威胁情报杂谈——多源情报汇聚
多源情报汇聚是一个很流行的概念,也被大多数人认同。通过汇聚多个来源的情报可以获得更全面的威胁检测能力,这应该是非常明确的道理。不过并不是任意的几个来源汇聚一起,就会得到理想的效果,即使是商业的情报来源(已经解决了准确性、上下文问题)也是如此。我们下面就谈谈这个问题,看看选择来源时需要考虑哪些问题。
威胁情报往往有比较明显的地域特点,这点不清楚是中国特有的情况,还是针对所有的地区都适用。可能是国内安全市场特点决定了国际厂商的产品部署范围、数据收集能力必然不足,这种情况下其批量生成的IOC情报和国内威胁的相关性不强,是再正常不过的事。因此选择IOC情报、文件信誉时特别需要考虑情报来源的地域特性。但也不是说国外的威胁情报对国内组织没有价值,特别是国外的IP信誉类情报用来做特定的监控就比较有效,其中的场景是如果国外的一次攻击(DDoS、SPAM等)出现了企业的IP,就说明极大可能出现了失陷,并被利用来进行攻击。
不同类型的威胁,其基础数据有不同的收集方式。情报数据的收集渠道由多种:开源IOC、安全社区、产品数据(恶意文件、报警日志等)、暗网/黑客社区、网络扫描/监控、事件响应数据、特定范围交流等,基本上越向前提到的,越针对流行性、随机性的网络犯罪攻击,而越向后的就越针对定向型攻击。如果你关注的是流行性的威胁,那比较简单,如果关注的是行业特色明显、以定向攻击为主的威胁情报的话,可能要看相应的厂商是否有强大的事件响应服务团队、以及和特定行业或部门的交流渠道,因为这是这类情报数据线索最重要的来源。
数据运营水平也是比较重要的参考因素。同样的一个来源,在不同的情报运营、生产团队而言,可以产生的结果也有很大的不同。典型的例子就是VirusTotal,相信很多安全公司都有其账号,那儿也确实是个宝库,可以发现新的样本、可以跟踪到在野的0day漏洞,也可以通过它对一些攻击团伙/恶意家族做长达数年的历史分析、甚至可以监控APT团伙的动态。但是否能达到这些目的,关键在于安全运营团队的能力水平。
前面讲的这些,其实想表达的就是一个意思,多源情报汇聚也许是个很好的方式,但怎样选择不同的情报来源,是成功的关键。需要明确自己的需求(地域、行业、威胁类型),清楚地了解可供选择的来源具体特点(数据来源、研究团队水平、运营侧重点等),并且最好能够通过实际的网络环境来测试评估,这样的情况下,才有可能找到适合汇聚的不同情报来源。