情报驱动应急响应(txt+pdf+epub+mobi电子书下载)


发布时间:2020-09-03 17:13:07

点击下载

作者:(美)斯科特·罗伯茨(Scott J.Roberts),(美)利百加·布朗(Rebekah Brown),李柏松,李燕宏(译)

出版社:机械工业出版社

格式: AZW3, DOCX, EPUB, MOBI, PDF, TXT

情报驱动应急响应

情报驱动应急响应试读:

前言

欢迎来到情报驱动事件响应这个激动人心的世界!情报(具体点说,网络威胁情报)拥有巨大的潜力来帮助网络安全防御者更好地了解和响应攻击者的行为。

本书目的是展示情报如何适配事件响应的过程,帮助响应者了解他们的对手,以减少检测、响应和补救入侵所需的时间。长期以来,网络威胁情报和事件响应都是密切相关的,事实上两者有着千丝万缕的关系。威胁情报可以很好地支撑事件响应,同时事件响应的过程也产生了可以被进一步利用的威胁情报。本书的目的是帮助读者了解、实施情报驱动的事件响应,并从中获益。我们为什么写这本书

近年来,我们看到一种趋势,事件响应从以前的独立活动到现在成为整体网络安全计划的一个组成部分。与此同时,网络威胁情报正在迅速变得越来越受欢迎,更多的公司和事件响应者正在努力了解如何将威胁情报纳入其业务。对抗是真实的,自从我们学习了如何将传统的情报原则应用于事件响应实践,伴随这个过程而来的痛苦也与日俱增,但是我们知道这是值得的,反之亦然。因此,我们写了这本书将两个世界(威胁情报和事件响应)汇聚在一起,展示它们如何更有力、更有效地相互促进,帮助实践者缩短将其纳入业务的时间。目标读者

这本书是为安全事件响应从业者撰写的,适合于事件响应经理、恶意软件分析师、逆向工程师、数字取证专家或情报分析师等,也适合于有兴趣深入了解事件响应的人。网络威胁情报吸引人的地方在于,许多人都想了解攻击者,了解他们的动机和运作方式,而事件响应是学习这个领域的最佳方式。但是只有当事件响应采用情报思维方式去实践时,我们才开始真正了解所掌握的信息的价值。你在阅读本书之前,无须成为事件响应或者情报方面的专家,也无须从其他书获取相关背景知识。我们将通过这两个领域的基础知识,展示它们如何相互促进,并提供实用的建议和场景举例来说明这一过程。本书结构

本书的目录结构如下:

·第一部分包括第1~3章,介绍了情报驱动事件响应(IDIR)的概念,以及情报和事件响应领域中的基本原则和正确方法。我们将介绍F3EAD的概念,这是IDIR的重要模型,本书的其余部分将围绕这个概念展开。

·第二部分包括第4~9章,第4~6章介绍了F3EAD以事件响应为重点的部分:查找、定位和消除;第7~9章介绍了F3EAD流程中以情报为重点的步骤:利用、分析和传播。

·第三部分包括第10、11章,第10章阐述了战略层面的情报及如何将其应用于事件响应和网络安全计划;第11章讨论了情报计划的形式化以及如何建立情报驱动的事件响应计划并取得成功。

·附录提供了F3EAD在传播阶段(见第9章)可能用到的情报产品示例。

·通常,有兴趣将威胁情报整合到事件响应中的人,往往对其中一个领域非常了解,因此,在阅读时可能会跳过熟悉的知识点而重点关注新的部分,但我们仍建议你不要跳过太多,你将会发现我们使用了一个新的模型或方法来更好地整合这两个领域。排版约定

本书使用以下印刷格式:斜体(Italic)

表示新的术语、网址、电子邮件地址、文件名和文件扩展名。等宽体(Constant width)

用于代码列表,以及段落中引用的代码元素,如变量或函数名称、数据库、数据类型、环境变量、语句和关键字。加粗等宽体(Constant width bold)

表示用户应直接输入的命令或其他文本。倾斜等宽体(Constant width italic)

表示此内容应该被替换的,取决于用户输入或由上下文决定。此图标表示一个提示或建议。此图标表示一般注释。此图标表示一个警告或注意。Safari在线图书

Safari是一个为企业、政府、教育和个人提供的会员制培训、参考平台。

会员可以访问数以千计的书籍、培训视频、学习路径、互动教程以及来自250多个出版社策划的播放列表,包括O’Reilly Media、Harvard Business Review、Prentice Hall Professional、Addison-Wesley Professional、Microsoft Press、Sams、Que、Peachpit Press、Adobe、Focal Press、Cisco Press、John Wiley&Sons、Syngress、Morgan Kaufmann、IBM Redbooks、Packt、Adobe Press、FT Press、Apress、Manning、New Riders、McGraw-Hill、Jones&Bartlett,以及其他在线技术。

更多信息请访问:http://oreilly.com/safari。联系我们

对于本书,如果有任何意见或疑问,请按照以下地址联系本书出版商。美国:

O’Reilly Media,Inc.

1005Gravenstein Highway North

Sebastopol,CA 95472中国:

北京市西城区西直门南大街2号成铭大厦C座807室(100035)

奥莱利技术咨询(北京)有限公司要询问技术问题或对本书提出建议,请发送电子邮件至:

bookquestions@oreilly.com要获得更多关于我们的书籍、会议、资源中心和O’Reilly网络的信息,请参见我们的网站:

http://www.oreilly.com

http://www.oreilly.com.cn我们在Facebook上的主页:http://facebook.com/oreilly我们在Twitter上的主页:http://twitter.com/oreillymedia我们在YouTube上的主页:http://www.youtube.com/oreillymedia致谢

Rebekah的致谢:

我的棒棒的老姐们:Emma、Caitlyn和Colin,一直鼓励着我,并提供不少如何捕捉黑客的有用建议。

我的父母,兄弟姐妹以及其他家庭成员对我写书工作的支持。

我的同事:Jen、Wade、Rachel、Jordan、Bob、Derek(人太多,写不过来!)永远相信我,你们没有(大声)说我写书是种疯狂的行为。你们是我生活中的“饭醉团伙”,让我保持着滋润、打鸡血以及愉悦的状态,并时不时提醒我按时交作业。

我的合著者:Scott,是一个极其优秀的男子汉。

最后,致谢波特兰的23Hoyt(餐吧名)、亚历山大的Trademark(餐吧名)以及它们的全体工作人员,在无数次的差旅途中,给我提供一个舒适的写书环境。

Scott的致谢:

我那传奇的太太Kessa:如果没有你的鼓励和高瞻远瞩,我不会坚持写完这本书,更别提当初你灵光一闪激发我做的尝试。感谢你全天候无条件的默默支持。多么希望我能为你分担家庭的琐事,但你却独力撑起了一切。

我的父母Steve和Janet:从我的第一台电脑到现在一个史诗般的写作项目,你们一直满足我的好奇心并帮助我到达彼岸。没有你们,我不可能取得今天的成就。

GitHub安全团队:你给了我学习、写作以及分享的自由,让我明白一切皆有可能。

Kyle:所有这一切都离不开你的指导。我很感激,当我开始有了这个雄心勃勃的疯狂想法的时候,你告诉我不管怎样都要实现它。

多年以来我的许多朋友和导师们:我猜,你们中的大多数人都不知道你们的每次交谈以及愿意听我分享激情的耐性对我来说都是满满的正能量。

我优秀的合著者Rebekah,君乃吾所需,而非吾所求。没有你,我无法独自完成这一切;没有你,这本书也不会如此精彩。

O’Reilly的员工,你们优秀的商业能力,帮助我们将想法变成了现实。

最后,感谢Columbus的Mission Coffee公司的咖啡和精致的百吉饼,给了我不少创作的灵感。第一部分基础知识

当你开始涉猎情报驱动的事件响应时,请务必对情报与事件响应的流程有一个清晰的了解。第一部分介绍了网络威胁情报、情报的产生过程、事件响应流程,以及如何将它们整合在一起。第1章概述

“But I think the real tension lies in the relationship between what you might call the pursuer and his quarry,whether it’s the writer or the spy.”——John le Carre

在深入了解情报驱动事件响应之前,我们需要明白为何网络威胁情报对事件响应如此重要。本章介绍了网络威胁情报的基础知识,包括其历史和未来发展方向,并为本书其余部分讨论的概念奠定了基础。1.1 情报作为事件响应的一部分

只要有斗争冲突,就有那些研究、分析和努力去了解对手的人。一场战争的输赢,取决于你对对手的了解,研究对手的思维方式、动机和战术,并根据理解做出或大或小的决策。无论是什么类型的斗争冲突,不管是国家之间的战争还是对敏感网络的秘密入侵,威胁情报都指导着双方。只要掌握威胁情报的艺术及其科学的一面,分析对手的意图、能力和时机等信息,胜利总是会站在你这一边。1.1.1 网络威胁情报的历史

1986年,Cliff Stoll是美国加州Lawrence Berkley国家实验室的博士生。有一天,他注意到计算机实验室有一笔75美分的计费差异,这表明有人没有付费便在使用实验室的计算机系统。在现代化的今天,那些强大的网络安全产品可以轻易发现“未经授权的访问”并快速预警。但在1986年,这几乎很难引起人们的关注。那时候的网络入侵系统并不像今天这样每天能触发告警消息,无法及时发现数百万甚至数十亿美元被盗。在那一年,网络抓包工具tcpdump才刚刚启动,常见的网络发现工具(如Nmap)过了十年才出现,而渗透框架如Metasploit则又过了15年才出现。当时大多数连接“互联网”的电脑属于政府和研究机构,而不是普通用户。如果发现有人使用电脑而没有付费,往往会被认为是软件的bug或记账功能错误。

Stoll意识到此事非比寻常,没有将其当成一个计算机故障或用户贪小便宜的事件处理。事实上,他正在跟踪的是一个“狡猾的黑客”,黑客正在使用伯克利的网络作为跳板,尝试进一步获得敏感的政府计算机权限,如白沙导弹系统和国家安全局(NSA)。Stoll使用打印机来监控传入的网络流量,并开始对入侵者进行画像描绘,这是首次记录入侵者的网络间谍活动。他逐渐了解了攻击者的活跃时间、运行的网络命令以及其他活动模式。他了解到攻击者如何利用GNU Emacs移动邮件功能中的漏洞入侵Berkley的网络。这是一种策略,Stoll将其比喻成一只杜鹃鸟,这种鸟会将其蛋放在另一只鸟巢中孵化,后来成了一本谈论入侵的书名:《杜鹃蛋》(Cuckoo’s Egg)。了解攻击者才有可能保护自己的网络免遭进一步渗透,识别攻击者的下一个目标,并在微观层面(识别执行攻击的个体)和宏观层面(了解敌国在传统情报收集武器库中部署的新策略,并改变政策以应对这一变化)采取响应措施。1.1.2 现代网络威胁情报

几十年来,网络威胁已经变得越来越大。攻击者使用不断增强的工具和手段来攻击,他们的动机可能是为了经济收益而收集情报,也可能是为了引起关注而肆意破坏。今天,了解攻击者已变得越来越困难,但却非常重要。

从一开始了解攻击者已经成为事件响应的关键组成部分。网络威胁情报用于识别和了解攻击者,以及使用该信息来保护网络,已成为事件响应者必备的基本概念。威胁情报是对对手的分析,分析他们的能力、动机和目标。网络威胁情报(CTI)是对对手如何使用网络来实现目标的分析。有关这些攻击级别如何相互影响,请参见图1-1。图1-1:从情报到网络威胁情报

在信息安全方面,我们一般侧重于科学观念,我们喜欢可测试和可重现的东西。但是网络威胁情报领域既有科学又有艺术,而且这种艺术非常考验我们,包括对攻击者数据的分析和解释,以及如何以有意义的方式向外部受众传递信息,并使他们也能够采取行动。这将真正帮助我们理解一个思维和反应都在不断发展的对手。

安全分析师往往偏好一些东西,比如在网络上识别恶意活动并最终能追踪到已知的攻击者,但在许多情况下,情报的早期实现是非常简易直观的。这些年来,新技术的发展更好地实现了对网络恶意活动的检测和理解,网络访问控制(NAC)、深度包检测防火墙和网络安全情报设备都是基于过去已知概念的新应用。1.1.3 未来之路

新技术为我们提供了有关攻击者采取行动的更多信息,以及对这些信息的其他行为方式。但是,我们发现,随着每个新技术或概念的实施,对手都适应了。蠕虫和病毒的变种更新比那些可以识别它们的设备还快,老练的、资助资金充足的攻击者比许多网络防御者更有组织与活力。简易直观的情报工作将不足以使防御者摆脱威胁,分析也需要发展,并变得更加正规与结构化。情报的范围必须扩大,业务目标必须变得更加野心勃勃。

除了要对企业常常模糊而冗长的边界进行威胁检测,分析师还需要更深入地了解攻击者在网络中的可能攻击路径,不管对方是针对单个用户系统还是服务器集群。同时,还得向外看攻击者可能盯上的那些第三方服务商。需要对所有这些信息进行详尽分析并深刻理解,然后采取行动来更好地预防、发现和消除威胁。为了更好地理解对手,采取的行动需要成为正式的流程,它是信息安全运营的关键部分:威胁情报。1.2 事件响应作为情报的一部分

通常来说,情报是一种经过分析并提炼使其可操作的信息。因此,情报需要信息。在情报驱动的事件响应中,收集信息有多种方式。但是,重要的是要注意事件响应本身也会产生网络威胁情报。传统的情报周期(我们将在第2章中深入介绍)涉及方向、收集、处理、分析、传播和反馈。情报驱动的事件响应涉及所有这些步骤,并有助于在威胁情报的其他程序中形成方向、收集和分析,比如网络防御和用户意识培训。情报驱动的事件响应要经过理解和修复入侵风险,否则不会结束,实际上它会为情报周期持续不断地产生信息。

分析一次入侵,不管它是成功或失败,都可以提供多种信息,可用于更好地了解对环境的总体威胁。通过根因分析和初始访问向量的分析,可以向企业通报网络防御的短板或攻击者可能利用的策略弱点。在系统上识别的恶意软件可以帮助确定攻击者用来避开传统安全措施(例如防病毒或基于主机的入侵检测工具)的策略,也可以帮助识别攻击者的能力以及他们可用的工具。分析攻击者在网络中横向移动的方式可以用于创建新的方法监控网络中的攻击者活动。无论攻击者最后的执行动作(例如窃取信息或改变系统的功能)是否成功,都可以帮助分析师了解对手的动机和目标,这些动机和目标可用于指导整体安全工作。因此,事件响应过程中的每一步总结,都可用于更好地了解企业面临的威胁。

因此,本书中介绍的各种流程和周期,旨在确保情报驱动的事件响应能支撑整体情报运营。尽管这些流程工具为事件响应中如何利用网络威胁情报提供了具体指导,但请记住,它们也可用于情报功能扩展的其他领域。1.3 什么是情报驱动的事件响应

网络威胁情报不是一个新概念,只是一种旧方法的新名称:应用结构化的分析过程来了解攻击及其背后的对手。威胁情报在网络安全方面的应用比较新,但基础并没有改变。网络威胁情报涉及如何运作情报流程和概念(包括一些很古老的概念),并使其成为总体信息安全流程的一部分。威胁情报有许多应用方法,但可以利用的基本方法之一是作为入侵检测和事件响应流程的组成部分。我们称之为情报驱动的事件响应。不管有没有大量的资金投入,每个安全团队都可以做到。它对工具的依赖程度不大,尽管工具有时候有一定帮助,但更多的是我们处理事件响应流程的方式。情报驱动的事件响应不仅有助于识别、理解和消除网络中的威胁,而且有助于加强整个信息安全流程,最终改善后续的响应。1.4 为什么是情报驱动的事件响应

在过去的几十年中,我们的世界互联程度越来越紧密,攻击者可以采用相同的定向攻击策略,针对多个企业执行复杂的入侵任务。在过去,我们会习惯性地认为入侵是一个孤立的事件。当我们更好地了解对手时,我们可以更容易地掌握这些入侵事件之间的模式。情报驱动的事件响应确保我们能正确地收集、分析和分享情报,帮助我们更快地识别和响应这些模式。1.4.1 SMN行动

一个很好的例子就是“The analysis of the Axiom Group”(Axiom黑客组织分析报告),该文档发布于2014年的联合恶意软件消灭运动(CME),称作“SMN”行动(http://www.novetta.com/wp-content/uploads/2014/11/Executive_Summary-Final_1.pdf)。“SMN”行动的名词解释“SMN”行动中的“SMN”代表“some marketing name”的英文简称,这是一本有趣的小说,它揭示了一个非常普遍的现象,营销常常支配着情报产品。不管情况好坏,营销的力量已经在热情拥抱威胁情报,它们都宣称自己是最好的威胁情报产品、来源与工具。许多人第一次接触到威胁情报是通过营销材料,这些夸张的宣传很难让人充分了解实际的威胁是什么。

重要的是,情报工作的最终目标是更好地理解和防御对手。有时市场营销会是一种阻力,但理想情况下适当的营销可以帮助信息传递,确保威胁情报背后的“故事”能以正确的方式传播给有需要的受众。

六年多来,一批被称为“Axiom黑客组织”的攻击者暗中定向渗透并窃取了财富500强公司、新闻媒体、非政府机构以及各种其他企业的信息。该组织使用了复杂的工具,攻击者在受害者网络中维持长期的连接并逐步扩大访问权限。随着受害企业中事件响应流程的开展,逐渐发现了攻击者使用的恶意软件,人们对该组织使用的一个恶意软件系列进行联合研究后发现,问题比原来想象的要复杂得多。随后,越来越多的行业合作伙伴参与进来并相互交流信息,挖掘出了模式,不仅识别了恶意软件的行为,也识别出该组织成员的行为习惯以及相应的应对指南。最终形成了该组织针对的地区和行业的战略情报。

这是情报周期在事件响应场景中的一个很好的例子。不仅收集、处理并分析了信息,而且在信息传播过程中产生了新的要求和回馈信息,反复循环直到分析人员得到一个可靠的结论。在该报告发布后,很多分析员能够果断地采取行动,最终消除了43000个恶意软件。发布报告也是传播阶段的一部分,帮助事件响应者更好地了解这个威胁组织的策略和动机。1.4.2 极光行动

在Axiom黑客组织被揭露的前几年,另一个组织(可能相关的)进行了类似的复杂行动,称为“极光行动”(Operation Aurora),成功地定向攻击了约30家公司。该行动的模式和动机与“SMN”行动相似。看看这两个精心策划且广泛攻击的案例,很显然这并不是偶然的,而是战略目标高度一致的对手愿意花费大量的时间和精力来确保达到目标。如果我们只是从一个事件跳到另一个事件来处理这个问题,没有停下来好好总结经验教训,纵观全局,那么攻击者总是会比我们快几步。

Axiom组织的攻击以及“极光行动”都是窃取信息的间谍类攻击,但这些攻击者不仅仅是事件响应者唯一需要担心的事情。经济领域的犯罪活动也日益猖獗,那些威胁组织也在努力保持领先于网络防御者和事件响应者。1.5 本章小结

尽管计算机安全领域取得了不少进步,但攻击者仍然能够快速适应。我们常常感到惊讶的是,在识别出攻击者之前,他们已经在网络中横行多年,更糟糕的是,攻击者在事件响应流程之后依然能够重新感染目标并继续隐蔽自己。情报驱动的事件响应帮助我们从攻击者身上学习,识别他们的动机、过程和行为,即使他们试图绕过我们的防御和检测方法,我们还是可以识别他们的活动。我们对攻击者了解得越多,就能够越好地发现并响应他们的行为。

我们已经了解到在事件响应流程中实现情报结构化和可重复流程的必要性,本书旨在提供对情报流程的深入剖析。在本书中,我们提供了各种模型和方法论,并介绍这些模型对事件响应的收益,它们可以成为情报驱动事件响应的有力工具。这里没有一刀切的方法,在许多情况下,企业将根据实际情况选择最佳的模型和方法的组合。了解情报和事件响应的基本原则,学习如何将两者集成的具体方法,将帮助你构建情报驱动的事件响应流程,并逐步发展以便更好地满足企业的需求。第2章情报原则

“Many intelligence reports in war are contradictory;even more are false,and most are uncertain.”——Carl von Clausewitz

情报分析是人类历史上最古老的概念之一。人们每天早晨都会通过手机浏览信息,寻找那些对生活有帮助的信息。例如,今天的天气情况怎么样?对活动有什么影响?交通如何?是否需要计划更多时间去想去的地方?综合考虑外部信息、内部经验以及优先事项,并对目标受试者——有关个人的影响进行评估。

情报的基本假设是:从各种来源获取外部信息,并根据现实要求进行分析,最终提供能影响决策的评估。这个过程会发生在个人层面或更高层,在机构层面、公司层面以及政府层面每一天都在上演。

大多数人从事某种形式的情报分析往往没有经过正式培训,许多安全团队有意无意中会使用与情报分析类似的过程进行调查工作。当企业和政府开展情报运营工作时,是基于多年来已经形成的正式流程和原则。此外,用于信息安全和事件响应过程的情报运营是有专门正式流程的。本章将介绍涉及的关键概念,其中有一些概念来自情报,一些来自安全,还有一些是二者的结合。我们将从抽象概念开始,这些概念主要是从情报原则中提取出来的,然后再转向可直接应用于事件响应调查的具体概念。2.1 数据与情报

在谈论其他事情之前,我们有必要澄清一个很热门的讨论话题:“数据”和“情报”之间的区别。这两个都是安全社区的重要术语,许多从业者很难说明两者之间的差异。然而,它们往往是可互换使用的。“Joint Publication 2-0”是美军的主要联合情报教条,是目前仍在使用的基础情报文件之一。它在介绍中指出:“信息本身可能对指挥官有用,但是当涉及有关运行环境的其他信息,并根据过去的经验来考虑时,会引起对信息的新的认识,这可能被称为情报。”

数据是一条信息、事实,或统计结果。数据是用来描述某些事情的。例如在前面讲的关于天气预报的例子中,温度是一个数据,描述一个事实,它使用经过验证和可复用的过程进行了测量。了解温度数据固然重要,但为了能进一步用于决策,我们还必须对当天的其他情况进行分析。在信息安全领域,IP地址或域名是数据。如果没有任何额外的分析来提供上下文,它们只是一个事实。当我们收集并关联分析各种数据后,具备了为某种需求提供洞察能力,这时它们便成了情报。

情报来自收集、处理和分析数据的过程。完成情报分析后,必须通过传播才能使情报更有用。没有合适受众的情报不是好情报。瑞典文学家Wilhelm Agrell(威廉·艾格瑞尔)是研究和平与冲突的专家,他曾经痴迷地说:“情报分析是一门结合了新闻动态与解决科学问题的学科。”

数据和真正的情报之间的区别在于分析。情报需要基于一系列要求进行分析,目的是回答问题。没有分析,安全行业生成的大部分数据仍然是数据。然而,同样的数据,一旦根据需求进行了适当的分析,就成为情报,因为它包含了回答问题和支持决策所需的背景内容。IOC

有一段时间,许多人将IOC(攻陷指标)视为威胁情报的代名词。IOC可以帮助我们在系统或网络日志中寻找某类特征数据来发现已被入侵的目标,这类特征数据包括与C2服务器或恶意软件下载相关联的IP地址和域名、恶意文件的哈希值,以及其他可以表明入侵的基于网络或主机的特征。我们将在本书后面深入介绍。尽管IOC目前是发现入侵的最常见技术情报类型之一,但我们在本书还是重点讨论了威胁情报。2.2 来源与方法

既然我们已经澄清了数据和情报之间的区别,接下来的一个问题是:“从哪里获取数据,以便将其分析并产生情报?”

传统的情报来源通常围绕于各种INT,它们描述了从哪里收集数据:HUMINT(人工情报)

人工情报来源于人类,无论是通过地下秘密收集,还是通过外交方式公开收集,人工情报是情报收集最古老的形式。关于网络威胁情报是否可以从HUMINT得出是有争议的。一个例子是尝试与那些参与入侵或入侵经验丰富的人进行面谈或对话。另外一个被认为最接近HUMINT的例子是通过那些受限的或仅限会员的在线论坛,与黑客互动获得信息。这种类型的情报收集也可以被视为SIGINT,因为它来自于电子通信。SIGINT(信号情报)

信号情报包括从电子信号中获取的情报,包括通信情报(COMINT)、电子情报(ELINT)以及外部仪器信号情报(FISINT)。大多数技术情报收集属于SIGINT,毕竟电脑的功能来自于电子信号,所以从电脑或其他网络设备导出的任何东西都可以被视为SIGINT。OSINT(公开情报)

公开的信息来源包括新闻、社交媒体、商业数据库以及其他来源。其中关于网络安全威胁的公开报告是OSINT的一种类型。另一种类型是可公开访问的IP地址或域名的技术细节,例如,WHOIS查询恶意域名注册人的详细信息。IMINT(图像情报)

图像情报是从视觉表征中收集的,例如照相和雷达。IMINT通常不是网络威胁情报的来源。MASINT(测量与特征情报)

MASINT是指除了信号和图像之外,通过技术手段收集的情报。MASINT通常包括核、光、射频、声学以及地震特征的特性。由于MASINT不包含信号情报,它通常也不是网络威胁情报的典型来源。GEOINT(地理空间信息情报)

地理空间信息情报来自于地理空间数据,包括卫星图像、侦查地图、GPS数据以及其他与地点有关的数据来源。一些企业认为IMINT是GEOINT的一部分,有些企业认为它是一门单独的学科。与IMINT类似,GEOINT不是网络威胁情报的典型来源,但它可以提供有关威胁的上下文信息,以帮助你了解攻击者如何使用网络域来实现其目标。

在这里,可能许多人会提出近年来出现的各种INT概念,例如网络情报(CYBINT)、技术情报(TECHINT)和金融智能(FININT),但这些新术语中的大多数已经被其他情报收集方法所覆盖。比如,网络情报主要来源于ELINT和SIGINT。对现存的INT数量进行论证并不重要,重要的是我们需要理解数据的来源。如果这些INT概念有助于将特定的收集类型归纳起来,那么我们不需要再去纠结,让我们聚焦于如何解决这一领域中可能会出现的术语冲突。

刚才我们介绍了一些传统情报收集的方法,其中有一些收集方法经常被用于网络威胁情报。了解特定威胁数据的来源是非常有用的。事件和调查

这些数据是从数据泄露和事件响应活动的调查中收集的。这通常是网络威胁情报中最丰富的数据集之一,因为调查人员能够识别威胁的多个因素,包括黑客所使用的工具和技术,并且通常可以识别入侵背后的意图和动机。蜜罐

这些设备被配置成虚拟的机器或网络,并收集有关与这些设备的交互信息。蜜罐有很多种类:低交互蜜罐、高交互蜜罐、内部蜜罐以及边界蜜罐。蜜罐信息非常有用,只要我们理解蜜罐的类型,它们正在监控的内容以及交互的性质。蜜罐上捕获到的攻击尝试流量(尝试在系统上进行漏洞利用或安装恶意软件),往往要比分析网络扫描流量或Web爬虫流量有用多了。论坛和网站

很多公司都声称自己拥有地下网络或暗网的情报收集能力。在许多情况下,这些公司是指通过互联网访问那些受限的论坛和聊天室。在这些论坛网站上,许多人会在完成信息分析后互相交换有价值的信息。这种类型的网站数量非常庞大,几乎任何一家公司都不可能完全覆盖这些暗网。这里我们要知道,每家公司收集情报的范围往往是有限的,且不同于其他公司宣称的拥有相似数据。

这些技术是过去常见技术的新迭代,但随着技术的发展,新瓶换旧酒,对于情报来说并没有什么不同。正如George Santayana(乔治·桑塔亚纳)所说的,忘记过去与以往一样真实。军事术语

信息安全的一个共同点就是使用军事术语。情报工作已经存在了几个世纪,并被编纂进军事机构的文件中。例如美军的“Joint Publication 2-0:Joint Intelligence”(http://www.dtic.mil/doctrine/new_pubs/jp2_0.pdf)以及英军的“Joint Doctrine Publication 2-00-Understanding and Intelligence Support to Joint Operations”(http://bit.ly/2veFsZj)。大多数非军事情报的应用仍然非常重视这些文件中所记载的普适原则,这导致现代情报分析中出现了大量的军事术语。同样地,在网络威胁情报领域,也从这些军事原则中大量攫取概念。然而,正如营销一样,军事术语在某些情况下也是有用的,而在其他情况下无用。如果使用军事术语阻碍了信息的传递,那么可能不是使用这些术语的好时机。2.3 流程模型

模型通常用于构建信息,以便对其进行分析和处理。情报分析中使用的各种模型将在第3章和第8章进一步介绍。此外,在情报生成过程中,我们还使用了几种模型。本节介绍了用于有效地产生和采取行动的两个情报模型。第一个是OODA循环,可用于快速做出时间敏感型的决策;第二个是情报周期,可用于生成更多正式的情报产品,它们的用途多样,比如情报通报策略或情报规划。有效地使用模型

George E.P.Box说过:“所有模型都是错误的,少数模型是有用的。”每一个模型都是一个有助于理解问题的抽象。另一方面,存在一个非常自然的现象,每一个模型都是还原主义者,它容易丢掉重要的细节。因此,能否将所有数据适配到特定模型中并不重要,但使用模型作为理解和改进思维方式的方法始终是有价值的。2.3.1 OODA循环

安全领域经常被引用的一个军事概念是OODA循环,OODA是“观察(Observe),定位(Orient),决策(Decide),行动(Act)”的缩写。如图2-1所示,OODA循环是在20世纪60年代由战斗机飞行员、军事研究员以及战略家John Boyd发明的。他认为战斗机飞行员面对着装备与能力都比自己强大的对手时,使用OODA循环通过果断行动更快地对周边环境进行反应,可有效地攻击对手,将可能最终获胜。图2-1:OODA循环

以下为OODA循环四个阶段的介绍:

观察

观察阶段聚焦于信息收集。在这个阶段,我们收集来自外部世界的任何有用的信息。比如,如果我们想抓住棒球,这个阶段就是观察棒球以确定其速度和轨迹。同理,如果我们试图捕获网络攻击者,观察阶段则包括收集日志、系统监控,以及收集任何可以帮助识别攻击者的外部信息。

定位

定位阶段将观察阶段收集的信息根据已知的信息转换成上下文内容。这里需要考验我们过去的经验,预设的概念、期望和模型。还是以棒球为例,定位需要依靠观察者对棒球移动方向、速度以及轨迹的判断,预测它的方向以及抓住它时所产生的冲击力。在网络攻击示例中,定位需要从日志中提取监测数据,并将其与有关网络,相关攻击组织以及先前识别的攻击手法(如特定IP地址或进程名称)等知识相结合。

决策

在这一环节中,信息已被收集(观察)并完成上下文关联(定位),所以现在是确定行动方式的时候了。决策阶段不是关于执行操作,而是评审各种行动方案,直到最后决定采取哪个行动为止。

在棒球的例子中,这个阶段包括确定向哪里跑,跑多快,外野手(棒球与垒球运动中的一个守备位置)如何跑动并准备接球的姿势,或利用其他任何能够抓住球的工具。在处理网络攻击的情况下,这意味着决定是否等待并继续观察攻击者的动作,是否启动事件响应动作,还是忽略该活动。任何一种情况下,防御方决定实现其目标的下一步。

行动

很显然,行动阶段比较直观:个人遵循所选择的行动方案。行动结果并不意味着100%成功,需要在下一个OODA循环的观察阶段进行确定,如此循环,反复进行。

OODA循环是每个人每天经历数千次的基本决策过程的泛化。它解释了个人如何作出决定,也解释了团队和企业如何做出决定。它解释了网络防御者或事件响应者在收集信息并了解如何使用它时所经历的过程。

OODA循环不只是单方在使用。我们作为网络防御者,在许多情况下,经历了观察、定向、决策和行动的过程,攻击者也是如此。攻击者观察着网络和网络防御者在该网络中的行为,并决定如何采取行动改变环境并试图胜出。与大多数场景一样,能够观察和更快适应的一方往往会赢得胜利。图2-2显示了攻击者和防御者的OODA循环。图2-2:防御者和攻击者的竞争OODA循环多防御者OODA循环

除了攻防双方OODA循环外,思考多防御方OODA循环也是有用的,也就是说,一个防御者的决定如何影响其他防御者也是有用的。一个防御团队所作出的许多决策可以为其他防御者创造竞跑条件。例如,如果一个防御者成功执行了一次安全事件应急响应,然后公开分享关于攻击的信息,那么第一个防御者已经开始向所有其他防御者赋能这种智慧。如果攻击者可以更快地通过OODA循环,找到关于这些活动的公开信息,并且在第二个防御者使用这些信息之前改变他们的策略,那么攻击者将会打一场翻身仗(让自己处于更有利的位置),在这种情况下,第二个防御者的境遇就危险了。

因此,我们需慎重考虑如何将自己的行动分享给其他组织,这里包括对手和盟友。在一般情况下,计算机网络防御都是减缓对手的OODA循环,并加速防御者的OODA循环。

这个广义决策模型提供了一个了解防御者和攻击者决策的模板,关于这个循环后续将会详细讨论。最后要强调的是,这个模型侧重于了解各方的决策过程。2.3.2 情报周期

图2-3所示的情报周期是生成和评估情报的正式流程。这个周期始于上一次情报过程的结束,周而复始。情报周期并不需要完全遵循此过程。事实上,本书后面探讨的流程将会在此基础上进行。但是,读者必须重点关注关键步骤。如果你一开始就跳过整个步骤,你面临的将会是更多的数据和问题而不是真正的情报。图2-3:情报周期

要正确利用情报周期,你需要知道步骤中涉及的内容,接下来将介绍这些步骤。

方向

情报周期的第一步是方向。方向是确立情报打算解决问题的过程。这个问题可以来源于外部,并由情报团队开发实现;或者由内部受益的业务方和情报团队共同开发(这个过程有时称为RFI过程,我们将在第4章讨论)。这个过程的理想结果是提出一个清晰简明的问题,利益相关者可以找到有用的答案。

收集

下一步是收集回答问题所需的数据。这是一个大型的活动,我们应该着重从多个来源收集尽可能多的数据。冗余的信息在这里会增加价值,因为佐证往往很重要。

这里衍生出一个制订有效情报计划的关键思想:建立收集能力。我们很难准确地知道哪些数据可能最终被证明是有用的,因此建立广泛的收集各种信息的能力很重要。这包括诸如基础架构、恶意软件和漏洞之类的战术信息,以及诸如攻击者目标、社交媒体监控、新闻监控和高级威胁分析文档(研究报告,例如供应商发布的关于攻击组织的报告及其相关信息)等战略操作信息。这里一定要记录来源并注意:新闻故事经常会反复发布或引用相同的原始材料,使得我们很难知道什么是佐证,什么是同一材料的重新组合。如果无法确定特定数据集的源,则尽可能避免将其作为收集源。

收集是一个过程,而不是一次性的动作。使用第一轮收集的信息(如收集IP地址)进行第二轮处理(例如使用反向DNS查找与这些IP地址相关的域),接着继续第三轮收集(使用WHOIS收集有关这些IP地址对应域的信息)。随着收集的层层递进,信息会呈指数级增长。这一阶段的重点并不在于数据之间的关系,而在于扩展尽可能多的信息,之后再慢慢分析。此外,不要忘记考虑内部来源,例如内部事件管理系统,企业往往会发现他们已经非常熟悉的对手或攻击。命名冲突

命名在情报收集方面是个重大挑战。虽然过去命名的重点放在别名和涵盖术语上,但在今天,该领域与情报收集和命名惯例的不同性质相结合。每个公司、每个情报分析小组以及每个情报机构都有各自的威胁组织名称。对所有这些名称的收集很重要,因为忽视使用特定名称的报告可能导致关键数据丢失。

处理

数据的原始格式或以其收集的格式并不能马上被使用。另外,来自不同来源的数据可能会有不同的格式,有必要将其转换成相同的格式,以便一起分析。使数据可用的处理过程常常是一个被忽视的任务,但没有它,产生情报几乎是不可能的。在传统的情报周期中,处理是收集的一部分。然而,在处理涉及事件响应的数据类型和企业类型时,考虑分开处理是有用的。以下是处理与网络威胁有关数据的一些最常见的方法:正规化(Normalization)

处理包括将收集的数据归一化为统一格式进行分析。收集过程将产生几乎各种可想到的数据结果。情报数据来自各种不同格式,从JSON到XML到CSV到电子邮件的纯文本。供应商在博客帖子或表格中的网站上分享信息,也可以在基于PDF的报告中甚至YouTube视频中分享信息。同时,企业倾向于以不同的格式存储数据。一些企业使用专门的威胁情报平台,而其他企业则从维基或内部应用程序构建自定义的解决方案。索引(Indexing)

大量的数据需要可进行搜索。无论是处理诸如网络地址、互斥量(Mutexes)等观察数据,还是处理论坛帖子、社交媒体等操作数据,分析师都需要能够快速有效地进行搜索。翻译(Translation)

在某些情况下,区域分析师可能会提供源文档的人工翻译,但对于处理来自世界各地信息的大多数企业来说,这通常是不够的。机器翻译虽然不完美,但通常能够提供足够的价值,以便分析人员可以找到感兴趣的项目。如有必要,可请专家进行更准确的翻译。拓线(Enrichment)

为一条信息提供额外的元数据很重要。例如,域名地址需要解析为IP地址,并提取WHOIS注册数据。Google Analytics跟踪代码应该被交叉引用去发现使用相同代码的其他网站。这个过程应该自动进行,以便相关数据能尽快提供给分析人员。过滤(Filtering)

并非所有数据都具有相同的价值,分析人员在无休止的无关数据流中被压倒。算法可以过滤掉已知无用的信息(尽管它仍然是可搜索

试读结束[说明:试读内容隐藏了图片]

下载完整电子书


相关推荐

最新文章


© 2020 txtepub下载