越来越多的组织在加入网络威胁情报的大军当中——不仅仅是威胁情报的使用者,还是提供者。同时,根据SANS在2021年的网络威胁情报调查对自身威胁情报有效性进行评估的企业数量,也从受访的4%提升到38%。

但是,在集成、自动化、以及威胁情报运营化方面的应用依然较少。该报告也指出,安全团队在自动化层面更依赖于SIEM,一定程度上也说名了威胁情报在这些领域比较落后的原因。SIEM的存在已经有十几年,目的是通过取代人工关联日志,通过将多个供应商的技术标准化并发出警告,来识别可疑的网络活动。SIEM从一开始就不是服务于完整的威胁情报管理,或者从EDR、NDR、CDR等安全工具集成海量数据。

SOC的核心一度是SIEM,但是随着SOC的功能开始 偏向于检测和响应,核心也在改变。检测和响应能力并不是单一工具所能实现的,而是要延伸到整个生态系统;因此,SOC需要的是一个能集成多种来自内部和外部的威胁以及事件数据源(包括SIEM),以及支持和传感元的双向集成能力。拥有这种能力的平台,才是加速安全运营,并保障现代SOC完成自己使命的核心。

我们可以以SolarWinds的泄露事件为例,看一下这样的平台能起到些什么作用。

当SolarWinds事件登上头条的时候,全球的安全团队遭到了他们领导团队的问题轰炸:我们知道哪些关于这次泄露的信息?我们被波及了吗?如果被波及了,我们能怎么降低风险?如果没有被波及,我们能做些什么加强防范?各种来源和形态的信息,以及防护手段充斥了整个安全社区,包括新闻报导、博客、安全行业报告、MITRE ATT&CK技术框架、威胁信息的IoC、GitHub代码库、Yara和Snort等等。但是,理解手头信息的具体内容同样重要。在当前的组织环境、技术栈、网络结构和风险概况下,最相关、最优先的信息应该是哪些?

首先从检测开始。安全团队需要快速理解威胁、调查影响、然后决定采取什么样的措施。通过平台自动化收集、统一化并复制来自各种来源的数据——无论是结构化的还是非结构化的、内部的还是外部的,可以生成一份已知信息的信息库。将事件关联,并且将内部的环境的指标(包括来自SIEM、日志管理库、事件管理系统和安全架构的数据)和外部的数据(包括外部指标、攻击者信息和攻击方式)进行联系,形成对攻击者、攻击目标、攻击来源、攻击时间、攻击原因和攻击方式的理解。然后,基于指标来源、类型、属性、内容,以及攻击者属性的参数,修改风险系数以及威胁情报优先级;从而过滤走信息噪音,并着重于对于企业真正重要的情报,而不是浪费时间和资源去捕风捉影。

检测之后就是响应的工作了。在有上下文关联的情况下把握住攻击的整体情况后,安全团队可以让数据成为他们架构以及运营的一部分,并且能够灵活地在手动、自动以及混合模式中切换。他们可以思考组织中哪些其他人也需要能够看到并理解这些数据,比如网络安全团队、威胁情报分析师、威胁猎手、犯罪调查人员、管理层等等,然后进行恰当地分享。安全团队能将数据导出给现有架构,让架构中的技术在低误报的情况下更高效地运作;同样,安全团队还能将数据回传给正确的工具,生成并应用升级后的策略和规则减缓风险。

在事件发生后的数日、数周和数月,安全团队继续通过平台,在收到新数据、信息和观测的情况下,持续自动化地重新评估情况并修改相关优先级。包括可以用于创建黑名单或者应用签名的战术情报,到具体使用技术和工具的运营情报,以及识别潜在威胁份子以及他们目标的战略情报。安全团队能够通过这些情报,确保他们自己的优先级并有问题,并且能够更快发现事件,做出更有效的决策。

在一个有集成能力、自动化能力和情报运营化能力的现代平台加持下,安全团队可以到达威胁情报项目的新高度,包括评估检测和响应效果的正反馈情况。鉴于SOC正在逐渐成为检测和响应的部门,有效的评估模型会是最为重要的业绩展示。

数世点评:

当人们逐渐意识到,安全是无法完全依靠阻断保护企业的时候,检测和响应的价值就显得无比重要——越早发现,越快采取正确的行动,损失就越低。因此,SOC逐渐向检测和响应转移也就不足为奇。但是,精准的检测和正确的决策离不开有效的情报信息,那威胁情报在SOC中被使用也就水到渠成。但是,企业在对威胁情报的应用过程中,依然要考虑到威胁情报和自身的相关性、集成能力以及自动化能力等因素。

来源:数世咨询