构建网络安全情报模型.PDF

Chapter 3 第3 章 构建网络安全情报模型 3.1　引言 传统情报组织需要数十人（甚至成百上千人）才能有效运行。 围绕收集、处理、分析和传播构建完整的组织，而且往往需要为规 划和方向配备坚固的管理链条。 对于大部分组织的网络安全团队而言，情况并非如此。根据 Ponemon 研究院对504 家大型组织的调查，2013 年安全团队的平 均规模是22 人，预计在2014 年增长到29 人（Ponemon 研究院， 2014 ）。当然，这是大型组织的情况；中小型组织的人员配备要少 得多。这就提出了一个问题：资源受限的网络安全人员是否有希望 用情报改进安全性？ 事实很简单，没有任何替代方案。网络威胁快速增长，攻击面 也快速扩展，传统安全手段已经无法像今天这样继续保持效力。除 此之外，以应有的速度增加网络安全预算的组织少之又少，需要一 种有效的手段在组织中引入网络威胁情报，使现有系统更加有效， 同时改善安全团队的情报技能。 50　 　防患未然：实施情报先导的信息安全方法与实践 3.2　网络威胁情报的定义 在第2 章中介绍了情报的定义： 情报是一个“伞状术语”，指的是一系列活动—从规划和信 息收集到分析和传播，以秘密的方式进行，通过提供威胁或者潜在 威胁的预警，使预防性策略或者战略（包括必要时的秘密活动）得 以及时实施，旨在维护和加强相对安全。 这是定义网络威胁情报的良好开端。Gartner （McMillan ， 2013 ）使用如下定义代替： 基于证据、关于资产所面临的现有或新兴威胁及风险的认识， 包括环境、机制、指标、可能结果及可付诸行动的建议，可以为威 胁或风险应对决策提供信息。 对于本书的目的，这一定义非常合适，因为它包含了网络威胁 情报中对安全团队的成功至关重要的所有方面。 和情报的传统定义类似，网络威胁情报的定义集中于一个事 实：情报应该是可以付诸行动的。特别是在较小的机构中，网络安 全情报必须以即时性措施的形式出现，安全团队可以采取这些措施 保护网络。 定义中的另一个方面强调了环境，这一方面在第2 章的原始定 义中遗漏了，但是仍很重要。环境实际上与两个领域有关。首先， 如果目标网络不受影响，那么网络威胁也就不是真正的威胁。在安 全威胁情报领域中，环境很重要，知道有哪些威胁是不够的，有效 的安全组织还必须全面了解大型组织中所要保护的资产。其次，理 解威胁本身的环境是很重要的。分布式拒绝服务攻击（DDoS ）的 来源是向某个组织发动DDoS 攻击然后快速离开的无重点群体，还 是使用DDoS 掩盖其他活动的有组织团队？ 这是区分术语的合适时机。漏洞 （Vulnerability ）、利用 （Exploit ）和威胁 （Threat ）这些术语往往相互重叠，但是每个术语 第3章　构建网络安全情报模型　 　51 在本书中都有特定的含义。漏洞是应用程序、系统或者过程中的一 个弱点，可能被用来获得权限提升、干扰正常使用或者进行其他潜 在的恶意活动。利用是可能用于针对漏洞所造成暴露的自动化代码 或者人工行为。威胁是组织网络中可能被利用的特定漏洞的存在。 威胁和利用是主动性的，而漏洞是被动性的。 前面已经提出过，在此定义中又被重复提到的一个要点是：情 报不等于数据。在收集的数据通过内部或者第三方分析之前，它只 是信息。只有收集的数据经过整个情报生命期，才能成为情报。上 述定义中还提到了指标。在网络威胁情报领域中，指标通常是IP 地址、域名、文件散列、注册表项、特征码或者类似的其他信息。 这些指标本身并不是情报，它必须与对指标的认识、对目标网络的 威胁级别以及目标网络的相关性相结合，才能成为情报。 例如，许多来源（本书后面会用到一些）提供用于保护网络的 IP 地址列表。这些IP 地址列表本身不是情报，而当它们在某个网 络或者一个类似网络中被检测到时，就会成为情报。只有在这些 IP 地址可以付诸行动时，例如，被拦截的威胁，它们才从信息变 为潜在的情报。 3.3　攻击剖析 为了开发更好的情报技术以应对网络攻击，首先理解攻击的工 作方式、区分不同类型的工具是很重要的。本章和全书中概述的方 法不是用于应对一次性攻击或者撒下大网而在幕后没有