工作中的一篇产品文章,份属营销,但内容真实不虚。
原Gartner VP分析师,Google Cloud 安全战略规划Anton Chuvakin最近在Twitter上发起了一次投票调查,以了解业界对威胁情报的关键场景用例的认知。结果如下:
如Anton所说(参考链接1),原本投票前他很担心威胁检测用例会获胜,但结果让他很兴奋,赢得民意调查的是威胁情报用于报警分类分级(Triage alerts and help IR)。这是他期待的一个结果,意味着在主流认知上,对威胁情报的使用越来越成熟,跨越了“天真”以为情报就是另一种签名的阶段。同时Anton提到,他没有提供的选项:“支撑决策”用例,也在评论中被提出。这是情报使用更高成熟度的体现,其中情报支撑的决策可能会涉及到防御方法、安全架构调整、活动优先级等。我们可以从中了解到,欧美市场情报的关键场景已经从检测转移到响应和预防,优化运营是情报使用的更大价值空间。
无论是HVV这种特定场景,或者日常的安全运营过程中,安全分析人员最大痛点往往有两个:
海量的报警中有大量误报,有自动化攻击,也有针对性攻击,如何能快速地识别出需要处置的事件。缺少对应的安全分析工具,也缺少专业的安全分析人员,使这个问题一直是安全运营的老大难。基于SIEM领导厂商之一Exabeam的统计数据,这个环节占用了分析人员总体时间的74%(参考链接2)。
关键的攻击事件,被关联规则进行处理后,往往会被处理过滤掉。也许很多人会感到不可思议,但确实有多个客户提到他们的态势感知平台中,因为事件的归并处理,让关键性的、需要通报处置的事件被过滤掉,而在事后发现归并前的日志中有他们所需要的关键事件报警。
两个问题归根到底其实是一个:海量报警的分类分级到底要如何处理?单纯依赖本地报警数据的分析,必然难以达到目的。原因之一是传统签名检测机制很难同时在误报率和漏报率上都达到很好的表现,尤其是在使用基于攻击特征的签名规则技术这一前提下;更重要的是一个攻击事件的严重程度不仅来源于攻击者使用的技战术,更决定于攻击者的意图,而攻击意图是单纯的本地化数据分析很难回答的问题。
基于360安全大脑多年积累的数据、知识和能力,360推出了智能情报的一系列关键技术能力和产品,其中就覆盖了如何使用情报做报警分类分级的场景,为即将到来的HVV和后续的持续安全运营提供了最佳的情报分析能力。而两个方面的技术创新和突破,铸就了真实的业务进步:
1. 提供攻击意图的情报上下文
在对来自互联网的攻击报警分析中,如果不能掌握访问者的意图信息,就很难对事件做出正确的判断。例如,从WAF或者全流量检测设备中收到一条攻击报警,它有可能是一次合法的大网探测,也有可能是蠕虫感染传播,还有可能是自动化扫描,当然也可能是人工的渗透行为,不能分辨意图就不知道那个IP过来的需要重视。而另一方面,互联网上的很多关键资源会被攻击者利用,比如DNS&NTP的反射攻击,如果不能识别这些IP的特殊性,贸然添加了IP黑名单,则关键性业务有可能中断。360****智能情报,不是基于表面上的攻击行为和报警事件对攻击****IP****进行画像,而是深入、全面的分析这些****IP****行为后面的动机和原因,形成一个完整的认知,进而划分出****10****多个种类的意图分类,其中包括很多合法的主机IP类型,如网络爬虫、大网测绘、DNS&NTP服务,也包括恶意类型的访问,如Hacking、Botnet、暴力破解等,可以帮助有经验的分析师快速进行报警分类。
2. 智能分析
在现实中,提供丰富的上下文情报并不足以完成报警的分类分级,因为利用这些信息需要专业的知识,而这方面也是很多企业缺失的;同时其中重复的、可流程化的分析工作,如果完全依赖分析师人工进行,也是对稀缺资源的浪费。360****智能情报,整合了相关的情报、运营经验和分析知识模型,推出了智能分析,针对查询对象直接给出误报判别、风险等级、攻击意图和响应建议等战术决策建议,保障在缺乏专业化分析和响应人员的情况下,也可以高效的完成日常的运营工作。
智能分析基于不同的分析场景,提供不同的分析模型,其中最常见的是对互联网攻击IP的智能分析,以及对内网访问可疑域名的智能分析。具体以互联网攻击IP的智能分析为例,一个疑似攻击IP可以通过对IP画像情报的查询,获取10多个维度、几十种分类的情报信息,包括地理位置、所属AS组织、注册使用机构、网络类型(未分配地址、未路由地址、大网基础设施、IDC、CDN、企业出口、家庭用户等)、匿踪行为(VPN、代理、Tor等)、行为意图、风险等级、可信度、阻断影响、威胁行为特征等,一个缺少互联网资产知识和分析经验的运营人员,很难充分利用这些内容形成准确的分析结论,而通过智能分析,可以直接利用固化的分析模型快速、大规模的处理相关信息,从中过滤掉误报虚警、低风险的探测行为、非针对性的自动化攻击,而识别出大概率会造成较大风险或者有定向攻击意图的攻击IP,同时给出具体风险类型及等级、阻断和响应建议、决策相关的依据等。
优化安全运营的效率,只是智能情报价值的一个方面。从发展上看,情报的应用越来越广泛,越来越深入,不单是检测、响应的过程,如何进行作战分析去了解攻击背后的团伙和攻击意图,如何通过战略分析去掌握行业面临的整体安全风险,如何快速识别业务所面临的关键威胁,等等,都需要更智能的情报才能满足这些要求。紧密贴合具体的使用场景,利用安全大脑的情报、知识和运营经验,提供更智能的情报,让检测更及时、运营更高效、决策更智慧,这就是我们的方向。
参考链接:
1.https://medium.com/anton-on-security/2021-threat-intelligence-use-cases-8f4423e250c5