概念
威胁情报是指能够阻止或减轻相关攻击的知识。威胁情报以数据为基础,提供上下文。比如谁正在攻击企业,他们的动机和能力是什么,以及安全分析人员在系统中需要寻找哪些失陷指标(IOC),这都有助于对企业的安全做出决策。
在安全行业内,大多数情况下所说的威胁情报指的是狭义(经典)威胁情报,主要是攻击者相关信息:包括动机、目标、TTP(攻击技战术)、IOC(失陷标识:Indicators of Compromise)等。
在威胁行为检测场景下,其主要内容特指用于识别和检测威胁的失陷标识(IOC),如 IP、Domain、URL、Email、文件 Hash 值等低层次技术级威胁情报。
常见情报标准
1、威胁情报国标GB/T36643-2018
它指的是由中国电子技术标准化研究院牵头制定的《信息安全技术 网络安全威胁信息表达模型》。该国家标准参考 STIX 1.0/2.0、TAXII、CybOX、OpenIOC 等多个国外威胁情报标准,给出了一种结构化方法描述网络安全威胁信息,旨在实现各组织间网络安全威胁信息的共享和利用,并支持网络安全威胁管理和应用的自动化。
2、STIX标准
STIX(Structured Threat Information Expression)意为结构化威胁信息表达式,由 MITRE 联合 DHS(美国国土安全部)发布,早期的 STIX 1.x 版本提供了基于 XML 语法来描述威胁情报的细节和威胁内容的方法(后续的 STIX 2.0 版本在内容描述方面增加了对 JSON 格式的支持),是一种用于描述网络威胁信息的结构化语言,因此可以以一致的方式进行共享、存储和分析。
STIX 适用场景主要包括威胁分析、威胁特征分类、威胁及安全事件应急处理、威胁情报分享等。
目前,STIX 最新版本为 STIX 2.1,它是对 STIX 2.0 的进一步补充和完善,但由于该版本暂未推出官方的逻辑结构图,此处参考 STIX2.0。
3、 TAXII标准
TAXII(Trusted Automated eXchange of Indicator Information)即可信指标信息自动交换,是基于 HTTPS交换威胁情报信息的一个应用层协议,主要用于传输数据。TAXII 是为支持使用 STIX 描述的威胁情报交换而设计的,是 STIX 结构化威胁信息的传输工具。
需要注意的是,STIX 与 TAXII 是两个相互独立的标准。STIX 是以标准化形式沟通运营、战术和战略信息的语言,它所传达的内容,可以为各种安全工具吸收。
TAXII 是一种透明的机制,它提供了共享网络威胁情报的协议,也可以用于其他类型数据的共享。
目前,TAXII 定义的三种信息共享模型如下:
1、辐射型(Hub and Spoke):共享节点间,一个组织作为信息交换中心(Hub),其余节点可通过交换中心获取情报信息,或将情报信息提交至中心进行信息的交换。
2、订阅型(Source/Subscriber):共享节点间,由一个组织担任数据源(source)进行情报数据的汇聚整合,其他节点可通过数据源获取情报数据。
3、点对点型(Peer to Peer):共享节点间可按照交换标准要求自由交换情报信息,每个节点即可作为情报的共享者亦可作为情报的获取者。
基础信息类
基础信息类威胁情报是针对组织及数据资产的客观描述信息,即可归属于特定组织及数据资产的基本信息和特有标识属性。
基础信息类威胁情报类型包括:
IP地理位置 :IP 地址属于运营商的资产,运营商可将其 IP 资产与特定地理位置绑定起来。即通过将一段段的IP 地址绑定到某台物理设备上,便可生成 IP 地理信息库(GeoIP);当把全球的 IP 地理信息库融合为一体,就可以根据特定 IP 来粗略获得对应的位置信息。具体位置信息包括国家,地区,城市,经纬度,ISP,区号,海拔等。
Whois:指可用来查询域名 /IP 所有者的信息。简单来说,Whois 可用来查询域名是否已经被注册,以及注册域名的详细信息的数据库(如域名所有人、域名注册商等)。
自治系统号(ASN):一个自治系统(AS)是一个有权自主决定在本系统中应采用何种路由协议的小型单位。该网络单位可以是一个简单的网络也可以是一个由一个或多个普通的网络管理员来控制的网络群体,它是一个单独的可管理的网络单元(例如一所大学,一个企业或者一个公司个体)。一个自治系统将会分配一个全局的唯一号码,即自治系统号(ASN)。
域名服务器(DNS Server):DNS Server 是指可自动将域名地址转换为 IP 地址的服务器。
内容分发网络(CDN):CDN 指通过在网络各处放置节点服务器所构成的在现有的互联网基础之上的一层智能虚拟网络,能够实时地根据网络流量和各节点的连接、负载状况以及到用户的距离和响应时间等综合信息将用户的请求重新导向离用户最近的服务节点上。其目的是使用户可就近取得所需内容,解决 Internet 网络拥挤的状况,提高用户访问网站的响应速度。
互联网数据中心(IDC):IDC 指一种拥有完善的设备(包括高速互联网接入带宽、高性能局域网络、安全可靠的机房环境等)、专业化的管理、完善的应用服务平台。在这个平台基础上,IDC 服务商可为客户提供互联网基础平台服务(服务器托管、虚拟主机、邮件缓存、虚拟邮件等)以及各种增值服务(场地的租用服务、域名系统服务、负载均衡系统、数据库系统、数据备份服务等)。
代理服务器(Proxy Server):Proxy Server 是网络信息的中转站,是个人网络和 Internet 服务商之间的中间代理机构,负责转发网络信息,并对转发进行控制和登记。
Tor 节点:Tor 又称洋葱网络、洋葱路由器,是一种开放式的匿名网络,它利用多层的加密手段来隐藏用户的通信数据,是一种可以帮助用户实现匿名上网的方式,可以有效地保护用户的联网隐私。Tor 节点即指只能通过 Tor 网络才可以访问的匿名站点。
威胁信息类
威胁信息类威胁情报是针对组织及其数据资产的威胁描述,即可表明特定组织及其数据资产存在威胁的事件或状态信息,以及可对特定目标及其数据资产造成威胁的攻击者详细信息。
威胁信息类威胁情报类型包括:
APT 情报:APT 指高级可持续性威胁,通常指利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。APT 情报则指全球范围内的黑客组织进行 APT 攻击的相关活动情报,主要包括组织名称、攻击目标、攻击技战术、利用工具等信息。
事件情报:包括近期网络安全热点事件分析;网络安全最新动态及安全行业最新资讯;攻防演练相关情报;针对 Web 网站的攻击事件;存在的 DDOS 攻击风险的事件情报等信息。
漏洞情报:与漏洞相关的基础信息、编号信息、利用方式、威胁等级、CPE 信息、修复建议等信息;全球范围内爆发的影响重大并有可能进行广泛利用的漏洞相关的情报;漏洞利用深度分析报告。
恶意网站:恶意网站指被植入恶意代码以实现攻击者目标的网站。包括植入各种恶意代码的欺诈类网站,漏洞利用网站、攻击链上的跳转、传输网站等。
恶意软件:恶意软件指在未经用户许可的情况下,在计算机或其他终端上安装运行、损害服务器或客户端的系统和网络、对用户造成危害的软件。恶意软件包含故意在计算机系统上执行恶意任务的后门、间谍软件、欺诈软件等其它形式的各种恶意软件。
病毒木马:病毒木马是指隐藏在看似正常程序中的一段具有破坏系统、窃取数据等特殊功能的恶意代码或程序。主要包括各种木马、病毒等恶意程序的哈希值 , 也可包含涉及病毒木马活动的相关链接。
勒索软件:勒索软件是一种阻止用户访问其系统及个人文件并要求支付赎金以重新获得访问权的恶意软件。主要包括各种勒索软件及相关工具的哈希值信息,同时也包含传播勒索软件的链接以及攻击者提供的联系邮箱等信息。
C&C 节点:C&C 节点指可向合法网络设备传播木马病毒等其他类型恶意软件的节点地址,主要用于和控制终端进行通信。
僵尸网络:僵尸网络指由多个被某种恶意软件感染和控制的主机设备组成的被控网络。
数字货币挖矿:数字货币挖矿是一种新兴的在线威胁,它隐藏在服务器或 PC 等设备上,并利用设备资源来“挖掘”加密货币。具体包括矿池地址、矿池域名和 IP 信息,挖矿软件的 hash 值等。
恶意软件下载链接:恶意软件下载链接指能直接或隐藏下载各类恶意软件的网站链接。
钓鱼网址:钓鱼网址指为了窃取金融帐号、密码等敏感信息而伪装成合法的商业网站进行欺诈活动的网站。
垃圾邮件:垃圾邮件一般指未经用户许可就强行发送到用户邮箱中的各种电子邮件。
扫描器节点:扫描器节点主要指未经授权进行的网络扫描行为的网络主机。
色情网站:色情网站指提供、展示、传播色情及相关内容的网站。
赌博网站:赌博网站指提供赌博信息或者支持在线赌博的各类网站。
数字证书:数字证书情报包含被确认为与网络钓鱼、间谍活动、恶意软件和其他网络威胁有关的数字证书信息,指标包含颁发者、有效期、密钥长度、密钥算法等信息。
恶意邮箱:恶意邮箱情报包含邮箱的基础信息、曾注册的域名、曾经的使用者,及全面的社交画像信息等。可用于识别钓鱼邮件、恶意攻击邮件、辅助研判邮件检测的场景。
欢迎点赞、转发
原文始发于微信公众号(安全架构):威胁情报的梳理
