威脅情報

介紹對 SOC 檢測能力有影響的 TI 基本組件。

本頁絕不是 TI 的 Codex，而是為您介紹交付 TI 的基本組件，這些組件對 SOC 的檢測能力有影響。英國內(nèi)政部制作了一份有用的指南，更詳細地探討了 TI 的復(fù)雜性。

威脅情報 (TI) 的作用

威脅情報是指對攻擊者活動的了解。這可以是關(guān)于威脅行為者動機的簡單敘述，也可以是對攻擊者策略、技術(shù)和程序的深入技術(shù)描述。

威脅情報的價值取決于您的檢測方法：

• 如果您使用商業(yè)工具來檢測攻擊，則威脅情報通常由供應(yīng)商進行，您可能不需要自己的 TI 功能。
• 如果您要實現(xiàn)自己的用例和警報，TI 是嘗試保持領(lǐng)先地位或至少與攻擊者保持同等水平的關(guān)鍵部分。

TI 還提供了在入門時有用的寶貴見解。

情報共享

無論采用哪種方法，及時了解最新的威脅形勢都至關(guān)重要，這就是情報共享發(fā)揮作用的地方。

NCSC 運營一項名為網(wǎng)絡(luò)安全信息共享合作伙伴關(guān)系 (CISP) 的服務(wù)，這是一項行業(yè)和政府聯(lián)合倡議，旨在允許英國組織在安全和保密的環(huán)境中共享網(wǎng)絡(luò)威脅信息。

CISP 適合在組織內(nèi)負有網(wǎng)絡(luò)安全義務(wù)的專業(yè)人士。這些人必須為英國注冊組織或英國政府工作。

欲了解更多信息，請參閱我們的CISP 頁面。 

TI 格式

在思考 TI 時，痛苦金字塔很有價值。它指的是如果您可以檢測到攻擊者的部分攻擊，攻擊者將必須做的額外工作（痛苦）量，突出了 TI 在 SOC 中的重要性。

痛苦金字塔-TI 有多種格式，但您可以將其分為三大類。其實際使用范圍取決于 SOC 中可用的工具和資源。在理想情況下，SOC 將利用所有類型的 TI。

妥協(xié)指標 (IoC) - 在最低級別，開源 TI 源將提供妥協(xié)指標。這將包括已知的不良 IP 地址、域、哈希值和字符串等內(nèi)容，所有這些都可以與您的日志進行比較。如果匹配則表明系統(tǒng)正在與已知的不良 IoC 進行交互。有許多 IoC feed 可以使用并引入到監(jiān)控解決方案中。 

戰(zhàn)術(shù)技術(shù)和程序 (TTP)  - 比 IoC 稍微抽象一些，定性 TI 通常指的是攻擊者 TTP，這對于創(chuàng)建行為分析非常有價值。例如，與您的組織相關(guān)的某個威脅參與者一直在利用幾個特定的系統(tǒng)工具來執(zhí)行權(quán)限升級。此類信息如果使用正確，可以轉(zhuǎn)化為檢測用例。

情境 - 更抽象的信息可能有助于指導(dǎo)研發(fā)或完善 SOC 策略。這通常包括有關(guān)趨勢和地緣政治局勢的信息。

威脅情報平臺 (TIP)

小心，這里有龍 和 萬金油！TIP 是 SOC 存儲、關(guān)聯(lián)和管理 TI 的地方。它們配置為從 TI 提供商獲取 TI 源（通常是 IoC），并鏈接到您的 SIEM 工具以實現(xiàn) IOC 的自動檢測。

市場上有多種 TIP，因此找到適合您的工具非常重要。如果無需太多麻煩就需要 TI，那么商業(yè)工具可能非常寶貴，但可能缺乏開源工具帶來的一些自由。（MISP是使用最廣泛的平臺之一，值得考慮） 

獲得TIP后，需要找到可為SOC提供最大價值的 TI 源。開源源為您的組織提供一系列情報 (OSINT)。也有一些商業(yè)源可以提供稍微更定制的服務(wù)。

實施 TIP 的關(guān)鍵部分是：

• 確保不會陷入低可信度、過時的 IoC 中 - 請記住，攻擊者很容易更改 IP 地址。請注意，某些威脅源可能不包含“最佳使用日期”，隨著時間的推移，這可能會導(dǎo)致 SOC 無意中將合法地址標記為惡意地址。
• 不要低估分類定性情報（白皮書、報告、新聞文章）的價值 - 確保分析師有時間閱讀和消化英特爾報告將有助于更好地理解和更好的用例。
• 根據(jù)價值對情報進行評分 - 如果它不斷產(chǎn)生誤報，那么也許可以檢查正在使用的來源。
• 確保TI 來源能夠提供價值。這是一個競爭非常激烈的市場，因此沒有必要把所有雞蛋放在一個籃子里。