互聯網的規模是巨大的,其中擁有你能想到的所有最重要的數據,不僅僅侷限於搜索人或者公司的相關信息,而可能利用這些數據來預測未來將會發生什麼。爲了完成“預測”,你需要對數據進行處理,一個專業的威脅情報分析人員的任務就是連接數據點並得出一個有意義的結論。
當然,數據遍地都是,但你可以用它們來完成創舉。接下來,讓我們討論一下開源情報在威脅管理中扮演的角色是什麼。
開源威脅情報
威脅是什麼?威脅可能潛在地損害一個公司的運轉和持續發展。威脅有三個核心要素構成:
- 意向:一種渴望達到的目的
- 能力:用來支持意向的資源
- 機會:適時地技術、手段和工具
通常來講,公司無法辨別威脅。他們經常花費太多錢在攻擊發生之後對漏洞的修補和調查問題上,而不打算在攻擊出現之前就修復它。
威脅情報,根據 Gartner 的定義:“基於證據的知識,包括內容、機制、指標、影響和可操作的建議,關於現有或新出現的威脅或是資產面臨的風險,這種知識可以被用來決定組織對這一威脅或風險的響應。”
威脅情報是一種基於數據的,對組織即將面臨的攻擊進行預測的行動。然而,開源威脅情報是指對公開可利用的資源進行處理來預測攻擊行動或潛在威脅。網絡威脅情報將會幫助你更好的設計你的防衛計劃,和以下好處:
- 採取積極地措施,而不是隻能採取被動地措施;你可以建立計劃來打擊當前和未來的威脅
- 形成組織安全預警機制,在攻擊到達前就已經知曉
- 提供更完善的安全事件響應方案
- 使用網絡情報源來得到安全技術的最新進展,以阻止新出現的威脅
- 更好的風險投資和收益分析
我們要尋找什麼:
- 惡意 IP 地址
- 域名 / 網站
- 文件哈希(惡意軟件分析)
- 受害的產業/國家
開源威脅情報框架
OTX – Open Threat Exchange:AlienVault 開源威脅(OTX) 爲全球的威脅研究人員和安全從業人員提供了開放授權。它提供了社區驅動的威脅數據,推動合作研究,並利用從其他源提供的威脅數據自動更新你的安全基礎設施。
開源威脅情報給出了可遵循的建議,從攻擊中學習、並且在攻擊發生之前就修補好漏洞。
下面讓我們來比較一下兩種情況:
這個過程非常簡單,緊盯新出現的威脅,定義規則並加強你的策略,以阻止出現的威脅;這種積極主動的方法也可以保護你的基礎結構和聲譽。一次攻擊不僅破壞了技術的基礎結構,並且造成數據損失,還損害了品牌信譽,降低了客戶的信任度,也對未來的銷售產生了巨大影響。對攻擊的響應再好也無法恢復到入侵發生之前,聰明的策略應當是在攻擊到達前就修補漏洞、阻止攻擊。這還有助於:
- 移除無效指標,減少虛假的積極響應
- 增強精確 SIEM 信息的流動
- 幫助 SOC 工程師根據輕重緩急發佈警報
- 幫助管理人員使用相關風險的證據與高層領導交流
- 幫助事件處理團隊快速採取補救措施
- 平衡預算分配(上升的威脅需要更多的關注和預算)
- 提升人力資源計劃和任務管理
威脅指標
威脅指標是一個實體,該指標表示遭到某種攻擊或威脅的可能性。最常見的類型是文件哈希/簽名,域名和 IP 地址的聲譽度,這些都能與攻擊進行關聯。
哈希文件是對蠕蟲、木馬、鍵盤記錄程序和其他類型的惡意程序的唯一標識,MD5 或 SHA-1 可以生成一個獨特的指紋,可以利用這串獨有的字符串來標定惡意軟件。同樣的,網站、IP 地址、甚至是傳播惡意軟件獨特的 URL,都會通過受感染的用戶把風險帶入整個網絡。跟蹤惡意網站,完善黑名單的 IP 列表,使用哈希字符串來識別惡意軟件,阻止它們入侵你的技術基礎設施。與風險相關的惡意網站/ IP 地址:
- 垃圾郵件和網絡釣魚
- 惡意軟件和間諜程序
- 匿名代理和 P2P 網絡
- 暗網 IP 地址(使用 TOR)
- 管理殭屍網絡的 C&C 服務器
使用公開或私有源來收集信息,分析數據來阻止攻擊。
Threatcrowd, 一個允許用戶搜索和調查與 IP 、網站或者組織相關的威脅。它也提供 API 和 ThreatCrowd API ,你可以搜索以下:
- 域名
- IP 地址
- 電子郵件
- 文件哈希
- 反病毒檢測
它從 Virustotal
和 malwr.com
獲取信息,它還提供使用 Maltego
來轉換分析相關聯的數據。
它顯示了關於 MD5 哈希值的分析,這些信息揭示了其來源 IP、域名和其他與哈希相關的信息。這些簽名所代表的惡意文件,不應該在你的環境中出現。
在 ThreatCrowd 的網站上,你可以看到木馬的詳細信息。
使用 malwr.com
進行如下分析:
- 靜態分析
- 行爲分析
- 網絡分析
- 屏幕快照
- 域名和IP
- 註冊表
- 更多
越來越多的網絡釣魚已經威脅了這個世界的網絡安全,培訓和提高安全意識並不是唯一的解決方案。你可以使用活動地情報來阻止網絡釣魚,以下是跟蹤和發佈網絡釣魚的頁面:
- openphish.com
- phishtank.com
不要讓你的員工或用戶被這樣的假頁面所矇騙:
Openphish 標識 0day 釣魚頁面,並且提供全面的、可操作的、實時的威脅情報。
所有討論和重要的數據都免費、公開提供給任何人,我們需要努力收集和分析這些數據。使用 Maltego
轉換、打開威脅交換程序,你可以很輕鬆的訪問這些數據。在它們變成威脅情報管理的重要問題之前,分享這些程序以改進它們也是非常重要的。