本节书摘来自华章计算机《防患未然:实施情报先导的信息安全方法与实践》一书中的第3章,第3.4节,作者:[美] 艾伦利斯卡(Allan Liska) 更多章节内容可以访问云栖社区“华章计算机”公众号查看。
3.4 从不同的角度接近网络攻击
攻击者往往采用比目标组织更成熟的方法运作,这意味着,这些组织中的安全团队必须改变安全性工作的方法,才能取得效果。应该改变现行的“打地鼠”式的安全性模式,这种模式中安全团队在每个威胁“跳出”(这可不是笑话)的时候响应,没有任何关于威胁真正特性的背景信息,无法有效地对抗老练的敌方。通过运用第2章中概述的情报生命期,安全团队变得更高效,可以更有效地拦截给组织带来最大危险的威胁。
当今大部分组织的结构在攻击链的第6步和第7步捕捉攻击者—也就是C&C或者渗漏步骤。不幸的是,2013年和2014年的数据大泄漏证明,这时已经太迟了。
对于更有效的安全团队,他们必须采用情报先导的网络安全模型,这种模型常常被称作情报制导计算机网络防御(IGCND)。使用来自外部来源和内部收集的情报,安全团队可以在攻击链的早期检测到更多的攻击,从而改进组织资产的保护效能。
情报如何帮助安全团队提高效能,在攻击链的较早阶段阻止攻击呢?通过在合适的时间向合适的人提供相关信息,使他们能够及时采取行动。正如布莱奇利庄园(参见第2章)中的专业人士构建新的收集系统,永久地改变了情报收集的方式一样,网络安全团队也构建了情报先导的安全项目。
为了开始向情报先导的安全项目转移,安全团队必须开始评估已有的情报,根据图3-2中的情报金字塔进行分类。情报应该分为战略、战术和运营情报,并交付给需要特定类型情报的团队。
战略情报是组织中最高层人员使用的情报。它用于帮助高管人员理解组织威胁的整体情况,以及对抗这些威胁所需要的预算。战略情报的重点应该是回答重大问题:谁,为什么和哪里。谁是针对组织的敌方?为什么敌方要以本组织为目标?他们从哪里发动攻击?根据攻击的特性和敌方的技术能力,这些问题可能很容易回答,也可能几乎没有答案。
在某种程度上,所谓“黑客主义”风格攻击的增加使安全团队的工作变得更容易了。通过监控Twitter、Pastebin和其他著名资源,发现在任何特定时间DDoS或者其他黑客活动所针对的组织很容易。不管这些活动的有效性如何,维护关于针对组织自身的不同活动的信息都是好的做法。这不需要什么新奇的手段,一个Excel电子表格就足够了,只要需要的人能够访问它即可。跟踪这类活动可发现战略情报收集的入口点,但是这仅仅是整个工作的一小部分。
不寻求“得分”而是要向Twitter追随者证明自己的攻击者跟踪起来就要难得多。一般来说,组织需要第三方的协助才能找出活动背后的人以及他们的动机。毕竟,如果一个群体针对某个组织,他们很可能已经针对过另一个组织。所以,另一个组织已经熟悉了这个对手和他们的动机。动机是攻击的一个重要因素,这不是心理学意义上的“我黑掉网络是因为体操课上我被指定最后一个上场”,而是为了确定敌方所追寻的是哪些信息。有些攻击者感兴趣的是信用卡或者个人可辨识信息(PII)数据,另一些攻击者则感兴趣于设计蓝图和公式,还有些攻击者感兴趣于信息或者报告,某些攻击者则感兴趣于利用较小的组织获得较大公司的访问权。攻击活动背后的动机多种多样,了解敌方寻求的是哪类信息,有助于引导安全团队在相应的方面分配资源。
为了有效地估计组织中的有价值数据,安全团队必须参与反情报工作。反情报的关键方面之一是开发组织的战略规划。了解存在于公司内部可能成为潜在受害者的高价值项目对于这一级别的领导者来说非常重要。通过维护战略目标信息的知识库,安全团队可以知道组织转换全球策略时,对以组织为目标的活动及群体可能有什么影响。
如果说战略情报是供公司领导使用的,那么战术情报就是供安全团队领导人使用的。战术情报提供关于敌方战术、技术和规程(TTP)的信息,回答“什么”和“何时”的问题。由于缺乏更好的术语,我们将敌方的TTP称作“特征”。TTP可以隔离攻击行为的独特模式,有助于辨别攻击背后的敌方。例如,敌方可能只在莫斯科时间周一到周五上午9点到下午5点发起攻击活动。前面已经提到,大部分敌方都有几个最喜爱的工具集,会重复使用。与其他攻击途径相比,敌方可能最喜欢某一种途径;有些攻击者最喜欢鱼叉式钓鱼活动,而其他人则首选水坑攻击。某位对手可能喜好某些或者某类利用攻击。敌方还会使用大量不同的属性,这些属性不仅成为支撑点,还有助于他们辨识自己的目标,特别是在敌方重新访问目标的时候。
网络安全领域中的运营情报针对的当然是运营人员。运营情报通常由入侵指标(IOC)组成,防火墙、入侵检测系统(IDS)、邮件服务器和代理服务器管理员可以用这些指标更好地保护组织网络。IOC是IP地址、域名、文件散列、注册表项等表明攻击的痕迹,它们对事故响应(IR)团队也很有用,IR可以利用IOC更快地响应停机或者可疑的入侵活动。
关于存活时间的说明
为了使情报生效,必须将其传播给组织中合适的人员。将一大堆IP地址交给首席信息安全官(CISO),不如将这些IP地址交给防火墙管理员。防火墙管理员可以更及时地使用这些信息。
除了确保信息传递给合适的消费者以外,及时传递情报也很重要。如果可能避免数据泄漏的情报在攻击发生后3天才提交给安全团队,那么它就没有任何作用了。
一般来说,情报金字塔中越高层的情报的过期时间越长,换言之,它有更长的存活时间。这一指标很有意义,敌方团体有一定的静态性—成员可能来来去去,但是群体保持不变,定期发动攻击。这并不意味着敌方团体不会解散(或者被捕),而是具有较长期的趋势。同样,敌方往往不会改变其TTP;他们倾向于在团体的生命期内使用相同的工具和方法。TTP偶然会改变,随着敌方的成熟,他们可能需要新的功能,或者最喜欢的某种工具已经暴露给安全供应商(说来也巧,通常是在靠近重大安全会议的时间),因而不再使用。但是这些事件在敌方的生命期内不会经常发生。
运营情报的TTL通常很短。现在涉及恶意活动的某个IP地址可能在几个小时之后就不再遭到入侵。用于发动鱼叉式钓鱼攻击的域名在几天之后就不再使用,作为水坑攻击载荷的文件散列可能在几周之内就不再使用。
在交付情报时牢记TTL是很重要的,如图3-3所示。运营情报必须尽可能快地筛选和交付。这也意味着,运营情报比其他类型的情报更容易造成“误报”,但是速度是至关重要的。战略和战术情报的寿命较长,所以这些类型的FINTEL必须更好地研究,在高机密条件下交付。这并不是说战略和战术情报的速度和效率不重要,恰恰相反,它们同样重要。但是在这些类型的情报中,准确性和详细的分析比速度更重要。
牢记组织中的哪些群体需要不同类型的情报也很重要。每个组织都是不同的,它们以不同的方式管理安全性,所以有情报需求的团队也各不相同。在发展情报团队时,保持正确的信息流向将会改善向需要的人提交FINTEL的过程。
需要注意的是,组织最高层领导人往往认为自己需要运营或者战术情报,提供这些类型的情报不仅会使他们陷入困惑,如果防御运营人员必须准备向战略领导人提交的报告以运营情报为重点,也会降低这些情报提交给运营人员的速度。相反,运营指标和战术情报的组合应该作为重大事件处置后报告(AAR)的一部分交给战略管理人员,以便包含在总体战略情报规划中。