關(guān)于威脅情報(bào)的研究分析

胡釗 金文嫻 陳禹旭

摘? 要：無(wú)論是病毒查殺還是威脅防御，我們?cè)谂c網(wǎng)絡(luò)攻擊者的博弈中，既要保證自身的數(shù)據(jù)安全，也要善于利用對(duì)方的威脅數(shù)據(jù)。數(shù)據(jù)在網(wǎng)絡(luò)威脅事件中雖然不占絕對(duì)位置，但是從數(shù)據(jù)中拆解出的信息卻有著重要作用。移動(dòng)互聯(lián)網(wǎng)威脅信息平臺(tái)的搭建實(shí)現(xiàn)了威脅場(chǎng)景還原、威脅來(lái)源追蹤、未知威脅感知等能力。該文分析了當(dāng)前威脅情報(bào)面臨的難題提出了相應(yīng)解決策略。

關(guān)鍵詞：勒索病毒? 威脅情報(bào)? 威脅感知? 互聯(lián)網(wǎng)

中圖分類號(hào)：TP393.08? ? ? ? ? ? ? ? ? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1672-3791（2021）02（b）-0063-03

Research and Analysis on Threat Intelligence

HU Zhao? JIN Wenxian? CHEN Yuxu

（China Southern Power Grid Digital Grid Research Institute Co.， Ltd.， Guangzhou， Guangdong Province， 515000? China）

Abstract： Whether it is virus killing or threat defense， in the game with network attackers， we must not only ensure our own data security， but also be good at using the other side's threat data. Although data does not occupy an absolute place in network threat events， the information disassembled from data has an important role. The establishment of the mobile Internet threat information platform has realized the capabilities of threat scenario restoration， threat source tracking， and unknown threat perception. This article analyzes the current challenges facing threat intelligence and proposes corresponding solutions.

Key Words： Ransomware; Threat intelligence; Threat perception; Internet

勒索病毒給網(wǎng)絡(luò)用戶特別是移動(dòng)端設(shè)備嚴(yán)重依賴人群帶來(lái)了惡劣影響。對(duì)于網(wǎng)絡(luò)安全攻防戰(zhàn)，其本質(zhì)在于信息的不對(duì)稱性，無(wú)論是攻還是防，只要率先掌握了更全面的數(shù)據(jù)信息就能擁有網(wǎng)絡(luò)安全的主動(dòng)權(quán)。移動(dòng)互聯(lián)網(wǎng)的每一場(chǎng)技術(shù)革新改變的不僅是信息傳輸?shù)谋憬菪?，同時(shí)還隱藏著數(shù)以萬(wàn)計(jì)的安全漏洞。僅僅靠對(duì)應(yīng)用進(jìn)行檢測(cè)、加固或者監(jiān)測(cè)是遠(yuǎn)遠(yuǎn)不能取勝的。對(duì)于移動(dòng)應(yīng)用安全管理，我們需要建立全面響應(yīng)機(jī)制，不僅包括輿情監(jiān)察和公開的威脅情報(bào)，還要求能夠做到對(duì)威脅攻擊場(chǎng)景的還原。

1? 威脅情報(bào)概念

威脅情報(bào)可以分為戰(zhàn)略情報(bào)、戰(zhàn)術(shù)情報(bào)和運(yùn)營(yíng)情報(bào)。其中戰(zhàn)略情報(bào)比較寬泛抽象，多以報(bào)告、指南、框架文件等形式提供給高級(jí)管理者閱讀，側(cè)重安全態(tài)勢(shì)的整體性描述，以輔助組織的安全戰(zhàn)略決策。戰(zhàn)術(shù)級(jí)情報(bào)則泛指機(jī)讀情報(bào)的收集和輸出，多以IoCs（Indicators of Compromise）的形式輸出，如某個(gè)木馬的C2服務(wù)器IP地址、釣魚網(wǎng)站的URL或某個(gè)黑客組織常用工具h(yuǎn)ash等;運(yùn)營(yíng)情報(bào)是建立在對(duì)戰(zhàn)術(shù)級(jí)情報(bào)進(jìn)行多維分析之上而形成的更高維情報(bào)知識(shí)，如銀行的哪些客戶信息已經(jīng)外泄并被利用于業(yè)務(wù)欺詐、某個(gè)APT攻擊的殺傷鏈?zhǔn)窃趺礃?gòu)成的、其影響面等，主要用于制定針對(duì)性的整體防御、檢測(cè)和響應(yīng)策略[1]。

2? 威脅情報(bào)的應(yīng)用場(chǎng)景

2.1 攻擊檢測(cè)與防御

威脅情報(bào)應(yīng)用于攻擊檢測(cè)與防御是應(yīng)用得較多的場(chǎng)景之一。通過機(jī)讀情報(bào)以訂閱方式集成到現(xiàn)有的安全產(chǎn)品之中，實(shí)現(xiàn)與安全產(chǎn)品協(xié)同工作，如SIEM、IDS等產(chǎn)品中，可以有效地縮短平均檢測(cè)時(shí)間（MTTD：Mean-Time-to-Detect），當(dāng)平均檢測(cè)時(shí)間降低即表示企業(yè)的安全能力得到了提升。威脅情報(bào)對(duì)已有的IP/Domain/HASH等信譽(yù)庫(kù)進(jìn)行了標(biāo)準(zhǔn)化的補(bǔ)充，可以讓其可以更加有效地發(fā)揮作用。準(zhǔn)確及時(shí)的失陷標(biāo)示數(shù)據(jù)可以幫助用戶快速處理已經(jīng)或正在發(fā)生的威脅，比如黑樣本的HASH、對(duì)外連接的C&C及Downloader服務(wù)器的IP或域名，網(wǎng)絡(luò)邊界設(shè)備或運(yùn)行于主機(jī)上的Agent可以通過簡(jiǎn)單的匹配就能發(fā)現(xiàn)并采用自動(dòng)化的應(yīng)對(duì)措施。我們從部署的蜜網(wǎng)中發(fā)現(xiàn)了一條攻擊信息wget-q-O-http：//67.205.168.20：8000/i.sh。鏈接的主要內(nèi)容為shell腳本，功能是遠(yuǎn)程下載挖礦程序，創(chuàng)建定時(shí)任務(wù)。

2.2 事件監(jiān)測(cè)與響應(yīng)

在日常處理應(yīng)急過程中，事中階段，安全人員會(huì)根據(jù)IOC信息以及其他相關(guān)信息快速識(shí)別攻擊，或者根據(jù)機(jī)子所感染顯示的一些特征，如外連的IP、注冊(cè)表信息、進(jìn)程名等去查詢是否有出現(xiàn)類似的情報(bào)信息（開源情報(bào)或者內(nèi)部情報(bào)），來(lái)明確威脅攻擊類型，來(lái)源以及攻擊的意圖等。快速評(píng)估企業(yè)內(nèi)部資產(chǎn)受損程度及影響面，判斷攻擊所處的階段，做出針對(duì)性的措施來(lái)阻止攻擊進(jìn)一步擴(kuò)大;事后階段，安全人員可以根據(jù)事件中出現(xiàn)的新的情報(bào)信息進(jìn)行增補(bǔ)，如新變種、新C&C等，方便后續(xù)安全運(yùn)營(yíng)以及更好地應(yīng)對(duì)同類型的攻擊[2]。

2.3 攻擊團(tuán)伙追蹤

威脅情報(bào)追蹤攻擊團(tuán)伙是一個(gè)長(zhǎng)期的運(yùn)營(yíng)過程，需要積累一定量的攻擊團(tuán)伙的TTP，即戰(zhàn)術(shù)、技術(shù)、過程3個(gè)維度。當(dāng)然這只是針對(duì)高級(jí)攻擊組織，對(duì)于小黑客來(lái)說(shuō)，根據(jù)一些攻擊中暴露的細(xì)節(jié)并結(jié)合威脅情報(bào)就可以追溯得到。

2.4 威脅狩獵

威脅狩獵是一種當(dāng)前較新的高級(jí)威脅發(fā)現(xiàn)的方法，旨在事件發(fā)生之前，提前發(fā)現(xiàn)威脅，由被動(dòng)變?yōu)橹鲃?dòng)。這需要安全分析人員具有較高的威脅發(fā)現(xiàn)能力，主動(dòng)去根據(jù)網(wǎng)絡(luò)中的異常情況來(lái)發(fā)現(xiàn)高級(jí)威脅，而威脅情報(bào)就能給予安全分析人員很好的幫助。威脅獵捕是對(duì)各種數(shù)據(jù)源，所以IOC情報(bào)在威脅狩獵中可以起到重要作用。威脅狩獵模型中使用IOC-Based Hunting和TTP-Based Hunting。

2.5 基于情報(bào)驅(qū)動(dòng)的漏洞管理

漏洞情報(bào)管理的主要目的是為了保護(hù)用戶資產(chǎn)、數(shù)據(jù)傳輸過程。結(jié)合威脅情報(bào)，可以幫助安全運(yùn)維人員快速定位影響資產(chǎn)安全的關(guān)鍵風(fēng)險(xiǎn)點(diǎn)。當(dāng)漏洞情報(bào)被披露時(shí)，企業(yè)可以根據(jù)漏洞情報(bào)再結(jié)合企業(yè)的資產(chǎn)信息來(lái)分析漏洞對(duì)整個(gè)業(yè)務(wù)的影響，提前修復(fù)關(guān)鍵漏洞。特別是在0day漏洞的在野利用事件爆發(fā)的時(shí)候，漏洞情報(bào)就顯得格外重要[3]。

2.6 暗網(wǎng)情報(bào)發(fā)現(xiàn)

暗網(wǎng)中存在大量非法交易，惡意代碼、毒品、數(shù)據(jù)販賣等。近年國(guó)內(nèi)也發(fā)生了多起大型數(shù)據(jù)泄露的事件，如2018年華住酒店數(shù)據(jù)泄露并在暗網(wǎng)出售、Acfun遭黑客攻擊數(shù)據(jù)泄露。

企業(yè)需要此類的情報(bào)信息來(lái)避免被薅羊毛、數(shù)據(jù)泄露、業(yè)務(wù)風(fēng)險(xiǎn)等。雖然有可能對(duì)于企業(yè)只是亡羊補(bǔ)牢的操作，但是在一定程度上能夠?yàn)槠髽I(yè)提供信息，幫助企業(yè)定位到可疑的攻擊點(diǎn)。

3? 威脅情報(bào)面臨的難題

3.1 CTI缺乏方法論

許多網(wǎng)絡(luò)安全會(huì)議的演講者都會(huì)提及這些著作和術(shù)語(yǔ)來(lái)讓威脅情報(bào)看上有著嚴(yán)謹(jǐn)?shù)睦碚摶A(chǔ)和科學(xué)嚴(yán)謹(jǐn)性。但事實(shí)上威脅情報(bào)大多數(shù)內(nèi)容都是建立在松散的概念之上，并不具備嚴(yán)格的分析能力。如今，大多數(shù)威脅情報(bào)分析都是由警報(bào)和傳入的原始數(shù)據(jù)而不是預(yù)先確定的假設(shè)進(jìn)行輸入驅(qū)動(dòng)的。缺乏方法論導(dǎo)致企業(yè)難以分析每天大量產(chǎn)生的IoC數(shù)據(jù)點(diǎn)與特定威脅環(huán)境的相關(guān)性。另一方面，缺少（基于方法論的）流程會(huì)導(dǎo)致威脅情報(bào)分析癱瘓，尤其是在較小的團(tuán)隊(duì)中。盡管計(jì)算機(jī)科學(xué)領(lǐng)域已經(jīng)提供了幾種支持?jǐn)?shù)據(jù)預(yù)處理的機(jī)器學(xué)習(xí)算法，但將隱性知識(shí)轉(zhuǎn)換為算法可能在未來(lái)幾年仍將是一個(gè)尚未解決的挑戰(zhàn)。解決之道在于引入流程，而不是更多的技術(shù)[4]。

3.2 威脅情報(bào)是共享的，但只是口頭上的

珍珠港事件和911事件都是IC情報(bào)共享的最佳反面教材。由于交通燈協(xié)議（TLP）的限制，CTI的共享更加復(fù)雜。TLP使用交通信號(hào)燈顏色指示是否可以跨信任邊界（組織、信息共享和分析中心[ISAC]）共享信息。紅色限制只向直接參與者分發(fā)，而綠色限制向社區(qū)公開。白色表示共享不受限制。但是灰色區(qū)域（Amber）則模棱兩可：只能在您的組織內(nèi)共享，而特定約束可以由源機(jī)構(gòu)指定。此外，TLP僅適用于人與人之間的共享，不適用于基于計(jì)算機(jī)的威脅數(shù)據(jù)共享，后者依賴機(jī)器與機(jī)器共享的正式標(biāo)準(zhǔn)，例如結(jié)構(gòu)化威脅信息表達(dá)。但是，大多數(shù)威脅情報(bào)數(shù)據(jù)仍以非結(jié)構(gòu)化方式共享。

ISAC（信息分享與分析中心）促進(jìn)了各個(gè)行業(yè)和企業(yè)之間的信息共享。ISAC可以成為免費(fèi)交換優(yōu)質(zhì)CTI的良好來(lái)源。但是，ISAC的成功往往只能維持最初的階段，因?yàn)榉窒淼囊庠溉Q于ISAC的規(guī)模。一旦有其他參與者進(jìn)入ISAC，共享效率就趨于下降，因?yàn)閰⑴c者不希望有免費(fèi)服務(wù)。如前所述，這不是技術(shù)問題，而是信任問題[5]。

3.3 威脅情報(bào)質(zhì)量通常很差

威脅情報(bào)數(shù)據(jù)的種類很多，最常見的形式是IoC失陷指標(biāo)，包含與惡意活動(dòng)相關(guān)的信息，例如IP地址、域名或文件哈希等，其中用作識(shí)別惡意文件的指紋的文件哈希是IoC共享最多的數(shù)據(jù)類型，但價(jià) 值“保鮮期”很短，因?yàn)閻阂廛浖l(fā)展極快。嚴(yán)格來(lái)說(shuō)，IoC本身不具有情報(bào)價(jià)值，因?yàn)樗鼈冃枰c網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)日志記錄上下文相關(guān)聯(lián)。一個(gè)普通的中型組織的IT系統(tǒng)每天會(huì)產(chǎn)生數(shù)百萬(wàn)條系統(tǒng)消息，其中只有極少數(shù)是由人類分析人員調(diào)查的?；贗oC的檢測(cè)可以促進(jìn)基于風(fēng)險(xiǎn)的優(yōu)先級(jí)，但這取決于IoC的質(zhì)量。如果產(chǎn)生太多的誤報(bào)，將導(dǎo)致分析人員的告警疲勞。

3.4 威脅情報(bào)供應(yīng)商的不透明

到目前為止，大多數(shù)組織都是威脅數(shù)據(jù)的“消費(fèi)者”而不是“客戶”，它們對(duì)情報(bào)數(shù)據(jù)提供者的方法不僅未知，而且對(duì)它的來(lái)源也一無(wú)所知。

由于缺乏研發(fā)資源，商業(yè)威脅情報(bào)提供者經(jīng)常將其CTI數(shù)據(jù)外包給競(jìng)爭(zhēng)對(duì)手。網(wǎng)絡(luò)威脅聯(lián)盟就是一個(gè)眾所周知的例子，通過該聯(lián)盟，25個(gè)成員組織每月共享400萬(wàn)個(gè)可觀察物。商業(yè)威脅情報(bào)提供者結(jié)成聯(lián)盟可能導(dǎo)致某些威脅的報(bào)告出現(xiàn)重疊，而免費(fèi)提供的開源威脅情報(bào)在很大程度上沒有這種問題。對(duì)于許多從業(yè)者來(lái)說(shuō)，這種重疊是未知的，并且由于商業(yè)情報(bào)的高價(jià)位，在實(shí)踐中很難識(shí)別[6]。

4? 從威脅識(shí)別到威脅感知和溯源

4.1 多維度感知，源頭可溯

要想洞悉整個(gè)威脅場(chǎng)景，要求我們對(duì)威脅信息的分析維度要足夠全面，在自動(dòng)化感知的病毒數(shù)據(jù)基礎(chǔ)上，結(jié)合專業(yè)的威脅分析，針對(duì)勒索病毒從偽裝類型、傳播源、威脅行為3個(gè)維度上展開分析，在威脅地域、時(shí)間、攻擊者特征等方面得出重要結(jié)論，并以此追蹤到較大的犯罪團(tuán)伙——彼岸花技術(shù)團(tuán)隊(duì)。針對(duì)攻擊場(chǎng)景的威脅信息能夠更直觀地反映出攻擊目的，為相關(guān)部門采取防護(hù)行動(dòng)提供參考。

4.2 多角度告警，隱患可防

在利用數(shù)據(jù)關(guān)聯(lián)性分析還原威脅事件的前提下，對(duì)威脅趨勢(shì)進(jìn)行預(yù)判，從攻擊手段、攻擊地域、攻擊目的等不同角度分析威脅趨勢(shì)，針對(duì)攻擊者本身以及攻擊事件向移動(dòng)網(wǎng)絡(luò)用戶個(gè)人、企業(yè)發(fā)出告警信號(hào)并提供專業(yè)、全面的防護(hù)措施方案，形成具有決策性的威脅情報(bào)。

當(dāng)然，威脅情報(bào)驅(qū)動(dòng)安全威脅信息管理平臺(tái)要想實(shí)現(xiàn)大范圍的威脅告警需要和企業(yè)、公安部門、監(jiān)管部門、應(yīng)用商店以及各安全廠商等建立聯(lián)動(dòng)機(jī)制，保證威脅信息時(shí)效性的前提下采取網(wǎng)絡(luò)威脅的應(yīng)急措施，在遭受攻擊之前排查隱患、修復(fù)漏洞，切實(shí)地保護(hù)網(wǎng)絡(luò)數(shù)據(jù)安全和個(gè)人財(cái)產(chǎn)安全。

參考文獻(xiàn)

[1] 黃紫斐，劉江韻.網(wǎng)絡(luò)時(shí)代五眼情報(bào)聯(lián)盟的調(diào)整：戰(zhàn)略引導(dǎo)、機(jī)制改進(jìn)與國(guó)際影響[J].情報(bào)雜志，2020，39（4）：20-29.

[2] 楊沛安，武楊，蘇莉婭，等.網(wǎng)絡(luò)空間威脅情報(bào)共享技術(shù)綜述[J].計(jì)算機(jī)科學(xué)，2018，45（6）：9-18，26.

[3] 范佳佳.論大數(shù)據(jù)時(shí)代的威脅情報(bào)[J].圖書情報(bào)工作，2016，60（6）：15-20.

[4] 李建華.網(wǎng)絡(luò)空間威脅情報(bào)感知、共享與分析技術(shù)綜述[J].網(wǎng)絡(luò)與信息安全學(xué)報(bào)，2016，2（2）：16-29.

[5] 李瑜，何建波，李俊華，等.美國(guó)網(wǎng)絡(luò)威脅情報(bào)共享技術(shù)框架與標(biāo)準(zhǔn)淺析[J].保密科學(xué)技術(shù)，2016（6）：16-21.

[6] 晨希，薛麗敏，韓松.淺析網(wǎng)絡(luò)安全威脅情報(bào)的發(fā)展與應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016（6）：12-13，15.