案例:25SMTP流量从文件服务器发出而不是邮件服务器
案例:将C&C流量编码为DNS请求,通过一个常规的DNS查询来触发C&C服务器的响应,或通过DNS协议将数据传出封闭网络
劣势:
1.太多的报警,如何定义严重警报的优先级——情报指导(资产分级)的优先级定义
2.agent部署难
3.资产维护难
4.标准不统一(安全组件输入输出不统一)
c. 云安全服务——云WAF等
优势:
用户量大,具备天然的蜜罐作用,能主动产出攻击情报
案例:当检测出一个租户感染了A病毒,发现其控制端为A-domain,
当其他租户的网络中出现尝试连接A-Domain的行为时,可以发出警报,并告诉用户是中了哪种病毒及从网络中删除所需要采取的步骤
劣势:
不能全面理解防御对象的网络,需要学习期(至少6周,进行资产识别、分级,而可以在给出警报时准确的基于资产级别来标志严重级别)
对于没有学习阶段的产品一般为了减轻误报而只提供漏报严重的通用性解决方案
d.访问控制
域控做好
e.网络监控
网络监控工具的核心:协议分析,监控畸形数据包是搜索未知威胁的简易方法之一
有效的网络日志监控每天只提供少数重要的情报,而弄清什么是重要需要建立在有效
的资产和配置管理之上。
内部情报的收集,在于“知己”
有效应用威胁情报的前提是扎实的网络安全基础建设
(1)资产发现、漏洞关联、风险管理、补丁定级
(2)SIEM 日志收集分析与监控:数据库,主机(端),web,邮件服务器,代理,安全组件(WAF,firewll,IDS)
(3)IDS,WAF 实时流量检测
(4)威胁情报分析=网络威胁情报+业务威胁情报
第六章 外部情报来源
这章讲的内容,才是我们所看到的的情报类产品(包括APT报告)的形式——提供攻击线索,讲述故事。
包括攻击者的网络身份(ip+域名),攻击者的攻击工具(恶意文件hash)。然后最终情报使用者——公司的内部安全产品可以将这些线索来做黑名单防御,或者进一步的深度分析(但很多公司到不了这一步)。
攻击线索,术语叫IOC,随着威胁情报的发展,后续扩展了很多,不再仅仅限于三板斧了,例如
证书
域
电子邮件
IP
PCAP
原始数据
样本
行动者
攻击活动
事件
目标
而这些零碎的线索能作为产品贩卖的假设前提是:
攻击团伙在一定时间内会用相同的攻击手段频繁对付攻击目标。
当然这个前提是否成立可疑,而实际中如何有效利用也存在问题:
作为中心点的IP:误报严重(原因有公共IP的混淆:CDNIP,托管服务器IP),生命周期非常短
作为中心点的域名:比IP的生命周期长点,但同样不长,看各种DGA域名就知道了
作为中心点的文件散列:比域名的生命周期又长点,但变形一下就绕过了
文章还介绍了到底哪种公司才有可能做成威胁情报产品:
(1)装机量大的网络安全产品服务商(特别是终端杀软产品),直接从用户获取数据:有用户
(2)在互联网骨干或最繁忙的数据中心有监控工具,看到各种攻击数据从源流向目的:有数据
(3)以敌方为焦点的攻击追踪者:有技术
https://www.fireeye.com/services.html (Mandiant+issightpartners)
其实还有更细分的业务情报
政府是最大的情报收集者
第七章 融合内部和外部情报
情报的融合方法包括两个核心:
一是实现可自动化解读情报,就是出台各种情报描述标准,其中著名的有OpenIOC、CyBOX、STIX和TAXII
不同情报供应商对同一个攻击事件的描述不统一,使得数据难以合并
(就如20年前不同杀软(Kaspersky,McAfee,Symantec对病毒不同命名的问题,
但问题更严重,
情报收集设施的构建和交互给客户的报告中涉及许多知识产权的问题,
目前没有管理共享和保护网络威胁情报提供者知识产权的有效手段)
没有一个威胁情报提供者能够监控发生在互联网内外的所有情况。往往一个情报提供者发现
攻击的某个特征,而另一个提供商看到不同的特征
二是努力提供情报分析的能力,特别是大数据(数据维度丰富,量大)下的分析能力
大数据分析系统的真正价值是发现:
检测异常事件的能力
悲催的是安全分析师花大量的时间在掌握数据库知识
第八章 CERT、ISAC等情报共享社区
介绍了一些著名的情报共享组织,包括国家级别的(CERT、ISAC),传统网络安全巨头级别的(cisco),创业公司级别的(threatconnect)
情报共享平台的场景:
场景1: 第三方提交关于特定厂商的威胁情报信息 (类似漏洞提交,但大的厂商都有自己的src)
场景2: 安全分析师之间共享威胁情报信息(实施很困难)
情报共享的问题:
(1)将信息的传播保持在最低限度,更好地保护高敏感性的信息,防止来自外部的窃取
和来自内部的泄漏,将敌方从共享圈剔除
(2)情报共享平台的独立性,情报的隔离性
现实中的情报共享:圈子人脉(圈子小,跳槽多)
第九章 高级情报分析
恶意软件分析能力
蜜罐能力
入侵诱骗能力
实际就是捕获与分析恶意样本(攻击行为)的能力
从甲方使用情报产品的角度来看,如果基本的安全建设都没做好(资产管理,弱点扫描,补丁防御,访问控制,安全监控)就嚷着使用情报来进行防御,完全是骗上级。
从乙方做情报产品的角度来看,一种是卖马上能转化为防御规则的数据,其中如何让情报数据准确,不造成情报ioc的爆炸情况是关;,一种是卖基础数据(dns记录等)辅助安全分析专家进行分析(国内基本不会买,因为没多少安全分析专家,大家喜欢傻瓜式操作,运维也没有kpi等),感觉两种前景都堪忧。
这篇读书笔记写下来都有点抑郁了,情报明显不是网络安全的救命稻草,网络安全监控才是本质,但核心的安全分析自动化没更上,幸运的是一直在进步中,虽然数据分析平台的进步远超算法的进步。