如何構建一個世界級網絡威脅情報體系
威脅情報是評估一家企業(yè)當前風險狀況的重要手段。一位資深安全大佬將向我們揭示建立一項成功威脅情報項目的四大必要前提。
無論處于何等規(guī)模,企業(yè)正紛紛轉變戰(zhàn)術以應對信息安全領域出現(xiàn)的諸多挑戰(zhàn)。與其將辛苦賺來的利潤投入到試圖涵蓋所有基礎設施這項幾乎不可能實現(xiàn)的安全保護任務當中,企業(yè)管理者開始根據(jù)風險評估結論了解更為確切的信息安全狀況,并就此建立更具針對性的防御政策。
這種趨勢早在2012年開始就已經出現(xiàn),當時美國國家標準與技術研究院(簡稱NIST)發(fā)布了一份現(xiàn)行風險評估指南(PDF格式,在E安全微信公眾號回復 SP800 即可下載)。這份論文開篇第一句話就是“風險評估是有效風險管理工作中的關鍵性組成部分,而風險管理結構中的三大決策制定依據(jù)層分別為組織層、任務/業(yè)務流程層以及信息系統(tǒng)層。”
根據(jù)這份指南的觀點,風險評估的目標在于幫助決策制定者了解當前狀況,同時支持他們針對以下情況做出反應:
與組織相關之安全威脅;
安全漏洞,包括來自內部與外部之漏洞;
發(fā)生安全事故之可能性;
成功攻擊活動給組織帶來之影響。
安全威脅無處不在
NIST發(fā)布的這份指南中超過600次提到“威脅”這個詞匯。文章作者對此的重視可謂顯而易見,而相信大家也都能明白為什么威脅有必要獲得如此關注。威脅這種東西絕對不是NIST或者企業(yè)數(shù)字資產管理者們所能一手掌握或者控制的。Recorded Future公司威脅情報副總裁Levi Gundert對此有著極為深刻的理解。
在他撰寫的論文《著眼于小處,失誤于小處:建立一套世界級威脅情報體系》(PDF格式,在E安全微信公眾號回復 ASMS 即可下載)當中,Gundert提到“威脅情報作為一項實踐手段,目前對于大多數(shù)企業(yè)而言仍是個難以捉摸的概念。成功的威脅情報項目能夠識別并量化實際商業(yè)目標,包括降低運營風險并通過市場差異鞏固自身競爭優(yōu)勢。”
換句話來說,了解威脅在哪里、是什么、何時出現(xiàn)以及如何生效已經成為一項極為重要的任務。
著眼于小處,失誤于小處
作為前美國特勤局特工,Gundert被分配到洛杉磯電子犯罪特遣部隊后前往靶場進行射擊練習,而他的射擊成績低于其他成員的平均水平。指導員提醒Gundert把靶子翻個面,將沒有繪制圖案的一面朝向自己,重新嘗試一輪射擊。Gundert依樣照做,對著面前飄過的一張張白紙扣動了扳機
“我根本不相信自己能打中靶子,帶著這樣的心情我翻過了靶面,結果讓我驚訝得張大了嘴巴,”Gundert寫道。“子彈幾乎全部穿過了靶心位置……我看著指導員,難以相信自己看到的這一切。”
指導員回應稱,“這就是所謂’著眼于小處,失誤于小處’。”
“著眼于小處,就會失誤于小處”,Gundert將同樣的理論引入到威脅情報這項需要處理數(shù)量龐大之數(shù)據(jù)對象的工作當中。他解釋稱,“真正成功的威脅情報方案絕不能單純追求特定業(yè)務目標,這會令我們錯失更為可觀的工作訴求,轉而單純追求某項極具挑戰(zhàn)性的細節(jié)目標。”
成功威脅情報項目中的必要組成部分
Gundert認為,一個成功的威脅情報項目需要同時包含運營與戰(zhàn)略兩類組成部分。其中運營組成部分應該包括以下幾項:
事故鑒定:這一組成部分主要針對來自各類可靠來源的外部攻擊數(shù)據(jù)的處理工作。GUNDERT提到,將自動化機制引入這一流程能夠確保外部攻擊與內部事故能夠被第一時間得到處理并總結為參考信息。
防御控制:這一組成部分能夠有效預防或者緩解攻擊影響。GUNDERT同時補充稱,這類組成部分必須能夠隨時反映最新數(shù)據(jù)。
接下來,Gundert還介紹了各戰(zhàn)略組成部分,其中涉及如何對將給企業(yè)及其資產帶來當前與未來威脅的專業(yè)分析結論。戰(zhàn)略組成部分應該包括以下幾項:
建立關系:與信息、共享與分析中心(簡稱ISAC)等可信社區(qū)進行攻擊信息交換,這將為我們引入積極因素,幫助企業(yè)通過其它組織機構的安全經歷當中受益。
專有信息來源:除了使用其它來源提供的威脅情報,內部數(shù)據(jù)收集與整理能力是另一項極為重要的企業(yè)數(shù)據(jù)儲備來源,同時也能夠對供應商提供的數(shù)據(jù)進行驗證。GUNDERT補充稱,“舉例來說,建立一套WEB流程以分析前5000個日報型網頁內容中的代碼,這能夠幫助我們盡早掌握各類攻擊行為的動向。”
惡意活動歸屬:了解攻擊活動背后的動機所在,并通過具體方法考量其具體原因,這一點不僅對于當前正在發(fā)生的攻擊非常重要,同時也能夠幫助高層管理人員從中整理出詳盡的背景信息。
超級識別:追蹤攻擊傾向以幫助安全人員洞察未來威脅,并以此為基礎促進防御規(guī)劃。
安全意識:針對員工的培訓工作至關重要。GUNDERT提到,“教育是一項耗費時間但極具戰(zhàn)略意義的工作,一旦被融入體系流程,其將發(fā)揮巨大的直接價值。”
內部監(jiān)管:企業(yè)需要對內部人員的行為加以監(jiān)控,同時著眼于那些尚未被檢測到、但卻切實徘徊在企業(yè)邊界的攻擊活動。
攻擊者工具與架構建議:識別與攻擊活動相關的工具、技術與程序(簡稱TTP),GUNDERT將此稱為對手的“瓶頸“所在,這將使得IT部門以主動方式建立起有針對性的解決方案。
總結
Gundert針對建立世界級威脅情報項目的給出了以下四項基本原則:
了解企業(yè)及其戰(zhàn)略資產;
識別相關敵人及其TTP(即工具、技術與程序);
與各大型安全組織建立合作關系;
建立相關防御安全控制機制,從而提高知名度、降低風險并提升運營收益。
除了以上幾條之外,Gundert還建議稱,“威脅情報項目的成功是否與業(yè)務目標、建設進程以及相關人員對業(yè)務目標的理解程度息息相關。”
