一、背景


      当前网络空间安全形势非常复杂,入侵手段不断攀升,比如匿名网络(The Onion Router简称Tor)、网络跳板、僵尸网络(Botnet)、恶意URL地址等方式在网络攻击者大量使用,发现困难、追踪更难,这些都攻击手段的出现带来了新的挑战。传统方法往往只能获取局部攻击信息,无法构建出完整的攻击链条,网络空间希望有类似国际刑警组织能够获取到各地网络中的威胁信息,从而为网络攻击检测防护、联动处置、信息共享提供一个决策信息平台。


      近几年在网络安全领域逐步兴起的威胁情报(Threat Intelligence)分析为网络态势感知提供了技术支持。所谓威胁情报系统就是在网络空间里,找出网络威胁(各种网络攻击)的直接或间接证据,这些证据就隐藏在大量威胁源中,系统会在海量数据中甄别出你感兴趣的内容,要理解威胁情报系统所做的工作还必须对攻击事件有所了解。


当发生网络入侵事件后,网管首先要确定入侵源,实现这一目的主要通过日志、流量(异常流量意味着某种攻击活动,如内网主机在与某僵尸网络进行通讯)。要实现威胁情报分析,首先需要它能够实现态势感知,能理解威胁并能够预测即将呈现的状态,以实现决策。


二、攻击事件分析


网络中没有单纯的攻击事件,很多网络攻击由一系列事件所组成,通常为有序的或相互依赖的多个步骤,通常大家只会关注某一个事件,很难从全局上看问题。


下面举个入侵事件的例子,黑客利用漏洞(CVE -2014-6324)特权提升,对Web服务器进行入侵,获得Web服务器的本地访问权限,由于Web服务器可连接到NFS服务器,黑客还修改了文件服务器中的数据,一旦黑客掌握了NFS服务器的控制权,便可以文件服务器上安装木马,待安装完成,便等待一名内部用户在该工作站上运行这个事先已安插好的木马,一旦用户激活木马,黑客进一步获得更高级别的控制权,企业内部资料就这样源源不断的被秘密传输到指定的地点,这就是常说的APT攻击,这种攻击持续很长时间,能穿越了各种厂家的设备,不易被发现。


大家平时工作中遇到类似这样的入侵问题,大多都是猜测,对这种潜在攻击活动的感知能力十分有限(因为大家都没有在网络中间部署分布式的IDS传感器),这时利用IDS系统能提前对这种异常行为在故障发生前,发出预警信息,这也是威胁情报源的一种类型。


三、安全威胁情报


安全威胁情报(Security Threat Intelligence),它是网络安全机构为了共同应对APT(Advanced Persistent Threat高级持续性威胁)攻击,而逐渐兴起的一项热门技术,它实际上是我们从安全服务厂商、防病毒厂商、和安全组织得到安全预警通告、漏洞通告、威胁通告等。这些信息用于对网络攻击进行追根溯源,这些信息由安全厂商所提供,数据来源则是通过收集大量基础信息、监测互联网流量,或将客户的网络也纳入检测的范围,以获得该客户的特定安全情报信息。然后利用蜜网、沙箱、DPI等技术进行数据分析加工,最终形成报告。这些数据深度加工任务只有专业安全厂商才能做到,对于传统企业来讲,无法达到专业厂家的实力,主要还是收集内部网络的威胁信息源,订阅各种安全威胁情报信息和漏洞信息,但汇总、分析这些信息的工作就落到安全人员身上,执行的效果完全取决于专业能力。


四、技术框架


威胁情报系统的技术框架如图1所示,从图中可看出它包含了内部威胁和外部威胁两个方面的共享和利用。

认识网络威胁情报系统_java

图1 威胁情报系统总体框架


外部威胁情报主要来自互联网已公开的情报源,及各种订阅的安全信息,漏洞信息、合作交换情报信息、购买的商业公司的情报信息。公开的信息包含了安全态势信息、安全事件信息、各种网络安全预警信息、网络监控数据分析结果、IP地址信誉等。在威胁情报系统中能够提供潜在的恶意IP地址库,包括恶意主机、垃圾邮件发送源头与其他威胁,还可以将事件与网络数据与系统漏洞关联,全球IP信誉显示如图2所示(地图已技术处理)。

图2  全球IP信誉显示


在图1中显示的合作交换的信息主要来自安全厂商的固定客户,比如AlienVault公司的OSSIM USM可将客户上报的威胁汇聚为一个威胁数据库在云端共享,其他客户可以共享这些情报,好处是,只要有一个客户在内网中发现了某种威胁,并上报便可通过网络立即跟其他客户分享。


只要在系统中发现可疑IP,立即通过威胁系统里的IP信誉数据库能够发现到该恶意IP的信息,详情如图3所示。

认识网络威胁情报系统_java_02

图3 通过IP信誉查询的恶意IP的情报信息


内部威胁情报是相对容易获取的,因为大量的攻击来自网络内部,内部威胁情报源主要是指网络基础设施自身的安全检测防护系统所形成的威胁数据信息,有来自基础安全检测系统的也有来自SIEM系统的数据。企业内部运维人员主要通过收集资产信息、流量和异常流量信息、漏洞扫描信息、HIDS/NIDS信息、日志分析信息以及各种合规报表统计信息。


五、威胁情报系统的选择


与其他IT系统发展相比,网络威胁情报系统发展还处于初级阶段,但这个领域的主导厂商以国外的为主,包括FireEye、Cyveilance、IBM X-Force Exchange

认识网络威胁情报系统_java_03

LogRhythm、VeriSign、AlienVault;国内的360威胁情报中心和微步在线Threatbook从2015年起步,离一个完整、成熟的威胁情报平台还有一段路要走。如果您是正在关注威胁情报的企业,不要盲目加入威胁情报的行列,不要被销售人员夸夸其谈所吸引,还是要理性的看待问题。我认为前期首先利用开源软件来实现情报威胁系统,而这种功能的开源工具非OSSIM莫属,该系统中OTX所提供的功能可满足威胁情报系统的要求。OSSIM具体部署与使用大家可参考《开源安全运维平台-OSSIM最佳实践》一书。


六、威胁情报利用


说到威胁情报所发挥的作用,再接着看看APT攻击事件威胁情报利用。通常,APT攻击事件很可能持续很长时间,它在OSSIM系统中反映出来的是一组可观测到的事件序列,这些攻击事件显示出了多台攻击主机的协同活动,如图4所示,显示出在攻击检测中的价值。

认识网络威胁情报系统_java_04

图4 一组网络攻击图


与刑事犯罪取证类似,网络安全分析人员需要综合各种不同的证据,以查清互联网全球性攻击现象的根本原因。这种工作往往很枯燥,需要耐心,在网上很难根据关键词来获取答案,主要依靠分析师的专业技能,它涉及攻击事件的若干不同维度的特征。

对上述攻击,显示了9条关联出来的安全事件,如图5所示。

认识网络威胁情报系统_java_05

图5 关联事件


攻击图和告警关联工具可以结合在一起进行评估,告警关联关系工具可以把特殊的、多步攻击的零散报警,合理的组合在一起,以便把攻击者的策略和意图清晰的告诉安全分析人员。除了以上例举实例之外还有包括安全分析和事件响应,这里就不一一举例。


七 总结


本文主要通过实例例举介绍了个人对威胁情报系统的理解、威胁情报的分类及使用场景、选择适合的威胁情报系统等方面的问题,当然威胁情报应用的例子还远不止这些,这里只是例举了一些典型的例子,希望引起更多人的兴趣。如果您是正在关注威胁情报的企业,不要盲目加入威胁情报的行列,不要被销售人员夸夸其谈所误导,从企业自身网络安全需求出发,理性的看待问题。