威脅檢測與響應的關鍵:情報樞紐
自從疫情發生以來,“樞紐”(pivot)這個詞越來越多地被提及。仔細來看,“樞紐”有兩層意思。第一層意思是“轉變”——學校轉變成了線上教育、企業轉變成了移動辦公、零售商轉變成了無接觸商務。但它還有著第二層意思——關鍵,比如將感染率降低的關鍵方式。在網絡安全層面,情報樞紐是檢測和響應的關鍵。
第一步是檢測——需要在對的時間,用對的工具處理對的數據。但是問題在于:什么是對的數據?安全架構中不同的產品會創建自己的日志和項目,產生海量的數據——IP地址、URL、哈希值等等。這些指標卻是這些全然不同的日志種最為普遍的數據,同時每個指標都能顯現出一些惡意行為。比如,如果在IPS系統中發現一個不認識的IP地址,那就可以請求其他安全工具查看是否有通信回傳到該地址——這就是一個有價值的信息。但是,單一的指標只是一小塊信息,在缺乏關聯信息的情況下,難以獲知全貌。
在威脅檢測中,企業可以從外部的威脅情報中了解到某個特定的IP地址是否屬于一個攻擊組織。通過該情報,企業還能轉向該攻擊組織,發現其他和該攻擊者相關的多個其他IP地址。通過其他工具進行掃描,還能從這些關聯IP地址中發現其他潛在子地址——這就是顯示必然已經發生了某些事件。
再深入挖掘,企業就能獲取更多的相關意識和了解。舉例而言,這個指標是否和某個攻擊事件或者攻擊組織相關?EDR等其他安全工具是否也能搜索相關的數據?MITRE ATT&CK等描述威脅攻擊者戰術、技術和流程(TTPs)的框架可以進一步擴展調查范圍,并且形成某個攻擊事件或者攻擊組織入侵自身網絡的假設。之后,可以再對假設進行測試 ,從而確認是否存在攻擊。
比如MITRE ATT&CK中提到了惡意魚叉式釣魚會將附件作為獲取最初接入的一種方式。那么假設就可以是任何一個收到惡意附件的員工只是眾多被攻擊的員工之一。那么調查就可以先側重于阻止一個已知的魚叉式釣魚攻擊,然后搜尋其他被相似,甚至相同攻擊影響的員工。通過基于已知攻擊的TTP情報,企業可以獲取額外的指標,然后進行針對性的搜索,從而獲得完整的全景視圖,確認是否存在攻擊者。另外,基于事件和攻擊方式的更大視角能夠逼迫攻擊者改變TTP,提高他們的攻擊成本,最終讓他們放棄針對自身的攻擊。
從這兩個例子可以發現,企業不能在第一個工具發現某個指標后就停下腳步。相反,企業需要縱覽所有工具,通過不同指標和指標類型,外加攻擊者的情報和他們的攻擊方式,形成一個更廣大的視角。這樣,企業才能對正在發生的情況有更深入的理解,并且能有效響應。情報樞紐能幫助企業形成一個完整的攻擊態勢視角,并且在檢測與響應中扮演著重要的作用。
