最近被談?wù)摰漠惓；馃岬囊粋€(gè)術(shù)語(yǔ)就是威脅情報(bào)，那么威脅情報(bào)到底是什么意思，它是一種什么概念或者機(jī)制呢?本文中我們就來(lái)親密接觸一下威脅情報(bào)，并了解它所具有的功能，然后給出幾個(gè)威脅情報(bào)的最佳實(shí)踐示例，最后分析威脅情報(bào)有助于SIEM解決什么問(wèn)題。

[[155677]]

什么是威脅情報(bào)?

最近，威脅情報(bào)受到廣泛的關(guān)注。它有很多種不同的定義，下面列出了一些經(jīng)常被引用的定義：

威脅情報(bào)是基于證據(jù)的知識(shí)，包括上下文、機(jī)制、指標(biāo)、隱含和可操作的建議，針對(duì)一個(gè)現(xiàn)存的或新興的威脅，可用于做出相應(yīng)決定的知識(shí)。—Gartner

針對(duì)安全威脅、威脅者、利用、惡意軟件、漏洞和危害指標(biāo)，所收集的用于評(píng)估和應(yīng)用的數(shù)據(jù)集。—SANS研究院

簡(jiǎn)單地說(shuō)，威脅情報(bào)就是能幫助你識(shí)別安全威脅并做出明智決定的知識(shí)。威脅情報(bào)可以幫助你解決以下問(wèn)題：

1、針對(duì)大量的安全威脅信息，包括網(wǎng)絡(luò)威脅者、威脅方式、漏洞、目標(biāo)等等，如何跟上時(shí)代的步伐?

2、如何主動(dòng)獲取關(guān)于未來(lái)安全威脅的信息?

3、如何通知領(lǐng)導(dǎo)關(guān)于特定安全威脅的危險(xiǎn)和所帶來(lái)的后果?

為何每個(gè)人都在談?wù)撍?

2015年Verizon的DBIR報(bào)告估計(jì)，從7億份危害紀(jì)錄中，安全威脅造成了4億美元的經(jīng)濟(jì)損失，而這些損失則是由79790起安全事件所導(dǎo)致的。只要安全威脅和破壞發(fā)生，每個(gè)企業(yè)都將尋找方法來(lái)保護(hù)他們的數(shù)據(jù)。隨著我們對(duì)IT系統(tǒng)的依賴，威脅的場(chǎng)景總是處于不斷變化之中，所以企業(yè)的經(jīng)濟(jì)損失風(fēng)險(xiǎn)正在不斷增大。

威脅同時(shí)來(lái)自內(nèi)部和外部，同時(shí)管理威脅的組織都承受著巨大的壓力。盡管信息的原始數(shù)據(jù)是可用的，但獲取有意義的信息是非常困難且費(fèi)時(shí)的，但是可以通過(guò)前期措施來(lái)做到這一點(diǎn)。這自然地就把越來(lái)越多的用戶吸引到威脅情報(bào)這一概念，因?yàn)檫@有助于他們?cè)诤Ａ繑?shù)據(jù)、警報(bào)和攻擊中對(duì)它們進(jìn)行主次排序，并能夠提供可實(shí)施性的信息。

下表給出了威脅情報(bào)能夠識(shí)別的威脅的幾種常見(jiàn)指標(biāo)：

威脅情報(bào)的功能

攻擊可以大致歸類為基于用戶的、基于應(yīng)用程序的和基于基礎(chǔ)設(shè)施的威脅。一些最常見(jiàn)的威脅是SQL注入、DDoS、Web應(yīng)用程序攻擊和網(wǎng)絡(luò)釣魚(yú)。

擁有一個(gè)IT安全解決方案是非常重要的，因?yàn)樗軌蛱峁┩{情報(bào)的能力，并通過(guò)主動(dòng)式和響應(yīng)式地來(lái)管理這些攻擊。攻擊者在不斷改變他們的方法來(lái)挑戰(zhàn)安全系統(tǒng)。因此，企業(yè)機(jī)構(gòu)就不可避免地從各種源頭獲取到威脅情報(bào)。

有效應(yīng)對(duì)威脅行之有效的一種方法是，使用SIEM(Security Information & Event Management system，安全信息&事件管理系統(tǒng))來(lái)檢測(cè)并應(yīng)對(duì)威脅。SIEM可以用來(lái)跟蹤你的環(huán)境中發(fā)生的一切，并識(shí)別異常的活動(dòng)。單獨(dú)的事件可能看起來(lái)并不相關(guān)，但通過(guò)事件關(guān)聯(lián)和威脅情報(bào)，你就能看到在你的環(huán)境中到底發(fā)生了什么。

如今，IT安全專家必須在假定的心理缺口下操作。對(duì)威脅情報(bào)中已知惡意攻擊者的流量進(jìn)行監(jiān)控，這將有助于識(shí)別惡意活動(dòng)。然而，這可能需要人工手動(dòng)操作，并且可能很耗時(shí)間。將基于威脅情報(bào)的指示器集成到SEIM安全解決方案中，這將有助于識(shí)別受危害系統(tǒng)，甚至可能阻止一些攻擊。

最佳實(shí)踐

針對(duì)不斷變化的威脅場(chǎng)景，整合威脅情報(bào)和應(yīng)對(duì)攻擊還不足以對(duì)抗它。你需要分析形勢(shì)，并確定你可能面臨的威脅，在此基礎(chǔ)上提出預(yù)防措施。這里有幾個(gè)最佳實(shí)踐的例子：

1、制定一個(gè)應(yīng)用程序白名單和黑名單。這有助于防止惡意或未經(jīng)允許的程序執(zhí)行操作，包括.DLL文件、腳本和安裝器。

2、仔細(xì)檢查你的日志，看看試圖的攻擊是否是一個(gè)獨(dú)立的事件，或者某個(gè)漏洞是否之前被利用過(guò)。

3、確定在試圖的攻擊中改變了什么。

4、審計(jì)日志并確定為什么發(fā)生了這個(gè)事件—其原因可能包括從系統(tǒng)漏洞到一個(gè)過(guò)時(shí)的驅(qū)動(dòng)程序中的任何一個(gè)。

威脅情報(bào)有助于SIEM解決什么問(wèn)題

一個(gè)SIEM，就像SolarWinds 日志和事件管理器，從監(jiān)控的流量中收集和規(guī)范日志數(shù)據(jù)，并自動(dòng)標(biāo)記可疑事件。

隨著威脅情報(bào)機(jī)制和內(nèi)建規(guī)則的集成，可以將監(jiān)控的事件與已知的且不斷更新的威脅者對(duì)比。從實(shí)時(shí)的日志數(shù)據(jù)中你可以快速搜索并監(jiān)控安全威脅者，并識(shí)別常見(jiàn)的危害指標(biāo)。此外，你也可以自動(dòng)采取措施，例如禁掉已知的惡意IP地址，以防惡意攻擊的發(fā)生。