网络威胁情报的主要分析框架

威胁情报是一门网络安全学科,专注于详细了解针对组织的网络威胁。威胁情报平台通过从多个来源(包括明网和暗网来源)收集原始威胁数据和安全相关信息来创建情报信息,然后过滤、关联和分析数据,以发现实际或潜在网络威胁之间的趋势、模式和关系。

此智能生命周期流程需要对IT基础架构、运营以及决策和行动有深入的了解。为了创建这种对网络安全维护者很有价值的基于证据的知识,必须通过与其他安全信息进行比较和增强,详细说明有关机制和指标的信息-通常称为“威胁源”。威胁情报具有挑战性,因为威胁不断演变,需要企业快速适应并采取果断行动。nbsp;你好

威胁情报源是使用“安全分析”技术获得的,从而增加了威胁检测的机会并提供了独特的安全可见性。为了有效地执行这些分析流程,并使安全团队能够优化其资源并有效地应对现代威胁形势,有几个常用的基本框架。让我们来看看这些框架是什么,并讨论它们各自的特性和优势。

威胁情报最常用的框架是什么?

用于CTI的框架提供了一种结构化的方法来思考威胁行为者和网络攻击。这些信息有助于安全维护者做出决策,更迅速地采取行动,并保护资产免受网络攻击的破坏性影响。TTP(战术、技术和程序)等方面用于从更广泛的角度检查网络事件,以及攻击生命周期中的特定情况。

这些基线框架还有助于关注对进一步分析和调查有用的细节。此外,通过这一过程,可以完全消除或减轻真实的的威胁,并可以将吸取的经验教训用于采取适当措施,防止今后发生类似的攻击。

与其他团队和组织共享战略、战术、技术或操作情报信息也是有益的。通过共同的语言和结构,可以在攻击细节之间建立关系,从而更容易从供应商、开放源和权威组织获得情报。因此,这可以被视为将标准化带入网络安全领域的成就之一。

虽然这些不是专门为威胁情报创建的框架,但它们经常用于CTI,为企业提供持续改进防御所需的信息。最后,重要的是要将这些主要框架视为互补的,而不是专注于寻找和选择最佳框架。这一办法考虑到在适当的情况和背景下,有可能最大限度地从所有这些方面获益。

这些有用的框架为我们在考虑威胁行为者和网络攻击时提供了一个便利的结构。这些信息可以帮助安全防御者更快地做出决策和采取行动,并保护资产免受网络攻击的破坏性影响,例如用于从更广泛的角度看待网络事件或攻击生命周期中的特定情况的TTP。

1-网络杀伤链

Cyber Kill Chain®由美国航空航天和安全公司洛克希德·马丁公司开发,也被称为网络攻击生命周期。这个框架是最早和最著名的框架之一,它采取了一种循序渐进的方法来识别和中断对抗性活动。它借鉴了军事概念,将网络攻击分解为网络杀伤链的各个阶段,目的是一次破坏一个杀伤链步骤。这使得网络防御者能够识别攻击的当前阶段并相应地部署对策。

Diagram Cyber Kill Chain Framework with examples (Source: Exabeam), threat intelligence
图为Cyber Kill Chain框架及实例(来源:Exabeam)

网络杀伤链包括七个步骤,威胁参与者必须完成这些步骤才能成功攻击。组织可以将威胁情报与网络杀伤链的步骤集成,以最大限度地减少网络攻击的影响。

  1. 侦察:这涉及进行研究和调查,以了解哪些目标将允许攻击者实现其目标。
  2. 武器化:此阶段涉及准备和实施网络操作。& nbsp;你好
  3. 传送:通过将恶意软件传送到目标来启动操作。& nbsp;你好
  4. 开发:在此阶段,攻击者识别已知或未知的漏洞,这些漏洞可被利用来获得未经授权的访问。& nbsp;你好
  5. 安装:攻击者创建一个持久的入口进入受害者的环境,以维护正在进行的操作。nbsp;你好
  6. 指挥与控制(C2):攻击者打开双向通信通道远程操纵受害者的环境。nbsp;你好
  7. 目标行动:攻击者使用动手键盘战术来实现目标,例如收集凭据、提升权限、在系统中横向移动以及窃取数据。

网络杀戮链框架可以是一个非常有用的工具,可以用来了解网络事件的进展程度。例如,考虑发现或初始访问阶段可以提供攻击阶段和所采取的具体行动的清晰度。这使得事件响应(IR)团队更容易有效地响应。

在网络威胁情报(CTI)的背景下,网络杀伤链可以帮助了解威胁行为者如何运作,以及如何根据攻击生命周期的阶段制定对策和防御策略。您可以收集有用的OSINT信息,以发现关于您的组织的可用信息以及攻击者在侦察阶段可以发现的信息。

2-统一网络杀戮链

2017年,Paul Pols推出了Unified Cyber Kill Chain,以增强和扩展Cyber Kill Chain。统一杀伤链包含了洛克希德马丁-网络杀伤链和MITRE ATT CK框架的元素。它将攻击过程提炼为三个高级步骤: 

  1. 初始立足点
  2. 网络传播
  3. 对目标采取行动。

这三个步骤使攻击过程更容易理解,即使是非技术人员也是如此。这些策略中的每一种都是用特定的技术详细阐述的。

Unified Cyber Kill Chain Framework Stages (Source: SANS), threat intelligence
统一网络杀伤链框架阶段(来源:SANS)

统一杀伤链为组织内战略性地重新调整防御能力和网络安全投资提供了坚实的基础,涵盖预防、检测、响应和威胁情报。它有助于结构化的分析和比较有关攻击者的战术作案手法的威胁情报。& nbsp;你好

为了预防,统一杀伤链可用于将对策映射到攻击的不同阶段。可以基于对攻击阶段的有序进展的洞察来确定检测的优先级。在紧急响应情况下,统一杀伤链帮助调查人员对可能的攻击路径进行分类和建模。该模型在增强红队威胁模拟的预测情报方面也特别有益,红队威胁模拟旨在加强组织的安全态势。

3-MITRE ATT CK框架

MITRE对抗策略、技术和常识(ATT CK™)是一个被广泛认可的框架,它提供了一种全面、系统和可行的方法来理解攻击者的行为。它可以作为开源工具访问,并跟踪威胁参与者的对抗行为和TTP(战术、技术和程序)。由于全球安全分析师和研究人员的大量贡献,MITRE ATT CK框架已经成为TTP的通用词典。

ATT CK使用14种不同的策略类别来描述对抗行为:

MITRE ATT&CK Matrix
MITRE ATT CK矩阵

这些策略中的每一种都包括进一步描述网络攻击行为的单独技术和子技术。这种对抗行为的分类允许安全团队获得更细粒度的信息和结构,以描述和跟踪网络攻击者。此外,它还有助于在其他团队和社区之间共享可操作的信息。

ATT CK™框架有利于广泛的安全功能,从安全操作和威胁分析到数字取证和事件响应(DFIR)。它使安全团队能够以结构化和可重复的方式更有效地监控敌对行为,并在许多领域为他们提供帮助:

  • 根据可观察到的真实威胁情报和威胁行为,确定搜索、检测和响应的优先级。nbsp;你好
  • 将MITRE ATT CK映射到在其环境中观察到的恶意软件家族和技术。& nbsp;你好
  • 使用标准化术语和ATT CK矩阵进行清晰的沟通。nbsp;你好
  • 利用框架将对手技术与漏洞联系起来,以进行进一步的威胁分析和对抗性TTP分类。
Comparison between Frameworks (Source: SOCRadar), threat intelligence
框架之间的比较(来源:SOCRadar)

如果需要更深入地研究TTP,这通常会在更复杂的网络攻击中形成网络威胁狩猎的挑战性水平,并且您希望了解对手的行为表明并制定对策,则MITRE ATTCK框架可以与其他框架结合使用。

当在网络威胁情报(CTI)环境中与MITRE ATT CK合作时,CTI分析师使用此框架对观察到的威胁行为者行为进行映射和分类,确定其组织防御中的漏洞,并增强事件响应和威胁搜索能力。它是有效了解和应对网络威胁的强大工具。

ATT CK框架还可以帮助组织获得可操作的威胁情报。使用该框架下提供的CTI,组织可以识别活动威胁组的行为、工具、技术和程序,并确定其当前防御是否有能力检测和响应这些对手的攻击。

通过利用各种框架,SOCRadar威胁行为者跟踪提供了情报信息,这些情报信息丰富了来自MITRE ATT CK数据库的关于当前和未来TTP的信息,这可能比用于动态理解和跟踪网络攻击者的易于修改的IOC重要得多。

SOCRadar Threat Actor/Malware Module
SOCRadar威胁执行者/恶意软件模块

4-钻石模型

钻石模型是一个广泛使用的威胁建模框架,设计用于入侵分析。该模型包括四(4)个基本组成部分,并强调了它们之间的关系:对手、能力、基础设施和受害者。

1-敌手:敌手是任何旨在危害您的系统或网络以实现其目标的人。这可能包括内部人员,威胁行为者或团体,甚至整个组织。要更准确地定义对手,请考虑以下问题:袭击者来自哪里?他们是什么人?谁在赞助他们?他们为什么要进攻?他们的活动时间轴和计划是什么?

2-功能:能力是指对手在事件中使用的工具或技术。各种攻击者使用的潜在能力是巨大的,从密码猜测到安装后门以建立远程命令和控制。为了更好地理解这一点,请提出以下问题:攻击者有什么技能来执行网络攻击?

3-基础设施:在这种情况下,“基础设施”与IT基础设施无关,而是黑客用来提供其能力的通信结构。示例包括域名、USB设备、受感染的帐户、受感染的计算机或服务器以及数据泄漏路径。

4-目标(受害者):此元素指的是对手的目标,可以是特定的国家或地区、行业、个人、软件或机密/商业数据。受害者不限于个人或公司;它可以是诸如电子邮件地址或域资产。通过考虑这个更广泛的范围,在定义受害者角色(人、公司)和受害者资产(包括所有IT资产的攻击面)时,可以进行更细粒度的分析。

Diamond Model and Meta-Features
钻石模型与元特征

钻石模型的元特征是什么?

为了更深入地研究钻石模型中的网络事件,下面列出了元属性及其描述:

  1. 时间戳:入侵事件发生的日期和时间。& nbsp;你好
  2. 阶段:此模型表示的事件链中的特定事件。& nbsp;你好
  3. 结果:入侵的结果(例如,成功、失败或未知;或者机密性、完整性或可用性是否受到损害)。& nbsp;你好
  4. 方向:事件通过网络或主机的路由(例如,基础架构受害者、基础架构敌对方、双向)。& nbsp;你好
  5. 方法学:事件的类别(例如,鱼叉式网络钓鱼、端口扫描)。& nbsp;你好
  6. 资源:入侵所需的元素(例如,软件、硬件、知识、资金、设施、访问)。nbsp;你好
  7. 社会政治:基于受害者的需要和行动者的要求的对手和受害者之间的关系。nbsp;你好
  8. 技术:这包括对手的能力及其对网络空间的使用。

如何使用钻石模型进行威胁情报?

钻石模型是一个有益的工具,安全分析师专注于威胁情报时,进行入侵分析。该模型使CTI分析师能够快速分析大量情报数据,并在各种威胁信息之间建立清晰的联系。为了实现有效的结果,企业必须制定积极的措施来应对新的和正在出现的网络威胁,并更好地了解对手的意图和战略。

此外,钻石模型有助于识别情报差距,并为开发网络分类、本体、威胁情报交换协议和知识管理提供基础。虽然它是CTI分析师努力保持领先于不断变化的威胁形势的一个非常有效的工具,但认识到它的局限性和不足并将其与其他框架模型结合起来考虑是至关重要的。

钻石模型是一个简单明了的结构,它分四个部分解释了入侵事件。例如,如果我们今天看到一个攻击者使用一个特定的恶意软件家族和一个域模型,然后我们下周看到这个组合,钻石模型可以帮助我们快速识别它们的相似性。

5-VERIS框架 

2010年,Verizon社区开发了一个名为事件记录和事件共享词汇表(VERIS)的JSON数据格式的安全数据模型。它主要用于表示CTI信息,如事件、受害者人口统计、影响评估、发现和协作监控。这一概念被设计为“指标”,以通用和结构化的方式表达安全信息,以进行信息交换。作为标准演示,它允许分析来自各种网络事件的数据,并用于其他用途,特别是生成Verizon数据泄露调查报告(DBIR)。

VERIS以类似于ATT CK框架的方式对资产和对手行为进行建模。但是,VERIS数据模型仍在开发中。由于它侧重于事件及其原因,因此只能用于基于风险的战略性事件后分析,而不是主动分析。另一方面,STIX 2.x数据模型还捕获了妥协指标(IoC),这使STIX数据模型能够更加主动地识别威胁并提前评估其影响。

VERIS是一个基于风险的模型,范围较窄,以结构化的方式捕获网络安全事件,以进行信息交换。然而,VERIS提供了丰富而全面的事件概念,涵盖了安全事件的所有方面。STIX数据模型出于自身目的采用了VERIS的事件概念。VERIS数据模型的一个显著缺点是它无法表示其不同概念之间的关系。

VERIS使用“A4”威胁模型进行信息收集过程,旨在了解可以识别的具体特征。这些措施的说明如下:

行为者:现有的指标和迹象指向哪个威胁行为者或犯罪集团?& nbsp;你好

当局以前是否已查明这一团体或行为者?& nbsp;你好

操作:影响资产的操作类型?这确定了由资产的性能状态检测到的特定操作的影响。

资产:哪些资产受到直接损害?这有助于管理资产实际受到的损害程度。

属性:哪些特征影响资产?本节定义对资产产生负面影响的安全事件的特征。

Mapping of Veris to MITRE ATT&CK (Source: MITRE Engenuity), threat intelligence
Veris到MITRE ATT CK的映射(来源:MITRE Engenuity)

上面的示例演示了VERIS到ATTCK技术的更细粒度集合的双向映射。这种对攻击者行为的详细描述使用户能够更好地了解如何检测和缓解高级威胁。

此外,已开发扩展映射和使用文档,以进一步展示如何使用翻译来描述和传达有关安全事件的信息。提供了更新的用例和新的场景示例,以说明防御者如何通过将基于ATT CK的威胁情报与基于VERIS的事件报告连接起来,有效地将对手的TTP及其现实影响联系起来,反之亦然。

执行基本功能的防御者可以将VERIS/ATT CK映射用于各种用例。威胁知情防御中心(CTID)欢迎反馈和贡献,以进一步加强ATT CK与VERIS的集成。

SOCRadar Campaign页面沿着其他框架是根据MITRE Campaign的动机设计的。该页面通过关于最新恶意活动的暗网情报信息进行丰富和不断更新,包括一组在一定时期内进行的具有共同目标和目的的未经授权的入侵活动。您可以在SOCRadar Campaign页面上跟踪遍布网络空间的此类真实威胁风险,并通过获得有针对性的见解来支持您的安全态势。

SOCRadar Campaigns Page
SOCRadar活动页面

结论

网络威胁情报中常用的这些分析框架为您的安全团队提供了一种标准化的方法来跟踪威胁、危害指标(IoC)、漏洞和威胁参与者。理解这些框架并遵循其指导方针需要一定的专业知识,因此,熟练掌握这些框架的最快途径之一可能是聘请专门从事该领域的安全公司的服务。这些框架不是即插即用的解决方案,而是可以用来提高安全操作效率的模型。

每个安全事件都有其独特的动态,有时可操作和可靠的情报信息可以保存您的时间并保护您免受重大数据泄露的影响。因此,虽然对于某些类型的网络事件可能需要进行详细的深入研究,但在其他情况下,更重要的是了解网络攻击者所处的阶段。例如,如果您知道漏洞正在被利用,并且您的软件容易受到这种利用,则在无法更新期间采取的预防措施将有所不同。

再举一个例子,如果您收到的情报表明有一个涉及特定软件产品的零日漏洞销售,您将需要更仔细地检查您的异常检测机制。

因此,遵循包含标准和常规场景之外的特定场景的剧本是有益的,这些场景由这些CTI框架生成的威胁情报信息告知。

THE END
抢沙发

请登录后发表评论

    暂无评论内容