什么是威胁情报 漏洞库 指纹库 IP信誉库

什么是威胁情报 387个暗网网址

什么是威胁情报 其实安全圈一直在使用着它们,漏洞库、指纹库、IP信誉库,它们都是威胁情报的一部分。情报就是线索,威胁情报就是为了还原已发生的攻击和预测未发生的攻击所需要的一切线索。“所谓的威胁情报就是帮助我们发现威胁,并进行处置的相应知识。这种知识就是我们所说的威胁情报”。

互联网安全曾经历经了流氓互殴,侠客对决、黑社会火并等等阶段,现在已经形成了攻击者有组织有预谋,防御者有侦查有战术的局面——无论是攻击还是防御,都超越了点对点的战术,而越来越倚仗于全面的战法。简单来说,就是搞安全的不仅要看编程指南,还要看孙子兵法了。既然是正规军对垒,战法就要变得相对立体。所谓知己知彼,百战不殆。威胁情报,就像是八百里加急快报送来的敌情。

二战中,盟军依靠计算机之父图灵的天才破解了德国的密码,得知德国马上要对考文垂进行轰炸。但是为了争取更大的决定性胜利,盟军选择不让德国人知道对手已经破译了其密码。因此盟军方面没有对考文垂进行有针对性的的防御措施。于是德国人相信其密码依然是安全的,从而一步步走进了盟军的圈套。

在威胁情报中,安全公司同样运用类似的方法和黑客斗法。例如:穿梭各大安全论坛,装作黑客的样子,开心地与之讨论最近哪种攻击方式最流行,有哪些漏洞可以利用。然后回家修补漏洞。

于是,通过威胁情报,企业会对未来的攻击拥有免疫力,这就彻底改变了原本的攻防态势。原来也许黑客可以用上整整一年的攻击手段,一旦进入威胁情报,就被重点监控。如果攻击者第二次还在用同样的后门,就等于主动跑到了探照灯下。

某大神爆料,目前美国正在有计划有组织地曝光其他国家对其基础设施发动的攻击。这句话让人细思极恐,这表明美国已经拥有了一份精准的威胁情报,对其攻击者的攻击路径已经了如指掌。为了不打草惊蛇,其中有60%-70%的攻击路径,美国并没有曝光。没错,美国正在静静地看对手装X。

讲了什么是威胁情报,接下来说威胁情报有什么用?威胁情报给谁用?

从个人角度,如果提供代理IP,刷流量的人想要(绕过IP限制);如果提供僵尸网络IP,安全防御者想要,其实攻击者也想要,攻击者要的总是比防御者多,所以Ta们更能达到目的。从公司角度而言,先说项目之间,做WAF的、做扫描器的、做漏洞管理平台的可以交换漏洞信息,做杀毒的和入侵检测的可以交换恶意样本信息,做业务欺诈的和做网络攻防的可以交换IP信誉信息,这些都是为了做到内部资源(扫描器,WAF,IPS等安全组件)甚至外部资源(开源资源集合、厂商资源交换)的整合(现状是公司越大,这些信息越碎片化),整合才能起到协同防御的效果,才能有能力地进行深度分析去发现真正有价值的攻击事件与高级的难以发现的APT定点攻击事件。

过去,我们将太多的精力放在实时防御上面,但并没有将威胁完全挡住,这个时代已经过去了。我们需要建立一个完整的防御体系,从防御、检测到响应,甚至通过威胁情报将攻击事件的预测做起来,而这一切的核心就是要掌握海量的数据,并具备强大的数据分析能力。威胁情报,是面向新的威胁形式,防御思路从过去的基于漏洞为中心的方法,进化成基于威胁为中心的方法的必然结果,它和大数据安全分析、基于攻击链的纵深防御等思想正在形成新一代的防御体系的基石。

威胁情报可以帮助人们解决如下问题:

  • 如何跟得上包括恶意攻击、攻击方法、安全漏洞、黑客目标等等在内的如潮水般海量的安全威胁信息?
  • 面对未来的安全威胁,如何获取更多的主动?
  • 如何向领导汇报具体安全威胁的危险和影响?

from

“威胁情报”到底是什么鬼?

简单来说,威胁情报就可以帮助人们识别安全威胁并做出明确决定的知识

威胁情报最近备受关注。尽管对于威胁情报到底是什么有着许多不同的定义,但以下几条却是经常被引用的说法:

威胁情报是循证知识,包括环境、机制、指标、意义和可行性建议,现有的或新兴的、对资产的威胁或危害,可用于主体对威胁或危害的反应做出明确决定。

 

威胁情报就是收集、评估和应用关于安全威胁、威胁分子、攻击利用、恶意软件、漏洞和漏洞指标的数据集合。

 

为什么人人都在谈论“威胁情报”?

据《威瑞森2015年数据破坏调查报告》,预计2015年将发生安全事帮79790起,造成7亿条数据记录泄露,经济损失高达4亿美元。

只要安全威胁和数据泄露不断发生,任何企业都会想法设法去保护自己的数据。威胁态势总是不断变化,因为我们对IT系统的依赖,我们的业务风险也在不断增加,。

既有来自内部的安全威胁,也有来自外部的安全威胁。各单位为了有效地管理威胁,一直承受着巨大的压力,几乎不堪重负。尽管原始数据的信息唾手可得,且耗时很难,但要获得基于可设置有效衡量标准的有意义的信息却不是那么容易的事,而且耗时耗力。

这自然就把越来越多的用户推向了威胁情报,因为它有助于在海量数据、警报和攻击中对威胁进行优先级排列,并提供可操作的信息。

下表给出了几种可以由威胁情报源进行识别的常见的漏洞指标:

类别:网络

漏洞指标:

  • IP地址
  • 网址
  • 域名

实例:恶意软件感染与已知的不法分子进行通讯的目标内部主机

类别:电子邮件

漏洞指标:

  • 发件人邮件地址和邮件主题
  • 邮件中的附件
  • 邮件中的链接

实例:网络钓鱼通过内部主机尝试点击毫无戒心的电子邮件,并回传至恶意的命令与控制服务器

类别:基于主机

漏洞指标:

  • 文件名和文件哈希表(例如MD5)
  • 注册表键
  • 动态链接库(DLL)
  • 互斥对象名

实例:来自可能会自我感染或已经感染的主机的外部攻击

威胁情报能力

攻击可以大致归为基于用户、基于应用程序和基于基础设施的威胁。一些最常见的威胁包括SQL注入、DDoS、web应用攻击和网络钓鱼攻击等等。

拥有一套可以提供情报能力通过主动出击和及时响应来管理这些攻击的安全解决方案是至关重要的。攻击者不断改变其方法来挑战安全系统。因此,对于各单位来说,就不可避免地要从各种各样的来源获取威胁情报。

一种被证明行之有效的掌控攻击的方法,就是通过安全信息和事件管理系统(SIEM)来发现和应对威胁。安全信息和事件管理系统可以用来追踪环境中所发生的一切,识别异常活动。孤立事件可能看起来无关紧要,但与事件和威胁情报关联起来,你会发现环境中到底发生了什么。

如今,IT安全专家必须要在假定发生数据泄露的心态下工作。比较威胁情报中针对已知不法分子的监控流量,来自有助于识别恶意活动。

然而,这样的措施可能需要手动操作,而且耗时耗力。将基于威胁情报的指标集成到一套安全信息和事件管理系统安全解决方案,将有助于识别受损系统,甚至可能阻止部分攻击。

最佳实践

通过整合威胁情报和应对袭击对抗格局不断变化的威胁是远远不够的。你需要分析形势,确定可能面临的威胁,在此基础上提出预防措施。

这里有几条最佳实践谨供参考:

  • 拥有一份应用程序白名单和黑名单。这会有助于防止恶意的或未经批准的程序的执行,包括DLL文件、脚本和安装程序。
  • 仔细检查日志,看看未遂袭击是不是孤立事件,或者该漏洞之前是否被利用过。
  • 确定未遂攻击中发生了哪些变更。
  • 审计日志并确定此事件为什么事件发生——原因可以大到系统漏,小到驱动过时。

威胁情报为安全信息和事件管理系统带来了什么

类似SolarWinds日志事件管理器之类的安全信息和事件管理系统从监控流量中收集和规范日志数据,并对可疑事件自动进行标记。

有了集成威胁情报机制和内置规则,监控事件可以对不断更新的已知威胁列表进行比对。

您可以通过实时日志数据快速搜索并监控来自攻击的点击,识别常见的漏洞指标。

您可以对已知恶意IP地址自动响应,以防恶意攻击的企图。

from