??

一、背景

當前網(wǎng)絡(luò)空間安全形勢非常復雜，入侵手段不斷攀升，比如匿名網(wǎng)絡(luò)(The Onion Router簡稱Tor)、網(wǎng)絡(luò)跳板、僵尸網(wǎng)絡(luò)(Botnet)、惡意URL地址等方式在網(wǎng)絡(luò)攻擊者大量使用，發(fā)現(xiàn)困難、追蹤更難，這些都攻擊手段的出現(xiàn)帶來了新的挑戰(zhàn)。傳統(tǒng)方法往往只能獲取局部攻擊信息，無法構(gòu)建出完整的攻擊鏈條，網(wǎng)絡(luò)空間希望有類似國際刑警組織能夠獲取到各地網(wǎng)絡(luò)中的威脅信息，從而為網(wǎng)絡(luò)攻擊檢測防護、聯(lián)動處置、信息共享提供一個決策信息平臺。

近幾年在網(wǎng)絡(luò)安全領(lǐng)域逐步興起的威脅情報(Threat Intelligence)分析為網(wǎng)絡(luò)態(tài)勢感知提供了技術(shù)支持。所謂威脅情報系統(tǒng)就是在網(wǎng)絡(luò)空間里，找出網(wǎng)絡(luò)威脅(各種網(wǎng)絡(luò)攻擊)的直接或間接證據(jù)，這些證據(jù)就隱藏在大量威脅源中，系統(tǒng)會在海量數(shù)據(jù)中甄別出你感興趣的內(nèi)容，要理解威脅情報系統(tǒng)所做的工作還必須對攻擊事件有所了解。

當發(fā)生網(wǎng)絡(luò)入侵事件后，網(wǎng)管首先要確定入侵源，實現(xiàn)這一目的主要通過日志、流量(異常流量意味著某種攻擊活動，如內(nèi)網(wǎng)主機在與某僵尸網(wǎng)絡(luò)進行通訊)。要實現(xiàn)威脅情報分析，首先需要它能夠?qū)崿F(xiàn)態(tài)勢感知，能理解威脅并能夠預測即將呈現(xiàn)的狀態(tài)，以實現(xiàn)決策。

二、攻擊事件分析

網(wǎng)絡(luò)中沒有單純的攻擊事件，很多網(wǎng)絡(luò)攻擊由一系列事件所組成，通常為有序的或相互依賴的多個步驟，通常大家只會關(guān)注某一個事件，很難從全局上看問題。

下面舉個入侵事件的例子，黑客利用漏洞(CVE -2014-6324)特權(quán)提升，對Web服務器進行入侵，獲得Web服務器的本地訪問權(quán)限，由于Web服務器可連接到NFS服務器，黑客還修改了文件服務器中的數(shù)據(jù)，一旦黑客掌握了NFS服務器的控制權(quán)，便可以文件服務器上安裝木馬，待安裝完成，便等待一名內(nèi)部用戶在該工作站上運行這個事先已安插好的木馬，一旦用戶激活木馬，黑客進一步獲得更高級別的控制權(quán)，企業(yè)內(nèi)部資料就這樣源源不斷的被秘密傳輸?shù)街付ǖ牡攸c，這就是常說的APT攻擊，這種攻擊持續(xù)很長時間，能穿越了各種廠家的設(shè)備，不易被發(fā)現(xiàn)。

大家平時工作中遇到類似這樣的入侵問題，大多都是猜測，對這種潛在攻擊活動的感知能力十分有限(因為大家都沒有在網(wǎng)絡(luò)中間部署分布式的IDS傳感器)，這時利用IDS系統(tǒng)能提前對這種異常行為在故障發(fā)生前，發(fā)出預警信息，這也是威脅情報源的一種類型。

三、安全威脅情報

安全威脅情報(Security Threat Intelligence)，它是網(wǎng)絡(luò)安全機構(gòu)為了共同應對APT(Advanced Persistent Threat高級持續(xù)性威脅)攻擊，而逐漸興起的一項熱門技術(shù)，它實際上是我們從安全服務廠商、防病毒廠商、和安全組織得到安全預警通告、漏洞通告、威脅通告等。這些信息用于對網(wǎng)絡(luò)攻擊進行追根溯源，這些信息由安全廠商所提供，數(shù)據(jù)來源則是通過收集大量基礎(chǔ)信息、監(jiān)測互聯(lián)網(wǎng)流量，或?qū)⒖蛻舻木W(wǎng)絡(luò)也納入檢測的范圍，以獲得該客戶的特定安全情報信息。然后利用蜜網(wǎng)、沙箱、DPI等技術(shù)進行數(shù)據(jù)分析加工，最終形成報告。這些數(shù)據(jù)深度加工任務只有專業(yè)安全廠商才能做到，對于傳統(tǒng)企業(yè)來講，無法達到專業(yè)廠家的實力，主要還是收集內(nèi)部網(wǎng)絡(luò)的威脅信息源，訂閱各種安全威脅情報信息和漏洞信息，但匯總、分析這些信息的工作就落到安全人員身上，執(zhí)行的效果完全取決于專業(yè)能力。

四、技術(shù)框架

威脅情報系統(tǒng)的技術(shù)框架如圖1所示，從圖中可看出它包含了內(nèi)部威脅和外部威脅兩個方面的共享和利用。

??

圖1 威脅情報系統(tǒng)總體框架

外部威脅情報主要來自互聯(lián)網(wǎng)已公開的情報源，及各種訂閱的安全信息，漏洞信息、合作交換情報信息、購買的商業(yè)公司的情報信息。公開的信息包含了安全態(tài)勢信息、安全事件信息、各種網(wǎng)絡(luò)安全預警信息、網(wǎng)絡(luò)監(jiān)控數(shù)據(jù)分析結(jié)果、IP地址信譽等。在威脅情報系統(tǒng)中能夠提供潛在的惡意IP地址庫，包括惡意主機、垃圾郵件發(fā)送源頭與其他威脅，還可以將事件與網(wǎng)絡(luò)數(shù)據(jù)與系統(tǒng)漏洞關(guān)聯(lián)，全球IP信譽顯示如圖2所示。

在圖1中顯示的合作交換的信息主要來自安全廠商的固定客戶，比如AlienVault公司的OSSIM USM可將客戶上報的威脅匯聚為一個威脅數(shù)據(jù)庫在云端共享，其他客戶可以共享這些情報，好處是，只要有一個客戶在內(nèi)網(wǎng)中發(fā)現(xiàn)了某種威脅，并上報便可通過網(wǎng)絡(luò)立即跟其他客戶分享。

只要在系統(tǒng)中發(fā)現(xiàn)可疑IP，立即通過威脅系統(tǒng)里的IP信譽數(shù)據(jù)庫能夠發(fā)現(xiàn)到該惡意IP的信息，詳情如圖3所示。

??

圖3 通過IP信譽查詢的惡意IP的情報信息

內(nèi)部威脅情報是相對容易獲取的，因為大量的攻擊來自網(wǎng)絡(luò)內(nèi)部，內(nèi)部威脅情報源主要是指網(wǎng)絡(luò)基礎(chǔ)設(shè)施自身的安全檢測防護系統(tǒng)所形成的威脅數(shù)據(jù)信息，有來自基礎(chǔ)安全檢測系統(tǒng)的也有來自SIEM系統(tǒng)的數(shù)據(jù)。企業(yè)內(nèi)部運維人員主要通過收集資產(chǎn)信息、流量和異常流量信息、漏洞掃描信息、HIDS/NIDS信息、日志分析信息以及各種合規(guī)報表統(tǒng)計信息。

五、威脅情報系統(tǒng)的選擇

與其他IT系統(tǒng)發(fā)展相比，網(wǎng)絡(luò)威脅情報系統(tǒng)發(fā)展還處于初級階段，但這個領(lǐng)域的主導廠商以國外的為主，包括FireEye、Cyveilance、IBM X-Force Exchange、LogRhythm、VeriSign、AlienVault;國內(nèi)的360威脅情報中心和微步在線Threatbook從2015年剛起步，離一個完整、成熟的威脅情報平臺還有一段路要走。如果您是正在關(guān)注威脅情報的企業(yè)，不要盲目加入威脅情報的行列，不要被銷售人員夸夸其談所吸引，還是要理性的看待問題。我認為前期首先利用開源軟件來實現(xiàn)情報威脅系統(tǒng)，而這種功能的開源工具非OSSIM莫屬，該系統(tǒng)中OTX所提供的功能可滿足威脅情報系統(tǒng)的要求。OSSIM具體部署與使用大家可參考《開源安全運維平臺-OSSIM最佳實踐》一書。

六、威脅情報利用

說道威脅情報所發(fā)揮的作用，再接著看看APT攻擊事件威脅情報利用。通常，APT攻擊事件很可能持續(xù)很長時間，它在OSSIM系統(tǒng)中反映出來的是一組可觀測到的事件序列，這些攻擊事件顯示出了多臺攻擊主機的協(xié)同活動，如圖4所示，顯示出在攻擊檢測中的價值。

??

圖4 一組網(wǎng)絡(luò)攻擊圖

與刑事犯罪取證類似，網(wǎng)絡(luò)安全分析人員需要綜合各種不同的證據(jù)，以查清互聯(lián)網(wǎng)全球性攻擊現(xiàn)象的根本原因。這種工作，往往很枯燥，非常需要耐心，在網(wǎng)上很難根據(jù)關(guān)鍵詞來獲取答案，主要依靠分析師的專業(yè)技能，它涉及攻擊事件的若干不同維度的特征。

對上述攻擊，顯示了9條關(guān)聯(lián)出來的安全事件，如圖5所示。

??

圖5 關(guān)聯(lián)出的事件

攻擊圖和告警關(guān)聯(lián)工具可以結(jié)合在一起進行評估，告警關(guān)聯(lián)關(guān)系工具可以把特殊的、多步攻擊的零散報警，合理的組合在一起，以便把攻擊者的策略和意圖清晰的告訴安全分析人員。除了以上例舉實例之外還有包括安全分析和事件響應，這里就不一一舉例。

七 總結(jié)

本文主要通過實例例舉介紹了個人對威脅情報系統(tǒng)的理解、威脅情報的分類及使用場景、選擇適合的威脅情報系統(tǒng)等方面的問題，當然威脅情報應用的例子還遠不止這些，這里只是例舉了一些典型的例子，希望引起更多人的興趣。如果您是正在關(guān)注威脅情報的企業(yè)，不要盲目加入威脅情報的行列，不要被銷售人員夸夸其談所吸引，從企業(yè)自身網(wǎng)絡(luò)安全需求出發(fā)，理性的看待問題。