要挟谍报面对六大困难

  过去十年中,收集要挟谍报(CTI)取得了飞速生长,其目的是经由过程连系计算机科学和谍报学科来匹敌收集要挟。

  由黑客构造实行的收集进击是最常见且丧失最为奋发的收集安全事宜,但防备端的检测和相应却极为愚钝,当代企业检测收集入侵的均匀时候为206天,而均匀减缓和停止时候则为73天。

  为了弥合这一差异,收集安全社区制造了收集要挟谍报(CTI)的观点和要领。要挟谍报的主要目的是竖立相关于收集要挟参与者的学问上风。在战术和运营层面,要挟谍报加快了歹意行动的初期检测,最好是在歹意参与者在收集合立足未稳之前。在计谋层面,要挟谍报为决策者供给了对相干要挟环境的感知和熟悉。现实上,要挟谍报是民用和私营部门的替代品,用来替代传统的谍报共同体(IC)展开防备性谍报事情。

  最初受雇于IC的许多手艺专家已为要挟谍报供给商事情,比方CrowdStrike、FireEye、Talos和Kaspersky。要挟谍报界对收集要挟举行公然和贸易化的谍报剖析,依附其深挚的手艺特长和主题学问,要挟谍报界在应对将来几年的收集安全要挟方面潜力庞大,顶级的要挟谍报效劳商某些情况下能够到达以至凌驾政府谍报机构的才能。

  与看上去有些务虚的“风险治理”差别,收集要挟谍报越发有用,可实操,且能够应对高度动态的环境。许多昔时的杀毒软件供给商已改变了营业方向,成为贸易要挟谍报供给商,供给有关收集要挟参与者的高代价谍报剖析效劳。现在,要挟谍报在一样平常收集安全实践中已入手下手发挥主要作用。

  近日,荷兰政府高等收集要挟谍报剖析师Kris Ossthoek在《国际谍报与反谍报杂志》上撰文指出,虽然要挟谍报是收集安全范畴的主要补充,但它仍处于起步阶段。要挟谍报面对的应战不仅是手艺和战术层面的谍报质量和谍报分享问题,还包括要领论和流程问题。

  Ossthoek以为,虽然本日要挟谍报界已具有雄厚的东西和手艺学问,但最初的立异脚步已裹足不前,缺乏规范化和要领论,产物或效劳缺乏流程,是要挟谍报融入收集安全防备体系的最大应战。

  以下,是Oosthoek在论文中指出的要挟谍报面对的六大困难,归纳综合整顿以下:

  01、CTI缺乏要领论

  Sherman Kent的《剖析学》,Richards Heuer的《谍报剖析心理学》和《构造化剖析手艺》。许多收集安全集会的演讲者都邑说起这些著作和术语来让要挟谍报看上有着严谨的理论基本和科学严谨性。但事实上要挟谍报大多数内容都是竖立在松懈的观点之上,并不具有严厉的剖析才能。现在,大多数要挟谍报剖析都是由警报和传入的原始数据而不是预先确定的假定举行输入驱动的。缺乏要领论致使企业难以剖析天天大批发生的IoC数据点与特定要挟环境的相干性。另一方面,缺乏(基于要领论的)流程会致使要挟谍报剖析瘫痪,尤其是在较小的团队中。只管计算机科学范畴已供给了几种支撑数据预处理的机械进修算法,但将隐性学问转换为算法大概在将来几年仍将是一个还没有处理的应战。处理之道在于引入流程,而不是更多的手艺。

  02、要挟谍报是同享的,但只是口头上的

  珍珠港事宜和911事宜都是IC谍报同享的最好反面教材。由于交通灯协定(TLP)的限定,CTI的同享越发庞杂。TLP运用交通信号灯色彩指导是不是能够跨信托边境(构造、信息同享和剖析中间[ISAC])同享信息。赤色限定只向直接参与者分发,而绿色限定向社区公然。白色示意同享不受限定。然则灰色地区(Amber)则含糊其词:只能在您的构造内同享,而特定束缚能够由源机构指定。另外,TLP仅适用于人与人之间的同享,不适用于基于计算机的要挟数据同享,后者依靠机械与机械同享的正式规范,比方构造化要挟信息表达。然则,大多数要挟谍报数据仍以非构造化体式格局同享。

  ISAC(信息分享与剖析中间)增进了各个行业和企业之间的信息同享。ISAC能够成为免费交流优良CTI的优越泉源。然则,ISAC的胜利每每只能保持最初的阶段,由于分享的志愿取决于ISAC的范围。一旦有其他参与者进入ISAC,同享效力就趋于下落,由于参与者不愿望有免费效劳。如前所述,这不是手艺问题,而是信托问题。

  03、要挟谍报质量一般很差

  要挟谍报数据的品种许多,最常见的情势是IoC沦陷目标,包括与歹意运动相干的信息,比方IP地点、域名或文件哈希等,个中用作辨认歹意文件的指纹的文件哈希是IoC同享最多的数据类型,但价 值“保鲜期”很短,由于歹意软件生长极快。严厉来讲,IoC自身不具有谍报代价,由于它们须要与收集基本构造日记纪录上下文相干联。一个一般的中型构造的IT体系天天会发生数百万条体系音讯,个中只要极少数是由人类剖析职员视察的。基于IoC的检测能够增进基于风险的优先级,但这取决于IoC的质量。假如发生太多的误报,将致使剖析职员的告警委靡。

  当前,大多数要挟谍报同享发生在痛楚金字塔的底部。完全的TTP很难以机械可读的体式格局同享。MITRE ATT&CK框架是朝着正确方向迈出的第一步,但作为一个专业范畴,要挟谍报依然须要朝着规范化迈进一大步。由于需求大于供给, 当下许多防备者摄取尽量多的谍报数据,从而发生了信噪比问题。正式的CTI要领论的引入将有助于进步要挟谍报的质量。

  04、要挟谍报供给商的不透明

  要挟谍报市场的“水很深”,您晓得怎样对供给商的要挟谍报质量举行评价?他们的原始谍报是怎样取得的?他们的传感器怎样散布,是不是存在误差?

  到目前为止,大多数构造都是要挟数据的“消费者”而不是“客户”,它们对谍报数据供给者的要领不仅未知,而且对它的泉源也一窍不通。

  由于缺乏研发资本,贸易要挟谍报供给者常常将其CTI数据外包给竞争对手。收集要挟同盟就是一个尽人皆知的例子,经由过程该同盟,25个成员构造每一个月同享400万个可视察物。贸易要挟谍报供给者结成同盟大概致使某些要挟的报告涌现堆叠,而免费供给的开源要挟谍报在很大程度上没有这类问题。关于许多从业者来讲,这类堆叠是未知的,而且由于贸易谍报的高价位,在实践中很难辨认。

  05、CTI过于偏颇

  从贸易角度来看,谍报供给商喜好专注于大型国度行动者,与初级别的收集犯罪行动者比拟,现实上国度黑客对企业和个人的要挟每每被强调了。要挟供给商报告的大部分内容都集合在国度黑客这类吸收眼球但现实要挟很小的子集上,这些要挟能够增添浏览的趣味性,但与我们的大多数一样平常要挟谍报实践并不非常相干。

  06、CTI归属很难

  出于营销目的,环球主要要挟谍报供给商热衷于为各个要挟构造起种种炫酷的名字。效果统一个黑客构造被冠以八门五花的名字,给归因带来极大贫苦。比方,统一个俄罗斯一个军事谍报构造被差别要挟谍报供给商起了十多个名字:花式熊、APT-28、Sofacy、STRONTIUM、Sednit、沙皇团队、燕尾、典当风暴、TG-4127、灰熊草原等等。由于要挟谍报界不存在通用的定名商定,致使两个问题,起首,现实存在的要挟数目在很大程度上被高估了。其次,缺乏定名商定会使谍报同享变得庞杂。统一黑客构造的每一个差别称号都是一个分外的数据点,使推理庞杂化,还会增添信噪比。


Warning: mysqli_query(): (HY000/1): Can't create/write to file '/tmp/#sql_914_0.MYI' (Errcode: 28 - No space left on device) in /www/wwwroot/52benet.cn/wp-includes/wp-db.php on line 2024

Related Post