威脅情報(bào)

介紹對(duì) SOC 檢測(cè)能力有影響的 TI 基本組件。

本頁(yè)絕不是 TI 的 Codex，而是為您介紹交付 TI 的基本組件，這些組件對(duì) SOC 的檢測(cè)能力有影響。英國(guó)內(nèi)政部制作了一份有用的指南，更詳細(xì)地探討了 TI 的復(fù)雜性。

威脅情報(bào) (TI) 的作用

威脅情報(bào)是指對(duì)攻擊者活動(dòng)的了解。這可以是關(guān)于威脅行為者動(dòng)機(jī)的簡(jiǎn)單敘述，也可以是對(duì)攻擊者策略、技術(shù)和程序的深入技術(shù)描述。

威脅情報(bào)的價(jià)值取決于您的檢測(cè)方法：

• 如果您使用商業(yè)工具來(lái)檢測(cè)攻擊，則威脅情報(bào)通常由供應(yīng)商進(jìn)行，您可能不需要自己的 TI 功能。
• 如果您要實(shí)現(xiàn)自己的用例和警報(bào)，TI 是嘗試保持領(lǐng)先地位或至少與攻擊者保持同等水平的關(guān)鍵部分。

TI 還提供了在入門(mén)時(shí)有用的寶貴見(jiàn)解。

情報(bào)共享

無(wú)論采用哪種方法，及時(shí)了解最新的威脅形勢(shì)都至關(guān)重要，這就是情報(bào)共享發(fā)揮作用的地方。

NCSC 運(yùn)營(yíng)一項(xiàng)名為網(wǎng)絡(luò)安全信息共享合作伙伴關(guān)系 (CISP) 的服務(wù)，這是一項(xiàng)行業(yè)和政府聯(lián)合倡議，旨在允許英國(guó)組織在安全和保密的環(huán)境中共享網(wǎng)絡(luò)威脅信息。

CISP 適合在組織內(nèi)負(fù)有網(wǎng)絡(luò)安全義務(wù)的專(zhuān)業(yè)人士。這些人必須為英國(guó)注冊(cè)組織或英國(guó)政府工作。

欲了解更多信息，請(qǐng)參閱我們的CISP 頁(yè)面。 

TI 格式

在思考 TI 時(shí)，痛苦金字塔很有價(jià)值。它指的是如果您可以檢測(cè)到攻擊者的部分攻擊，攻擊者將必須做的額外工作（痛苦）量，突出了 TI 在 SOC 中的重要性。

痛苦金字塔-TI 有多種格式，但您可以將其分為三大類(lèi)。其實(shí)際使用范圍取決于 SOC 中可用的工具和資源。在理想情況下，SOC 將利用所有類(lèi)型的 TI。

妥協(xié)指標(biāo) (IoC) - 在最低級(jí)別，開(kāi)源 TI 源將提供妥協(xié)指標(biāo)。這將包括已知的不良 IP 地址、域、哈希值和字符串等內(nèi)容，所有這些都可以與您的日志進(jìn)行比較。如果匹配則表明系統(tǒng)正在與已知的不良 IoC 進(jìn)行交互。有許多 IoC feed 可以使用并引入到監(jiān)控解決方案中。 

戰(zhàn)術(shù)技術(shù)和程序 (TTP)  - 比 IoC 稍微抽象一些，定性 TI 通常指的是攻擊者 TTP，這對(duì)于創(chuàng)建行為分析非常有價(jià)值。例如，與您的組織相關(guān)的某個(gè)威脅參與者一直在利用幾個(gè)特定的系統(tǒng)工具來(lái)執(zhí)行權(quán)限升級(jí)。此類(lèi)信息如果使用正確，可以轉(zhuǎn)化為檢測(cè)用例。

情境 - 更抽象的信息可能有助于指導(dǎo)研發(fā)或完善 SOC 策略。這通常包括有關(guān)趨勢(shì)和地緣政治局勢(shì)的信息。

威脅情報(bào)平臺(tái) (TIP)

小心，這里有龍 和 萬(wàn)金油！TIP 是 SOC 存儲(chǔ)、關(guān)聯(lián)和管理 TI 的地方。它們配置為從 TI 提供商獲取 TI 源（通常是 IoC），并鏈接到您的 SIEM 工具以實(shí)現(xiàn) IOC 的自動(dòng)檢測(cè)。

市場(chǎng)上有多種 TIP，因此找到適合您的工具非常重要。如果無(wú)需太多麻煩就需要 TI，那么商業(yè)工具可能非常寶貴，但可能缺乏開(kāi)源工具帶來(lái)的一些自由。（MISP是使用最廣泛的平臺(tái)之一，值得考慮） 

獲得TIP后，需要找到可為SOC提供最大價(jià)值的 TI 源。開(kāi)源源為您的組織提供一系列情報(bào) (OSINT)。也有一些商業(yè)源可以提供稍微更定制的服務(wù)。

實(shí)施 TIP 的關(guān)鍵部分是：

• 確保不會(huì)陷入低可信度、過(guò)時(shí)的 IoC 中 - 請(qǐng)記住，攻擊者很容易更改 IP 地址。請(qǐng)注意，某些威脅源可能不包含“最佳使用日期”，隨著時(shí)間的推移，這可能會(huì)導(dǎo)致 SOC 無(wú)意中將合法地址標(biāo)記為惡意地址。
• 不要低估分類(lèi)定性情報(bào)（白皮書(shū)、報(bào)告、新聞文章）的價(jià)值 - 確保分析師有時(shí)間閱讀和消化英特爾報(bào)告將有助于更好地理解和更好的用例。
• 根據(jù)價(jià)值對(duì)情報(bào)進(jìn)行評(píng)分 - 如果它不斷產(chǎn)生誤報(bào)，那么也許可以檢查正在使用的來(lái)源。
• 確保TI 來(lái)源能夠提供價(jià)值。這是一個(gè)競(jìng)爭(zhēng)非常激烈的市場(chǎng)，因此沒(méi)有必要把所有雞蛋放在一個(gè)籃子里。