浅谈高级威胁情报对于安全建设的意义与思考(上)—攻击者情报那些不得不说的事儿
author:elknot@360corpsec
感谢各位领导们在我工作中的指点和建议
Never Interrupt Your Enemies When They Making Mistakes —— 题记
麻麻说标题长了才会有人看
0x00 前言
之前说过企业安全建设系列的文章不会再更新了,主要是最近有点累了,但是我发现距离上次更新威胁情报相关的文章已经有一段时间了,所以今天趁着晚上回家被某些事儿烦着,写篇文章静静心。
我们之前讨论过很多有关威胁情报的东西,由于本人不在一个威胁情报业务线供职,所以这一块实际上不像企业安全那边有众所周知的原因。这两天忙着给客户写年度溯源报告,所以在撰写溯源报告的过程中,本人也发现一些新得和收获,下面就来和大家分享一下
0x01 攻击者情报对于甲方团队的定位
毫无疑问,很多甲方团队目前还没有相关的意识去大规模部署威胁情报数据,现在玩转威胁情报数据的除了绝大多数乙方安全公司之外,甲方公司对威胁情报感兴趣的根据本人的了解目前只有银行和证券类相关的企业考虑大规模部署威胁情报,本人在11月底有幸参加了微步在线举办的首届威胁情报大会,根据会议内容来看,目前大规模部署威胁情报的企业类型基本上都属于财大气粗型,而且业务跟money相关,无论是微软还是类似于华泰证券(这里插一句,华泰的情报思路走的确实很靠前,这点真的值得笔者学习),这些企业都有如下特征:
- 业务以直接或间接以money为主,而非流量
- 行业本身有着诸多的针对性较强的攻击者(羊毛党、流量劫持等)
- 安全部门内部很强势
- CISO/安全总监有着极强的数据驱动意识
- 内部监控体系和态势感知能力达到一定程度
由于威胁情报分析对于企业应用而言不仅仅是直接调用几个API或者是买点数据就能解决问题,更需要的是面向情报溯源和分析能力的安全研究员和分析师,这些人的能力包括但不限于:
- 日志分析能力
- 数据洞察力
- 安全消息源(路子越野越好)
- 样本浅层次分析能力
- 安全运维能力
但是这种人,很遗憾,真的是少之又少。从数字上可以说明:我统计了在9-11月之前给我投递简历的同学,共计收到相关分析岗位的简历将近330封,其中有240封(占比其实不低了)都是做渗透测试出身的,剩下的简历里面有将近60封是做web安全出身的,除开乱投简历的,剩下的只有8封简历具备这种能力(但是电话面试过感觉能力实际上是不满足的),所以对于情报分析这块,实际上人员很欠缺。
在这里插一段话,我个人认为甲方团队中确实需要一些情报分析师和溯源分析师,因为他们可以很快的给出相对可用的结果,这里的结果包括但不限于攻击者的目的、针对行业、是否是团伙作案、真人、技战术。相反,安全团队建设不应该以攻防能力和对抗能力为核心建立,而是应该以监控合规、安全运营、应急响应、实体分析(这里的实体指的就是针对到某一个人)为基线,穿插红蓝对抗、情报数据、态势感知能力作为辅助,保证整个系统的安全运行。(在这里不想引战,如有异议可以私聊)
扯了这么多似乎偏题了,笔者之前说过威胁情报实际可用的产出目前只有事件型情报和攻击者情报,事件型情报市面上具备该种能力的产品应该有很多了,我这里就不一一赘述了。攻击者情报为什么我要拿出来说呢,因为威胁是人发起的,掌握了人的motivation就能很好的去判断我们是否在under attack。
感谢目前我正在服务的某位跟我同姓的领导在某次项目进度交流会上点醒了我,针对攻击者的思考的确不应该以攻击者的资产作为唯一的衡量标准,而是要综合多方面考虑,才能对攻击者定性———这其实是一件很痛苦的事儿。对于甲方而言,我们如何去了解攻击者也是一个比较棘手的问题,甲方团队的真实诉求很简单——找到攻击我们的人。用图说话就是:
首先最浅层次的影响是攻击者对业务系统造成的影响,严格意义上来说这里并不属于攻击者情报的组成部分,因为攻击者产生的影响往往局限于本地日志和流量数据,依据本地行为判断很难确定攻击者的真实目的,但是我们可以通过本地的日志和流量分析总结出攻击者的攻击路线和攻击Kill-Chain模型,这样有助于对于第二层攻击者技战术进行分析。
稍微深一点的层次叫做攻击者技战术,这一部分依赖的前端数据仍然是本地和流量的分析,但是这里会增加一部分威胁情报,威胁情报主要数据为工具的指纹、浏览器指纹等偏向于攻击者基础设施的数据。这部分数据主要的目的是为了摸清攻击者的实力、能力、以及我们的对抗成本(甲方安全团队在攻防对抗时首先要考虑的不是如何打赢攻击者,而是要考虑对抗的成本,如果真的跟十多年抗战争一样赢得代价会很惨重,如有必要可以聘请专业的安全服务团队来帮助我们对抗攻击者),这部分情报如果依赖OTX数据和一些简单的开源数据,很难完成或者完整覆盖攻击者的全生命周期,所以在这里更广的数据来源会增加我们对于攻击者的技战术认知,同时也会增加情报的置信度。
再深一点的层次叫做攻击者的目的,也就是说我们要摸清楚攻击者需要对我们造成的影响和他需要达成的目的,相对于攻击者而言,防守方一定要有结果导向意识,一定要了解攻击者所要达成的目的。如果你是一个安全管理员,你发现你们公司的OA系统(当然OA系统不应该对公网开放)总是遭受来自于互联网的DDoS攻击,同时通过网站监测服务监测到了相关的钓鱼网站,那么很有可能攻击者的目的是为了钓鱼域账号,如果通过安全监测发现攻击者正在打你域控的注意,这就说明攻击者准备干票大的了,你必须对这些攻击行为发起反击。在这里,威胁情报的作用主要是对攻击者使用的某些带标记的资产和某些样本进行全网威胁情报的关联,同时将攻击者的目标通过可视化的形式展现出来,攻击者的目的就很明显了,但是这里的情报很有可能是要花钱的。
最深的一层叫做社会政治影响,所谓社会政治影响其实就是指攻击者的社会身份和我们的社会身份,两种社会身份是协同身份还是对立身份,这些将直接影响我们对于攻击者的反应行动和对抗。再举个例子,通过使用攻击者情报溯源获得该攻击者是合规白帽子,通过对日志和流量分析该攻击者行为的结果也是点到为止,那么这个攻击者和我们的社会政治关系则为帮助关系,人家只是想刷个SRC换点粮票,并不会干什么;相反,如果攻击者确确实实影响到了业务系统的正常运转,而且攻击者情报显示该攻击者在网上兜售钓鱼网站,那么该攻击者很有可能是真的要搞瘫痪你的业务系统。
说了这么多,其实甲方对于情报诉求简单来说就是一句话:就是想知道谁出于什么样的目的利用什么手段攻击我们。
0x02 攻击者情报对于乙方的定位
由于本人身在一个乙方公司(但是实际上我的思维是偏向于甲方的)所以如果能够通过这篇文章做了个什么威胁情报的产品出来,请按时支付版权费用(以上内容均为开玩笑)
乙方是去帮甲方解决实际问题的,所以乙方对于威胁情报而言只有两种角色,用数据的和造数据的。
对于造数据的而言,获取足够多的数据总没错,但是数据多了,置信度、存储等问题就会随之而来,更关键的问题是没有人懂得如何去利用这些数据去解决实际的问题,并且很难自动化的去干某些事情,在社会主义初期,能吃饱就是目的,但是到了现在,吃好才是目的,所以乙方团队中的数据生产者更应该考虑的是自己的威胁情报数据对甲方会产生什么样子的积极效益,让甲方爸爸心甘情愿的掏腰包;而乙方团队中的另一个角色则是去真真正正的去一线利用威胁情报为甲方爸爸解决实际的问题,多为安全服务岗位和驻场人员(比如我这种驻场的)。
那么乙方团队如何去把手头现有的数据去加工成有用的数据呢?这个问题我在这里不便多说,因为众所周知的原因哈,说了估计各位领导得打死我。
但是有一点要说明白,威胁情报产品在乙方公司和团队的定位问题,威胁情报应该是个战略级别的产品而非是战术级别的产品,如果一个产品涉及到战略级的问题,时间就要放长远,十年二十年都是有可能的,而战术级别的产品应该是去解决一个实际的问题。并且个人认为威胁情报一定要是一个独立的一级事业部去做,因为只有把整个乙方公司的所有数据聚合起来挖掘,才能展现出更多的利用场景和利用方向,闭锁数据实际上只会拖累发展,造成恶性循环。
p.s. 甲方是不是就不需要去做威胁情报的生产了呢?这个问题我想留到以后去具体回答,结论是需要,因为威胁情报数据在于日常积累和维护,目前自己已经设计了一套完整的威胁情报采集的方案,熟悉我专栏的兄弟们应该知道现在写道0xB了,0xB重在基础安全设施的设计思路,属于吃得饱的阶段,而情报属于吃得好阶段,所以时间会相对延后。
0x03 挖掘攻击者的信息
这里就不藏着掖着了,我这里直接用一个数据结构说明吧:
{
"type":"attacker_intelligence",
"data":
{
{
"intel_type":"attacker_it",
"intel_data":
{
"ip_addr":["127.0.0.1", "192.168.1.1"],
"geo_high_acc":"北京市朝阳区酒仙桥路6号院联发科大厦",
"access_type":"Enterprise",
"evil_marks":["Botnet", "DNS_BL", "Miral C2"],
"trust_acc":"0.75"
}
},
{
"intel_type":"attacker_identity",
"intel_data":
{
"industry_aimed":["Finacial", "Industry Control", "Energy"],
"attack_techs":["Port Mapping", "Struts Exploit", "Webshell Upload"],
"success_rate":"0.1",
"type_guess":"Mapper",
"kill-chain":
{
{
"type":"Reconnaissance",
"data":["nmap", "awvs"],
"source":["native_logs"],
"trust_acc":"1.00"
}
{
"type":"Weaponization",
"data":["NSA Weapon", "WannaCry"],
"source":["otx_intel"],
"trust_acc":"0.60"
}
{
"type":"Delivery",
"data":["SPAM EMAIL", "SPAM SMS"],
"source":["native_logs"],
"trust_acc":"1.00"
}
{
"type":"Exploitation",
"data":["CVE-2017-0199", "CVE-2017-8464"],
"source":["native_logs", "otx_intelligence"],
"trust_acc":"0.90"
}
{
"type":"Installation",
"data":["msfvenom", "doublepulsar"],
"source":["commercial_intel"],
"trust_acc":"0.85"
}
{
"type":"C&C",
"data":["127.0.0.1:3306", "192.168.1.100:4444"],
"source":["native_logs"],
"trust_acc":"1.00"
}
{
"type":"Actives On Objects",
"data":["psexec", "smb"]
"source":["commerical_intel"],
"trust_acc":"0.70"
}
}
}
},
}
}话就不多说了,大家都懂为什么。
0x04 总结:
- 情报是个战略级的事情,一定要结合甲乙方公司内部安全建设/产品线规划
- 威胁情报是属于态势感知能力的一种,可以协助安全团队看到更多看不见的东西
- 甲方安全团队对于攻击者威胁情报的诉求:谁为了什么用什么方法搞得我,对我有什么危害
- 乙方安全团队对于攻击者威胁情报的诉求:情报生产者提高攻击者的情报的置信度和可利用程度,情报使用者使用高级攻击者情报帮助客户解决安全问题
- 攻击者情报是一个长期积累的过程,而非是像传统业务线一样做就做不做就砍了
- 攻击者情报瞄准的是攻击者目的、社会政治影响、技战术组合、Kill-Chain模型
- 利用攻击者情报,甲方团队可以更好的通过攻击者的信息来对安全防线查漏补缺
如果有威胁情报相关的想法,欢迎在群里@本人的id或者私聊,本人对于这种交流持欢迎开放的态度。另外我的暗网情报推送服务最近也在测试上线,如果有需求的话也可以私聊联系我。