该方法的核心是从浩如烟海的日志数据中提取威胁信息。 此时,威胁信息数量依然巨大,需要从威胁信息中进一步提取具有实用价值的IOC信息并在安全社区内进一步共享。 必须根据信息本身的质量过滤IOC信息,包括相关性、及时性、准确性和指导响应上下文。 上下文问题除了一般考虑的风险级别、可靠性等信息之外,还包括相关攻击群或家族的攻击目的、危害、技战术等相关内容、相关远程操作终端是否活跃、是否被安全厂商侵占等
IOC信息通常通过信息共享分析中心或组织(informationsharingandanalysiscenterororganization,ISAC/ISAO ) )传播。 在这些信息流中寻找可操作、实用的IOC是一个重大挑战,只有实用的IOC才能为网络防御提供实质性的好处,但实用的IOC也通常在没有使用或丢失直到没有价值时使用,在这种情况下,网络
图1 CTI“无悔”策略应用流程
通过大量的研究和尝试,由约翰斯霍普金斯大学申请的应用物理实验室(Applied Physics Laboratory,APL )成功部署了威胁源,可以在几分钟内收集、提取、识别可操作的IOC,并共享给ISAC和ISAO等共享组织。 图1显示了该过程的可视化图像,该方法被称为基于“无悔”策略的方法。 本文概述了这种方法和过程,以帮助其他组织利用这些功能来满足社区的网络防御需求。
“无悔”战略方法
在网络防御中采用“无悔”战略意味着什么? 简而言之,这意味着使用“利润”和“遗憾”评估算法来确定是否需要自动化操作。 因此,适当的组织会将问题重点放在何时采取行动以自动执行动作,而不是是否自动执行动作。 对于基于网络威胁信息的自动应答,“无悔”和“后悔”的定义如下。
“无悔”(对网络威胁信息进行自动操作,无论信息评估是否正确,都会以非常低的概率扰乱正常运营。
“后悔”(自动操作信息影响正常运营的概率很高。
有关如何使用“无悔”策略的详细信息,请从APL GitHub页面免费获得。33559 github.com/jhu APL/low-regret-methodology。
应用“无悔”策略对威胁信息进行分类
如本文所述,将“无悔”策略应用于CTI分类,围绕ISAC/ISAO概念展开。 恶意网络活动(如勒索软件)通常面向工业部门内的特定行业或社区。 本节详细介绍共享组织(如ISAC/ISAO )如何使用开发自动化为社区提供快速识别和共享“无悔”策略IOC的方法。
提取可疑指标
信息共享组织来自多个信息源的大量IOC (其他威胁源、系统警报、成员提交等)。 这个过程的第一步是从每天收到的大量信息中提取可疑的IOC。 这不仅需要使用正则表达式(regular expression,REGEX )等指标来匹配IOC,而且任何信息共享组织都必须基于潜在恶意指标所在的上下文识别过程来匹配IOC。 可以在组织中使用恶意签名、标签或其他工具共享它,以识别与恶意网络活动相关的指纹。 如果没有指纹识别步骤,则需要分析的数据太庞大,无法为持续受到网络攻击的网络主体提供必要的可操作IOC信息。
将“无悔”策略应用于此提取的核心原则是“潜在的恶意指标”,许多信息共享机制无法在可操作的时间段提供数据,因为他们想在共享数据之前充分证明IOC是恶意的。 然而,做出这个决定的时间通常比网络攻击者积极使用IOC的时间要长。 因此,必须自动化识别潜在恶意指标的过程,并使用可重复的编码过程来识别潜在恶意指标。 这并不意味着要忽略所有其他数据,因为这是ISAC/ISAO内部附加信息处理能力的重要功能。
删除已知的误报
签名并不完美,源信息始终存在潜在的不匹配。 一些威胁针对流行和业务关键型网站,这意味着一些与恶意行为相关的IOC实际上非常“遗憾”。 初始提取是完全自动的,因此必须自动进行,以过滤潜在的恶意IOC。 如果这些IOC自动阻止,很可能会影响操作。 这些被认为是“非常遗憾”,必须用其他方法来评价。 在这方面,以社区为中心的共享组织(如ISAC/ISAO )的力量可以大大改善这一进程。 但是,一些与互联网服务提供商相关的内容(如互联网服务提供商的IP地址)可以很容易地维护重要的网络服务,即使对社区的影响在世界范围内鲜为人知。
中文
电话咨询
微信咨询
公众号
