一直在说的威胁情报,是什么?(简单分析篇)--update 2018-3-12
发布于 3 个月前 阅读权限 无需登录 作者 threati 2061 次浏览 来自 知识碎片

一直在说的威胁情报,到底是什么?

随着近几年各种APT越来越活跃,威胁情报系统,越来越被各大厂家所提及,到底什么是威胁情报,威胁情报的大致范围有哪些,最近,在小组里面看到了这么一个问题,随即翻了一下能baidu和google到的文章,发现并没有让自己觉得很满意的解释和介绍,要么太学术笼统外加一大堆国外的数据,要么特别敷衍简单。

从APT攻击看威胁情报

北京时间2017年,全球爆发了臭名昭著的永恒之蓝勒索病毒的事件 事情已经过去了大半年,回过头来看,这个事件是威胁情报最好的例子,让我们来回顾一下这次事件的时间线

  • 在2016 年 8 月 “Shadow Brokers” 黑客组织号称入侵了方程式组织窃取了大量机密文件,并将部分文件公开到了互联网上,方程式(Equation Group)隶属于NAS的黑客组织,有着极高的技术手段。这部分被公开的文件包括不少隐蔽的地下的黑客工具。另外 “Shadow Brokers” 还保留了部分文件,打算以公开拍卖的形式出售给出价最高的竞价者,“Shadow Brokers” 预期的价格是 100 万比特币(价值接近5亿美元)。而“Shadow Brokers” 的工具一直没卖出去。
  • 北京时间 2017 年 4 月 8 日,“Shadow Brokers” 公布了保留部分的解压缩密码,有人将其解压缩后的上传到Github网站提供下载。
  • 北京时间 2017 年 4 月 14 日晚,继上一次公开解压密码后,“Shadow Brokers” ,在推特上放出了第二波保留的部分文件
  • 北京时间2017年5月12日,英国、意大利、俄罗斯等全球多个国家爆发勒索病毒攻击,中国大批高校也出现感染情况,众多师生的电脑文件被病毒加密,只有支付赎金才能恢复。 360在爆发病毒之后的第二天就提供了用户拦截办法 image.png 举这个例子是为了说明,在威胁情报中,第一时间获取到漏洞信息,并且对该病毒漏洞事件做出第一时间的分析和报告,是漏洞在威胁情报中的一个方式,在这里,我弄到了一份这几年所有的APT事件的分析和报告,以及漏洞信息和分析 image.png 通过分析和学习这些APT攻击活动,很多厂商都掌握了一些组织规律,比如360一直锁定的蓝莲花,这段时间AddobeFlash漏洞的利用组织曹县的黑客组织。 分析报告让厂商掌握了情报,以至于在以后的APT活动中更加容易分析出攻击者。 image.png

    从社会工程学看威胁情报

    作为一个网络安全从事者,在运用社会工程学上一定有过经验,由于网络安全法的出台,这里没办法举一个详细的例子,但是可以做一个大致的情况分析,从社会工程学的过程和需求来看威胁情报。 其实社会工程学不止放在一个人肉信息上,当发生一个APT事件,在溯源过程中产生的信息和步骤,都是属于社会工程学,而溯源漏洞信息则属于威胁情报的一部分,如何制定黑客资产拓展模型,快速定位失陷主机,最大范围地发现内部被攻击的节点,这是威胁情报需要做的,也是社会工程学在威胁情报中所展现的。

    从大数据看威胁情报

    随着大数据的概念越来越形象化,大数据在威胁情报中的作用也越来越明显,这一点其实和上一条社会工程学看威胁情报有很大关系,在威胁情报中,通过大数据的分析,来获得一篇威胁报告,是越来越多的企业在做的 这一条可以和第一条APT结合起来看,当发生一件APT事件的时候,如何溯源这个过程,需要一系列的数据来分析,其中包括IP,组织,DNS,Email信息来帮助溯源 国内也有很多企业在做漏洞溯源大数据的产品,比如NOSEC TIM图片20180307235701.png

    国内外公开的威胁情报平台

NOSEC大数据安全协作平台:https://nosec.org/ 微步在线威胁检测与分析平台:https://threatbook.cn/tiplm 360威胁情报分析:https://ti.360.net/ 综合类咨询
https://www.hackread.com/hacking-news/ 翻墙看,多为一些比较新鲜的安全咨询 https://badcyber.com 一群想要成为研究员的人和记者维护的网站,每个月都会收集几次与网络安全相关的咨询 http://securityaffairs.co/wordpress/ 主打信息安全咨询的一家国外公司,主题分类很全面 http://cysinfo.com/category/articles/ 是一个开放的网络安全社区维护的博客,包含安全沙龙,培训,以及技术分享
https://citizenlab.ca/category/research/ 加拿大公民实验室,对数字间谍比较感兴趣 https://www.secureworks.com/blog/ 全球提供安全解决方案的领导者(DELL的安全团队),博客中的内容比较宏观
工控安全类
https://cyberx-labs.com/en/category/blog/ 一家做工控和物联网的公司,其产品支持所有的工控协议,技术先进 https://www.dragos.com/blog.html 一家做工控安全的公司,它的口号是,Superheroes Don’t do Infrastructure,That’s why we’re here http://blog.senr.io/ 一家专做嵌入式、IoT设备安全的公司 https://embedi.com/blog 才成立的一家做嵌入式设备安全的公司 终端安全类
https://www.cybereason.com/blog/ 国外一家做安全的公司提供的博客,主要做终端安全 https://www.cylance.com/en_us/home.html 一家主要做企业终端安全的公司 移动安全类
https://blog.lookout.com 一家主要做移动手机安全的公司 威胁情报类
https://www.recordedfuture.com/blog/ 一家专注做威胁情报的公司,利用机器学习等技术广泛地收集公开的和隐蔽的威胁情报 https://www.threatconnect.com/blog/ 国外一家做威胁发现,风险评估公司维护的安全博客 http://blog.jpcert.or.jp/ 日本的一家做应急响应的公司 http://www.clearskysec.com/blog/ 国外的一家只提供安全服务的公司,大多数文章都会提供IOC https://www.proofpoint.com/us/threat-insight 美国的一家做安全咨询类的公司,文章质量比较高 http://www.pwc.co.uk/issues/cyber-security-data-privacy.html 英国的一家做网络安全的公司,主打威胁情报,数据隐私保护,应急响应 传统安全类
https://securelist.com/ 卡巴斯基维护的信息安全类咨询,多是样本分析类文章 https://blogs.technet.microsoft.com/mmpc/ 微软恶意软件防护中心提供的安全事件博客 https://www.fireeye.com/blog/threat-research.html fireeye提供的网络威胁博客,博客质量高,内容详细 http://baesystemsai.blogspot.co.uk/ 英国的一家做安全检测,威胁发现的公司,产品线比较全面,规模较大 https://researchcenter.paloaltonetworks.com 一家做下一代网络安全的国外公司,产品线比较全面 https://www.kaspersky.com/blog/ 卡巴斯基实验室维护的安全博客 https://www.arbornetworks.com/blog/asert/ 主打DDOS防御的公司,需要翻墙 https://securingtomorrow.mcafee.com/mcafee-labs Mcafee安全实验室维护的博客 https://heimdalsecurity.com/blog/posts/ 做数字资产和数字信息保护的公司 https://blog.checkpoint.com/ 全球领先的专注做网络安全的公司,公司网站居然是粉色系 https://labs.bitdefender.com/blog/ 大名鼎鼎的传统杀软厂商 https://www.paloaltonetworks.com/resources 做云安全,下一代防火墙的安全厂商 https://blogs.cisco.com/talos 思科Talos团队(牛X团队)维护的安全威胁类博客 https://aws.amazon.com/cn/blogs/security/ 亚马逊的安全博客 https://www.imperva.com/blog/ 信息安全公司,产品覆盖很全面,如DDoS,数据安全,云安全等 http://blog.trendmicro.com/ 趋势科技安全博客发布 https://blog.fortinet.com/category/security-research 全球网络安全设备提供商 https://www.icebrg.io/blog 一家专注于网络流量安全分析的创业公司 。。。。。。。。。。

段落总结

从这些平台和事件可以具体分析出什么事威胁情报,什么属于威胁情报 微步在线:

  1. 情报获取与第三方情报集成:跟踪近三年来全球所有活跃攻击组织,200个以上的数据源,可集成第三方情报。
  2. 出站流量检测:无需复杂部署,全面检测非HTTP行为、非标端口等,也可辅以网络流量来实现更全面的失陷主机发现。
  3. 主机Webshell和流量黑客工具检测:从云端同步YARA规则威胁情报,基于微步在线分析师团队对最新恶意样本与攻击技术的跟进,产生实时更新的YARA规则情报,有效帮助组织不断提升发现能力。
  4. 内部溯源分析:制定黑客资产拓展模型,快速定位失陷主机,最大范围地发现内部被攻击的节点,帮助企业更快响应和处理。
  5. 事件分析:对TIP平台发现的威胁告警提供详细的威胁情报数据和其关联的信息,如与之通讯的样本、注册人历史信息、关联的资产和黑客组织等。
  6. 主机恶意文件云端沙箱与多引擎查杀:支持本地文件的云端分析,日更新百万级恶意hash,联动云端动态沙箱与多款杀毒引擎。
  7. 与企业现有安全方案结合:可通过Syslog或API的方式与SOC、SIEM、NGFW等结合,减少数据噪声,提高原有设备利用率。
  8. 企业整体安全状态可视化:集中展现企业内的整体安全态势,包括整体安全状态、威胁检测结果、内部失陷主机、风险等级等。帮助用户感知和了解当前企业内的威胁状态。

360:

  1. 通过集成多方的威胁情报和基础网络数据,使安全人员可以对报警有比较明确的判断,具体方式如:相关域名、IP历史上是否被发现恶意攻击行为;域名和IP相关的已知的恶意软件;访问来源是否可疑(如:IDC服务器作为终端来访问Web应用,通过Tor、VPN、代理的访问)等。
  2. 可以通过多种方式获得攻击相关的目地、危害、技战术等方面的信息,如:已知IOC的详细上下文、聚合的主要安全厂商安全报告及Blog、关联网络基础设施所有者其余IT资源的标注上下文信息等。
  3. 黑客进行攻击的时候,难以做到任何一个网络资源仅在一次攻击中使用,通过关联分析把握黑客手中的其它IT资源,进而知道黑客进行的其它攻击事件,这种关联分析方式不但有助于对报警IP、域名的判别、对攻击上下文的了解、还能更全面的掌握黑客的攻击目的、以及历史行为等,甚至溯源到攻击者的社会身份。

什么是威胁情报,简单的说就是结合各种潜在的危险信息来组合成一个分析报告,从一个点,汇聚成一个面。这几年来一直再说威胁情报,是因为随着各种APT的发生,人们越来越需要一个规律,来分析这些活动的产生和趋势发展。 当你在犹豫什么是威胁情报的时候,其实转换一下思路,这不就是在你遇到情况,遇到攻击时候,找出对方,或者找出问题的过程吗? 往往通过威胁情报分析,人们可以获得电子邮件,IP,DNS,网站,域名,whois等各种信息。 有了威胁情报的分析,就知道如何去做好企业防护,或者政府以及个人防护。 由于时间太仓促,目前就先写到这里吧,之后有补充我再来编辑,才疏学浅,欢迎各位大佬提出问题和修改建议,也欢迎大家提供国内外公开和私人的威胁情报平台或者大数据,我有时间也会不定时的分析国外的有关威胁情报的信息。 上述提到的历年来所有的APT样本分析,有兴趣的可以私聊 <…未完待续…>

=======================================update-2018-3-12============================================== 收集了从2008年到最近的APT事件,有人维护 https://github.com/kbandla/APTnotes https://github.com/vysec/APT_CyberCriminal_Campagin_Collections

2 回复

这么好的帖子,竟然没人顶?!! 顶一下

等一个续集。。。。。

回到顶部