关于威胁情报的研究分析

    胡钊 金文娴 陈禹旭

    

    摘? 要：无论是病毒查杀还是威胁防御，我们在与网络攻击者的博弈中，既要保证自身的数据安全，也要善于利用对方的威胁数据。数据在网络威胁事件中虽然不占绝对位置，但是从数据中拆解出的信息却有着重要作用。移动互联网威胁信息平台的搭建实现了威胁场景还原、威胁来源追踪、未知威胁感知等能力。该文分析了当前威胁情报面临的难题提出了相应解决策略。

    关键词：勒索病毒? 威胁情报? 威胁感知? 互联网

    中图分类号：TP393.08? ? ? ? ? ? ? ? ? ? ? ?文献标识码：A文章编号：1672-3791（2021）02（b）-0063-03

    Research and Analysis on Threat Intelligence

    HU Zhao? JIN Wenxian? CHEN Yuxu

    （China Southern Power Grid Digital Grid Research Institute Co.， Ltd.， Guangzhou， Guangdong Province， 515000? China）

    Abstract： Whether it is virus killing or threat defense， in the game with network attackers， we must not only ensure our own data security， but also be good at using the other side's threat data. Although data does not occupy an absolute place in network threat events， the information disassembled from data has an important role. The establishment of the mobile Internet threat information platform has realized the capabilities of threat scenario restoration， threat source tracking， and unknown threat perception. This article analyzes the current challenges facing threat intelligence and proposes corresponding solutions.

    Key Words： Ransomware; Threat intelligence; Threat perception; Internet

    勒索病毒給网络用户特别是移动端设备严重依赖人群带来了恶劣影响。对于网络安全攻防战，其本质在于信息的不对称性，无论是攻还是防，只要率先掌握了更全面的数据信息就能拥有网络安全的主动权。移动互联网的每一场技术革新改变的不仅是信息传输的便捷性，同时还隐藏着数以万计的安全漏洞。仅仅靠对应用进行检测、加固或者监测是远远不能取胜的。对于移动应用安全管理，我们需要建立全面响应机制，不仅包括舆情监察和公开的威胁情报，还要求能够做到对威胁攻击场景的还原。

    1? 威胁情报概念

    威胁情报可以分为战略情报、战术情报和运营情报。其中战略情报比较宽泛抽象，多以报告、指南、框架文件等形式提供给高级管理者阅读，侧重安全态势的整体性描述，以辅助组织的安全战略决策。战术级情报则泛指机读情报的收集和输出，多以IoCs（Indicators of Compromise）的形式输出，如某个木马的C2服务器IP地址、钓鱼网站的URL或某个黑客组织常用工具hash等;运营情报是建立在对战术级情报进行多维分析之上而形成的更高维情报知识，如银行的哪些客户信息已经外泄并被利用于业务欺诈、某个APT攻击的杀伤链是怎么构成的、其影响面等，主要用于制定针对性的整体防御、检测和响应策略[1]。

    2? 威胁情报的应用场景

    2.1 攻击检测与防御

    威胁情报应用于攻击检测与防御是应用得较多的场景之一。通过机读情报以订阅方式集成到现有的安全产品之中，实现与安全产品协同工作，如SIEM、IDS等产品中，可以有效地缩短平均检测时间（MTTD：Mean-Time-to-Detect），当平均检测时间降低即表示企业的安全能力得到了提升。威胁情报对已有的IP/Domain/HASH等信誉库进行了标准化的补充，可以让其可以更加有效地发挥作用。准确及时的失陷标示数据可以帮助用户快速处理已经或正在发生的威胁，比如黑样本的HASH、对外连接的C&C及Downloader服务器的IP或域名，网络边界设备或运行于主机上的Agent可以通过简单的匹配就能发现并采用自动化的应对措施。我们从部署的蜜网中发现了一条攻击信息wget-q-O-http：//67.205.168.20：8000/i.sh。链接的主要内容为shell脚本，功能是远程下载挖矿程序，创建定时任务。

    2.2 事件监测与响应

    在日常处理应急过程中，事中阶段，安全人员会根据IOC信息以及其他相关信息快速识别攻击，或者根据机子所感染显示的一些特征，如外连的IP、注册表信息、进程名等去查询是否有出现类似的情报信息（开源情报或者内部情报），来明确威胁攻击类型，来源以及攻击的意图等。快速评估企业内部资产受损程度及影响面，判断攻击所处的阶段，做出针对性的措施来阻止攻击进一步扩大;事后阶段，安全人员可以根据事件中出现的新的情报信息进行增补，如新变种、新C&C等，方便后续安全运营以及更好地应对同类型的攻击[2]。

    2.3 攻击团伙追踪

    威胁情报追踪攻击团伙是一个长期的运营过程，需要积累一定量的攻击团伙的TTP，即战术、技术、过程3个维度。当然这只是针对高级攻击组织，对于小黑客来说，根据一些攻击中暴露的细节并结合威胁情报就可以追溯得到。

    2.4 威胁狩猎

    威胁狩猎是一种当前较新的高级威胁发现的方法，旨在事件发生之前，提前发现威胁，由被动变为主动。这需要安全分析人员具有较高的威胁发现能力，主动去根据网络中的异常情况来发现高级威胁，而威胁情报就能给予安全分析人员很好的帮助。威胁猎捕是对各种数据源，所以IOC情报在威胁狩猎中可以起到重要作用。威胁狩猎模型中使用IOC-Based Hunting和TTP-Based Hunting。

    2.5 基于情报驱动的漏洞管理

    漏洞情报管理的主要目的是为了保护用户资产、数据传输过程。结合威胁情报，可以帮助安全运维人员快速定位影响资产安全的关键风险点。当漏洞情报被披露时，企业可以根据漏洞情报再结合企业的资产信息来分析漏洞对整个业务的影响，提前修复关键漏洞。特别是在0day漏洞的在野利用事件爆发的时候，漏洞情报就显得格外重要[3]。

    2.6 暗网情报发现

    暗网中存在大量非法交易，恶意代码、毒品、数据贩卖等。近年国内也发生了多起大型數据泄露的事件，如2018年华住酒店数据泄露并在暗网出售、Acfun遭黑客攻击数据泄露。

    企业需要此类的情报信息来避免被薅羊毛、数据泄露、业务风险等。虽然有可能对于企业只是亡羊补牢的操作，但是在一定程度上能够为企业提供信息，帮助企业定位到可疑的攻击点。

    3? 威胁情报面临的难题

    3.1 CTI缺乏方法论

    许多网络安全会议的演讲者都会提及这些著作和术语来让威胁情报看上有着严谨的理论基础和科学严谨性。但事实上威胁情报大多数内容都是建立在松散的概念之上，并不具备严格的分析能力。如今，大多数威胁情报分析都是由警报和传入的原始数据而不是预先确定的假设进行输入驱动的。缺乏方法论导致企业难以分析每天大量产生的IoC数据点与特定威胁环境的相关性。另一方面，缺少（基于方法论的）流程会导致威胁情报分析瘫痪，尤其是在较小的团队中。尽管计算机科学领域已经提供了几种支持数据预处理的机器学习算法，但将隐性知识转换为算法可能在未来几年仍将是一个尚未解决的挑战。解决之道在于引入流程，而不是更多的技术[4]。

    3.2 威胁情报是共享的，但只是口头上的

    珍珠港事件和911事件都是IC情报共享的最佳反面教材。由于交通灯协议（TLP）的限制，CTI的共享更加复杂。TLP使用交通信号灯颜色指示是否可以跨信任边界（组织、信息共享和分析中心[ISAC]）共享信息。红色限制只向直接参与者分发，而绿色限制向社区公开。白色表示共享不受限制。但是灰色区域（Amber）则模棱两可：只能在您的组织内共享，而特定约束可以由源机构指定。此外，TLP仅适用于人与人之间的共享，不适用于基于计算机的威胁数据共享，后者依赖机器与机器共享的正式标准，例如结构化威胁信息表达。但是，大多数威胁情报数据仍以非结构化方式共享。

    ISAC（信息分享与分析中心）促进了各个行业和企业之间的信息共享。ISAC可以成为免费交换优质CTI的良好来源。但是，ISAC的成功往往只能维持最初的阶段，因为分享的意愿取决于ISAC的规模。一旦有其他参与者进入ISAC，共享效率就趋于下降，因为参与者不希望有免费服务。如前所述，这不是技术问题，而是信任问题[5]。

    3.3 威胁情报质量通常很差

    威胁情报数据的种类很多，最常见的形式是IoC失陷指标，包含与恶意活动相关的信息，例如IP地址、域名或文件哈希等，其中用作识别恶意文件的指纹的文件哈希是IoC共享最多的数据类型，但价 值“保鲜期”很短，因为恶意软件发展极快。严格来说，IoC本身不具有情报价值，因为它们需要与网络基础结构日志记录上下文相关联。一个普通的中型组织的IT系统每天会产生数百万条系统消息，其中只有极少数是由人类分析人员调查的。基于IoC的检测可以促进基于风险的优先级，但这取决于IoC的质量。如果产生太多的误报，将导致分析人员的告警疲劳。

    3.4 威胁情报供应商的不透明

    到目前为止，大多数组织都是威胁数据的“消费者”而不是“客户”，它们对情报数据提供者的方法不仅未知，而且对它的来源也一无所知。

    由于缺乏研发资源，商业威胁情报提供者经常将其CTI数据外包给竞争对手。网络威胁联盟就是一个众所周知的例子，通过该联盟，25个成员组织每月共享400万个可观察物。商业威胁情报提供者结成联盟可能导致某些威胁的报告出现重叠，而免费提供的开源威胁情报在很大程度上没有这种问题。对于许多从业者来说，这种重叠是未知的，并且由于商业情报的高价位，在实践中很难识别[6]。

    4? 从威胁识别到威胁感知和溯源

    4.1 多维度感知，源头可溯

    要想洞悉整个威胁场景，要求我们对威胁信息的分析维度要足够全面，在自动化感知的病毒数据基础上，结合专业的威胁分析，针对勒索病毒从伪装类型、传播源、威胁行为3个维度上展开分析，在威胁地域、时间、攻击者特征等方面得出重要结论，并以此追踪到较大的犯罪团伙——彼岸花技术团队。针对攻击场景的威胁信息能够更直观地反映出攻击目的，为相关部门采取防护行动提供参考。

    4.2 多角度告警，隐患可防

    在利用数据关联性分析还原威胁事件的前提下，对威胁趋势进行预判，从攻击手段、攻击地域、攻击目的等不同角度分析威胁趋势，针对攻击者本身以及攻击事件向移动网络用户个人、企业发出告警信号并提供专业、全面的防护措施方案，形成具有决策性的威胁情报。

    当然，威胁情报驱动安全威胁信息管理平台要想实现大范围的威胁告警需要和企业、公安部门、监管部门、应用商店以及各安全厂商等建立联动机制，保证威胁信息时效性的前提下采取网络威胁的应急措施，在遭受攻击之前排查隐患、修复漏洞，切实地保护网络数据安全和个人财产安全。

    参考文献

    [1] 黄紫斐，刘江韵.网络时代五眼情报联盟的调整：战略引导、机制改进与国际影响[J].情报杂志，2020，39（4）：20-29.

    [2] 杨沛安，武杨，苏莉娅，等.网络空间威胁情报共享技术综述[J].计算机科学，2018，45（6）：9-18，26.

    [3] 范佳佳.论大数据时代的威胁情报[J].图书情报工作，2016，60（6）：15-20.

    [4] 李建华.网络空间威胁情报感知、共享与分析技术综述[J].网络与信息安全学报，2016，2（2）：16-29.

    [5] 李瑜，何建波，李俊华，等.美国网络威胁情报共享技术框架与标准浅析[J].保密科学技术，2016（6）：16-21.

    [6] 晨希，薛丽敏，韩松.浅析网络安全威胁情报的发展与应用[J].网络安全技术与应用，2016（6）：12-13，15.