0x00 写在前面

威胁情报这个玩意儿可谓是借着数据驱动安全的东风变成了少数被吹上天的猪之一,虽然笔者不否认威胁情报对于日常安全运营和安全研究方面的作用,但是我们也需要认清楚某些现实情况——威胁情报目前还不能完全预测攻击,至少目前行业没有成功案例和最佳实践可以佐证这一暂时看来不靠谱的观点。那么目前威胁情报到底发展到什么样的水平?威胁情报对于安全行业的意义在哪里?威胁情报未来会发展为什么样的样子?威胁情报真的是网络安全的“少数派报告“么?这些就是我们下面要讨论的东西。

0x01 威胁情报1.0——数据之间的较量

威胁情报概念我们引用uk-cert的观点:[It is] evidence-based knowledge, including context, mechanisms, indicators, implications and actionable advice, about an existing or emerging menace or hazard to assets that can be used to inform decisions regarding the subject's response to that menace or hazard.

翻译成中文就是:关于基于证据的知识,包括背景,机制,指标,影响和可行的建议,关于现有或新兴威胁或对资产的危害,可用于通知关于受试者对该威胁或危害的反应的决策。也就是说威胁情报是为了向决策者提供可行性的建议用来辅助反应决策。

我们举个例子:A是一个互联网公民,我们假设A上午查看了一系列关于资料之后,准备下午对B公司发起一次扫描性质的攻击,结果B公司的雇员C恰好知道了这个消息,然后立刻发微信给老板D说:A下午准备扫我们公司的服务器,请各位老大做好防范。实际上C干的这件事情站在B公司的角度上来看,就是在生产一种威胁情报。而这个也是我们理想中的威胁情报,因为可以辅助决策帮我们做好网络安全层面上的防御。

言归正传,我们理想中的威胁情报是:威胁情报服务提供商告诉我们什么人要在什么时候用什么样的方法来攻击我们的系统,请各单位做好相关的防御工作。然后我们听从建议去进行相对应的防御就能够阻止甚至反击这次攻击。然而理想很丰满,现实很骨感,在威胁情报概念刚刚普及的时候,很多厂商在宣传页中都会大肆宣传我们有多少个国家CERT的数据和多少合作伙伴共享的情报,使得威胁情报厂商基于等同于大数据厂商,只要有威胁情报相关的数据就能干这件事儿,没人去关心这个数据是否准确,是否符合国情,是否已经脱离了时效性这些问题。但是邓爷爷说过:不管白猫黑猫,能抓住老鼠就是好猫,在一项技术发展的初期,尤其是威胁情报这种数据服务偏重的技术上,堆数据确实是一个必须要走而且是不得不走的路,因为当时大家都吃不饱。当数据量达到一定程度的时候,我们就会发现问题了,由于威胁情报本质上就是数据,数据所包含的特性威胁情报就肯定存在,比如说威胁情报的滞后性、准确性、有效性等这些问题其实都是现在威胁情报产品的问题。举一个很简单的例子,我通过一个IP地址在不同的三个威胁情报平台上查询,很有可能就会得到三个不同的结果,如果这样的数据直接拿来辅助攻击防御决策的话,很可能会陷入一系列决策上的混乱,甚至会造成更严重的漏洞。但是很遗憾,从威胁情报这个概念开始火一直到现在已经有一段时间了,这个问题在在国内的某些威胁情报的产品里面依然存在。其实这个阶段,威胁情报产品就是:拿着一堆不靠谱的数据跟客户说你有可能被攻击了

0x02 威胁情报1.5——从CERT到CIRT

威胁情报1.0时代其实解决了吃饱的问题,我们有了大量的数据、大量的情报作为支撑,毕竟威胁情报这件事跟玩相机的都是一个套路,底大就是厉害。所以我们在威胁情报1.0时代往往使用的感觉和我们使用Google百度这些搜索引擎的体验差不多。

换个Logo就能当威胁情报平台用

我们不应该只局限于国内的眼光,是时候应该看一下国外了。说到国外的威胁情报服务就不得不说一件事儿,那就是2017年这一年其实对于安全行业来说是很有参考价值的一年,首先NSA武器库泄露和WannaCry事件说明了互联网攻击武器化这件事儿是真实存在的,而且一旦利用这种东西去发起攻击后果不堪设想,原来的网络攻击可能是让你电脑死机重装系统,但是现在的网络攻击很可能会让你出门刷不了银行卡,开车加不了油,去民政局办结婚证甚至都办不下来的情况;另一个比较有特点的案例就是Xshell-Ghost事件,2017年之前几乎没有人关心供应链的安全,但是Xshell-Ghost事件发生后,越来越多的人关注软件供应链的安全,攻击者利用常用软件的漏洞制作带有后门的版本来通过CDN等分发方式进行大规模分发,导致中招的人不计其数,这事情听上去就觉得很可怕。回到威胁情报本身,威胁情报在1.0的时候使用体验可以说就和Google没什么区别,敲关键字搜索,然后走你,但是到了1.5时代,威胁情报厂商意识到了这个问题,单个的IP结果并不能左右决策,换句话说,如果安全工程师拿着一个IP列表上现在的威胁情报平台上查了一遍,然后跟Boss说这里面的IP全都被标记成僵尸网络,我个人认为专业的安全管理者是不会因为几个IP地址被标记为恶意地址而左右的。

点击收藏 | 0 关注 | 0
  • 动动手指,沙发就是你的了!
登录 后跟帖