ThreatConnect是威脅情報代表性企業(yè)之一，著名的鉆石模型理論提出者。ThreatConnect近期發(fā)布了一份報告，講述企業(yè)如何通過威脅情報平臺來增強SIEM/SOC的安全能力，以便更全面的理解威脅、消除誤報，形成主動、智能的防御體系。小編帶您一起具體了解下這份報告的內(nèi)容。

1. 從SIEM的本質(zhì)出發(fā)，它是用來做什么的?有哪些局限?

安全信息與事件管理系統(tǒng)(SIEM)在國內(nèi)我們通常更傾向于稱之為安全運營中心(以下簡稱SOC)，主要用于發(fā)現(xiàn)整個企業(yè)中的趨勢和態(tài)勢，從多種事件和具有上下文信息的數(shù)據(jù)源中收集和分析安全事件， SIEM支持威脅檢測和安全事件響應(yīng)——即：一個界面可以連接所有數(shù)據(jù)。大多數(shù)企業(yè)使用SIEM來收集日志數(shù)據(jù)，并將安全事件與多個系統(tǒng)(入侵檢測設(shè)備，防火墻等)內(nèi)部安全日志和事件數(shù)據(jù)相關(guān)聯(lián)。它是有效關(guān)聯(lián)內(nèi)部數(shù)據(jù)和提取的威脅數(shù)據(jù)信息流的起點，還可以自動報警并進行阻斷。然而，隨著攻擊者的不斷“創(chuàng)新”，企業(yè)需要越來越多的了解威脅的本質(zhì)、意圖、技術(shù)和造成損害的能力，SIEM的局限性開始顯現(xiàn)。隨著SIEM投產(chǎn)與運營。不斷增加的噪音和系統(tǒng)復(fù)雜性中的“傳感器疲勞”會逐步壓垮SIEM和它的安全技術(shù)團隊。企業(yè)安全團隊正在努力從已部署的SIEM中發(fā)現(xiàn)真正價值，原因如下：

[[188625]]

• 太多原始“噪音”：SIEM的一個重大困難在于其中輸入的數(shù)據(jù)需要大量的過濾。如果過量的威脅元數(shù)據(jù)進入SIEM，可能會產(chǎn)生大量的誤報，降低SIEM性能，也會強烈干擾監(jiān)控和事件響應(yīng)團隊。此外，當(dāng)無效的原始威脅信息流開始并入到SIEM中，它就無法分別情報的好壞。如果您的SIEM都無分辨，您又如何做到?

• 知己欠缺知彼： 雖然SIEM可以關(guān)聯(lián)事件，或分析可疑或惡意活動，精確定位威脅。但是它缺乏專注于對手的意圖或基于過去觀察到的行為顯示入侵者下一步可能做什么的能力。

• 只對已知威脅有反應(yīng)：由于SIEM通常只能識別和標(biāo)記已知威脅，而當(dāng)您試圖在惡意行為之前提前采取行動時，這將成為問題。如果一個持續(xù)的攻擊者使用新的技術(shù)或工具來抵御企業(yè)的檢測，SIEM本身無法檢測到它，因為它對這種新方法并不熟悉。

2. 將威脅情報集合到SIEM中的好處

• 許多機構(gòu)認(rèn)為， SIEM和態(tài)勢感知系統(tǒng)是解決安全分析困境的靈丹妙藥，實際上它們只是一個起點。因為傳統(tǒng)SIEM不是設(shè)計用來處理非結(jié)構(gòu)化、具備多種格式的威脅情報，并且這些情報是分析所必需的，來自于不同來源。如果輸入太多未經(jīng)驗證的數(shù)據(jù)，這些數(shù)據(jù)將會在實質(zhì)上以垃圾信息的方式來阻礙企業(yè)的安全動脈，會快速導(dǎo)致SIEM消化不良并拖垮稀缺的安全分析資源。所以希望將一大堆未經(jīng)審查的威脅數(shù)據(jù)輸入SIEM，來實現(xiàn)一個所謂的威脅情報解決方案的，一定請三思。

• 威脅情報為安全團隊提供了“及時識別和應(yīng)對攻陷指標(biāo)的能力“。雖然有關(guān)攻擊的信息比比皆是，威脅情報在過程中識別攻擊行為的實質(zhì)是將這些信息與攻擊方法和攻擊進程的上下文知識緊密結(jié)合。

• 將SIEM與威脅情報匹配。企業(yè)將以敏捷和快速反應(yīng)的方式應(yīng)對不斷發(fā)展的、大批量、高優(yōu)先級的威脅。如果不進行匹配，企業(yè)則是在盲目地努力并且還要面對混亂報警的局面。

• 在SIEM中觀察威脅會過度關(guān)注內(nèi)部細(xì)節(jié)。所有形式的威脅數(shù)據(jù)，不論是結(jié)構(gòu)化還是非結(jié)構(gòu)化的，都需要從更“全球化”的角度進行綜合分析和研究。當(dāng)使用篩選后的高質(zhì)量威脅情報來預(yù)警時，你才能開始形成對于威脅的態(tài)勢感知能力(它們可以對你做什么以及它們?nèi)绾巫?，黑客基礎(chǔ)設(shè)施和武器(它們從哪來)，動機(為什么它們這么做)以及它們的目的和資源的全面的了解。

3. 用威脅情報來構(gòu)建SIEM的主要部分，將SIEM與威脅情報平臺綁定聯(lián)動。

威脅情報平臺可以幫助企業(yè)完成經(jīng)常超過企業(yè)自身能力的、需要耗費大量勞動力的對于威脅情報的威脅分析。威脅情報平臺是一個動態(tài)系統(tǒng)，從許多不同的來源自動采集威脅數(shù)據(jù)，然后將該數(shù)據(jù)相互關(guān)聯(lián)，將其豐富，并將其無縫與基礎(chǔ)安全設(shè)施聯(lián)動。

通過威脅情報平臺，企業(yè)可以匯總和合理化威脅數(shù)據(jù)自動篩選出攻陷指標(biāo)(IOC)作為可機讀威脅情報(MRTI)，并且使用現(xiàn)存的日志對比匹配以便輕松發(fā)現(xiàn)不常見的趨勢或線索，并對其有效執(zhí)行操作。通過將團隊、流程和工具結(jié)合在一起，威脅情報平臺為安全團隊提供了對于威脅來自哪里前所未有的視野，并可以從頭到尾跟蹤整個事件，通過報告，可指導(dǎo)安全響應(yīng)并進行阻斷。節(jié)省了追蹤傳統(tǒng)SIEM產(chǎn)生的誤報所花的大量時間。

在威脅情報平臺聚合的威脅情報和SIEM可讓您對威脅進行有效的控制、驗證、度量威脅情報的價值，并在SIEM中成熟地使用它來進行警報和阻斷。通過威脅情報平臺，可以確信您的數(shù)據(jù)是與威脅相關(guān)的并已經(jīng)進行優(yōu)先性排序的，以便您在SIEM中更正確地處置。

4. SIEM+威脅情報平臺：如何充分利用您的威脅情報?

• 如果正確實施的話，威脅情報可以增強檢測和響應(yīng)能力，節(jié)省時間，并幫助您做出更好的戰(zhàn)略安全決策。但要充分利用威脅情報，威脅情報平臺提供的一些最佳實踐和工作流程能夠幫助統(tǒng)一人員、流程和技術(shù)。

• 日志，事件和數(shù)據(jù)的進一步分析：基于兩個系統(tǒng)之間的雙向數(shù)據(jù)流，來自威脅情報平臺的攻陷指標(biāo)將自動發(fā)送到SIEM中進行警報，并將來自SIEM的特定事件發(fā)送回威脅情報平臺來進行關(guān)聯(lián)分析、數(shù)據(jù)挖掘和優(yōu)先性排序。在威脅情報平臺通過確定哪些來源或工具被識別出的惡意行為，可在網(wǎng)絡(luò)中進行定位，分析人員可以鎖定惡意行為的所在位置。

• 建立企業(yè)自身威脅知識庫：綜合性威脅情報平臺可以作為企業(yè)的中央威脅信息庫。幫助企業(yè)了解網(wǎng)絡(luò)犯罪分子的工具、流程、受害者和預(yù)期目標(biāo)?？梢暂p松地將來自過去的攻擊者活動的信息與當(dāng)前的信息進行關(guān)聯(lián)，并從過去的攻擊中學(xué)習(xí)，主動阻止攻擊者當(dāng)前和未來可能的攻擊。

• 優(yōu)化企業(yè)安全投資：利用內(nèi)置的工作流程，威脅情報平臺也可以將更智能的做法轉(zhuǎn)移到SIEM及其他入侵檢測安全工具中。

• 根據(jù)企業(yè)網(wǎng)絡(luò)環(huán)境生成和優(yōu)化情報：威脅情報平臺沒有像SIEM那樣關(guān)注一系列事件找出矛盾的地方，而是增加了上下文信息和關(guān)系豐富的指標(biāo)，從而使企業(yè)能夠更好地了解威脅的性質(zhì)、對企業(yè)的風(fēng)險，更有效地做出全面的反應(yīng)。幫助企業(yè)從戰(zhàn)略上挫敗攻擊者，而不是玩打地鼠的游戲。

• 形成主動防御：威脅情報平臺允許安全響應(yīng)團隊跨過自己的網(wǎng)絡(luò)尋找線索和聯(lián)系，這可以顯示攻擊企業(yè)的威脅與可能存在的威脅之間的關(guān)系，并發(fā)現(xiàn)新的相關(guān)的情報。使用這些信息，幫助安全團隊變被動防御轉(zhuǎn)為主動防御。

[[188626]]

一個高效的威脅情報平臺(Threat Intelligence Platform,TIP)致力于精準(zhǔn)發(fā)現(xiàn)內(nèi)部失陷主機，幫助安全團隊快速并準(zhǔn)確定位威脅所在，提供威脅相關(guān)的豐富的上下文信息以供分析和響應(yīng)。比如微步在線是基于龐大的威脅分析云，經(jīng)驗豐富而專注的分析師團隊，深度學(xué)習(xí)技術(shù)積累，國內(nèi)外領(lǐng)先的網(wǎng)絡(luò)基礎(chǔ)數(shù)據(jù)和威脅情報社區(qū)，幫助客戶實現(xiàn)以下檢測目標(biāo)：

(1 ) 以結(jié)果驅(qū)動的數(shù)據(jù)收集體系。

威脅情報中心是以實際的檢測和分析能力輸出作為驅(qū)動，與SIEM最大的差別在于不是數(shù)據(jù)的吸塵器，收集過多的數(shù)據(jù)只會產(chǎn)生更大的噪聲，并對影響性能。僅收集必要的多源數(shù)據(jù)，極大降低了投入和運維成本，縮短建設(shè)周期，可快速見效，有助于幫助管理層逐步樹立對大數(shù)據(jù)安全建設(shè)的信息。這也是國內(nèi)知名威脅情報公司定位于聚焦威脅，情報驅(qū)動的初衷。

( 2) 能夠快速準(zhǔn)確的檢測威脅，發(fā)現(xiàn)被控主機。

要基于海量數(shù)據(jù)和強大分析師團隊提取遍布全球的惡意域名、IP等攻擊基礎(chǔ)設(shè)施在網(wǎng)絡(luò)流量中準(zhǔn)確發(fā)現(xiàn)失陷主機與被控端的連接。此外應(yīng)用深度學(xué)習(xí)方法的DGA算法，發(fā)現(xiàn)對惡意動態(tài)生成域名的訪問。TIP還在通過在主機端指定目錄和進程中進行惡意軟件和木馬的發(fā)現(xiàn)，進一步幫助定位失陷主機。

(3 ) 結(jié)合威脅情報數(shù)據(jù)和海量基礎(chǔ)數(shù)據(jù)提升客戶對威脅事件的分析能力。

有效的將企業(yè)安全分析所需的海量網(wǎng)絡(luò)基礎(chǔ)數(shù)據(jù)、黑客組織畫像等基礎(chǔ)能力植入本地TIP平臺，幫助客戶形成一整套用于威脅分析的能力體系。

( 4) 在實際應(yīng)用當(dāng)中，一個高效的威脅情報中心還應(yīng)具備的實戰(zhàn)應(yīng)用特性，如微步在線TIP：

• 基于出站流量檢測，實現(xiàn)更全面的失陷主機發(fā)現(xiàn)。
• 具備主機Webshell和流行黑客工具檢測功能。
• 具備主機惡意文件云端沙箱與多引擎分析，這是對未知威脅的有效檢測機制。
• 可實現(xiàn)內(nèi)部溯源分析：最大范圍地發(fā)現(xiàn)內(nèi)部被攻擊的節(jié)點，幫助企業(yè)更快響應(yīng)和處理。
• 可對安全事件進行關(guān)聯(lián)分析。
• 能夠與企業(yè)安全現(xiàn)有方案有效結(jié)合。
• 具備企業(yè)整體安全狀態(tài)可視化能力滿足企業(yè)態(tài)勢感知需求。
• 部署靈活簡單：可安裝在虛擬機或者硬件設(shè)備上，對機器配置要求低，部署簡單且維護成本低。

5. 結(jié)論：SIEM是非常重要的安全系統(tǒng)，但是它需要幫助才能發(fā)揮最大的潛能。

很簡單：在配備威脅情報平臺的情況下， SIEM才能發(fā)揮最大效能。威脅情報平臺是分析人員理想的工作地點，通過將數(shù)據(jù)合并在一起，能夠更全面地了解威脅。威脅情報平臺幫助分析人員從所有來源獲取數(shù)據(jù)，融合內(nèi)部和外部數(shù)據(jù)，優(yōu)化數(shù)據(jù)以進行更快分析。

• 通過將SIEM與威脅情報平臺相結(jié)合，企業(yè)可以將所有人、過程和技術(shù)統(tǒng)一在智能驅(qū)動的防御背后，獲得強大的效果：
• 識別重要威脅：匯集企業(yè)內(nèi)部日志，并將其與威脅情報相結(jié)合，以快速識別哪些反饋最適合企業(yè)環(huán)境。
• 更好地了解威脅的本質(zhì)：超越SIEM的能力，為警報和事件添加情景和關(guān)聯(lián)豐富的上下文，幫助企業(yè)更好地了解風(fēng)險，做出更有針對性的反映。
• 豐富企業(yè)內(nèi)部能力：通過共享威脅數(shù)據(jù)，并使用可靠的情報來源豐富企業(yè)能力。
• 數(shù)據(jù)共享和存儲：將平臺用作歷史威脅數(shù)據(jù)的知識庫，幫助應(yīng)對重新出現(xiàn)或持續(xù)存在的威脅。
• 優(yōu)化工作流程和編排：使用平臺工作流程，通過與其他安全基礎(chǔ)架構(gòu)的集成來驅(qū)動行動，將自身的事件數(shù)據(jù)轉(zhuǎn)化為內(nèi)部威脅情報(這是最有價值的情報)。并且從一個中心平臺來消除碎片化，管理企業(yè)安全基礎(chǔ)架構(gòu)。

參考文獻：SIEM + Threat Intelligence: Quickly Identify the Threats that Matter to You