Recorded Future威胁情报手册关键细节分解

Recorded Future出版了第四版本威胁情报手册《建立以情报为主导的安全计划的路线图》。

Recorded Future是威胁情报领域的领导者,最近出版了第四版本威胁情报手册,主题是《建立以情报为主导的安全计划的路线图》,这本书很容易理解,几乎没有什么门槛。这本书是免费电子书,所有人都能研读,笔者参考安全社区和安全人员的读书笔记,给读者再重新梳理一下:

介绍

术语“威胁情报”和“安全情报”通常与对传统 IT 系统的威胁信息相关。

术语“安全团队情报”或简称“情报”更广泛,除了威胁情报外,还包括第三方风险、品牌保护、地缘政治风险、欺诈情报、身份情报等。

什么是安全情报?

数据、信息、情报

  • 数据:为情报分析而收集的离散事件和统计数据(例如,IP 地址、URL、哈希)
  • 信息:结合多个数据点来回答特定问题(例如,回答问题:“本月我的组织机构在社交媒体上被提及多少次?”)
  • 情报:一种分析数据和信息的发现模式,为决策提供上下文参考。它必须指向具体的决策或行动,并为特定的个人、团体、系统进行定制,以便使用它来决策或采取行动

成功的安全情报流程的特征

  • 协作流程和框架(跨部门共享)
  • 360 度可见性(覆盖各种来源)
  • 广泛的自动化和集成(减少人工;与各种安全解决方案集成)
  • 与组织机构和安全用例保持一致(仅收集和处理与组织机构优先级相关的信息;使情报易于使用)

类型和来源

运营(或技术)情报

  • 有关主动攻击、安全事件、攻击活动的知识
  • 被防守者使用
  • 通常来自机器

战略情报

  • 组织机构的整个威胁形势的广泛概述
  • 面向决策者即高管的业务内容
  • 通过报告或简报介绍
  • 必须由专家创造
  • 资料来源:安全公司的趋势和研究报告、政府或非政府组织的政策文件、新闻、发表的文章、中小企业

情报生命周期

生命周期

  1. 方向:为情报计划设定目标
  2. 收集:收集信息以解决最重要的情报要求
  3. 处理:将收集到的信息转换为可用格式
  4. 分析:将信息转化为情报,为决策提供信息
  5. 传播:将完成的情报输出到需要的地方
  6. 反馈:了解情报消费者的需求和优先级,相应调整您的流程

向非技术领导报告

  • 简洁(一页备忘录或几张幻灯片)
  • 避免混淆术语和技术术语
  • 用商业术语表达问题
  • 推荐落地可行方案

SecOps 情报部分 – 分类

组织机构只能调查他们收到总量安全告警中的 48% ,而在被调查的安全告警中,其中也可能只有 26% 是正确的。

漏洞情报

大多数零日只是某种技术的变种,以略微不同的方式利用旧漏洞。因此,与其关注零日漏洞,不如识别和修补组织真正在使用的软件中的漏洞。

如果漏洞在宣布后的 2 周到 3 个月内没有被利用,那么它就不太可能被利用。因此,修补旧漏洞不是优先事项。

您的目标不应该是修补最多的漏洞,甚至是最多的零日威胁,而是要识别和解决最有可能被利用来攻击您的组织的漏洞。

漏洞数据库的价值受限于它们专注于技术可利用性而不是主动利用,而且它们的更新速度太慢,无法对快速传播的威胁发出警告。

通过交叉引用来自多个来源的信息,您可以专注于存在最大实际风险的漏洞,而不是试图修补所有漏洞。

威胁情报部分 – 了解攻击者

暗网社区

  • 低级别地下论坛
  • 更高级别的暗网论坛
  • 暗网市场
  • 许多参与者在低级和高级论坛上发帖,但实际的网络犯罪市场在很大程度上与看到的论坛是脱节的

第三方情报

55% 的组织机构存在来自第三方的入侵违规行为。29% 的人认为他们的合作伙伴会通知他们已经失陷。

需要监控的第三方风险

  • 勒索软件
  • 数据泄露
  • 恶意网络活动
  • 泄露的用户凭据
  • 暗网活动

安全情报分析框架

网络杀伤链

  • 准确描述攻击的 7 个阶段:侦察、武器化、交付、利用、安装、命令和控制、达成目标(数据渗漏)
  • 没有考虑现代攻击(例如,忽略网络钓鱼的利用阶段)

钻石模型

  • 跟踪攻击组织随着时间的推移演变,而不是单个攻击的进展
  • 攻击者的钻石模型不是静止的,它随着攻击者调整 TTP 和更改基础设施和目标而演变
  • 跟踪对手(攻击者)、能力、基础设施(由攻击者使用)、受害者。还可以跟踪阶段、结果、方向、方法、资源
  • 钻石模型需要大量的专家维护,因为攻击可能会迅速变化

MITRE 框架

  • 可信自动情报信息共享 (TAXII):使组织能够共享情报并使用 API 命令提取情报的传输协议。
  • 结构化威胁信息表达 (STIX):用于呈现情报的标准格式。
  • Cyber Observable eXpression (CybOX):在网络安全事件中跟踪可观察的方法。

MITRE ATT&CK

  • 随着时间的推移跟踪对手的行为。
  • 描述与特定对手相关的指标和策略。
  • 14 种战术类别:侦察、资源开发、初始访问、执行、持久性、特权升级、防御规避、凭证访问、发现、横向移动、收集、命令和控制、渗透、影响

情报数据源和类型

暗网情报

规则

  • YARA 规则描述文件中唯一的字符串和字节模式,因此安全产品可以识别、分类和阻止恶意软件
  • Sigma 规则是 SIEM 的威胁签名,用于识别与攻击相关的日志事件
  • Snort 规则帮助 IDS/IPS 系统识别恶意网络活动(扫描、探测等)

自建情报之旅

情报报告内容

  • 可能的威胁参与者
  • TTP
  • 组织机构中的可能目标
  • 威胁是否代表对组织的真正危险
  • 现有安全控制可以缓解威胁的可能性
  • 建议措施

发展核心安全情报团队

情报团队技能

  • 将外部数据与内部遥测相关联
  • 逆向工程恶意软件和复现攻击(取证)
  • 为安全控制提供威胁态势感知和建议
  • 主动寻找内部威胁
  • YARA、Sigma等安全数据工程和签名检测
  • 就网络威胁对员工和客户进行教育
  • 与更广泛的情报社区互动
  • 识别和管理信息源

声明:本文来自QZ的安全悟道,版权归作者所有。

版权归原作者所有,如若转载,请注明出处:https://www.ciocso.com/article/466598.html

(0)
上一篇 2024-03-12 08:07
下一篇 2024-03-12 08:37

相关推荐

发表回复

登录后才能评论