威胁检测与响应的关键：情报枢纽

自从疫情发生以来，“枢纽”（pivot）这个词越来越多地被提及。仔细来看，“枢纽”有两层意思。第一层意思是“转变”——学校转变成了线上教育、企业转变成了移动办公、零售商转变成了无接触商务。但它还有着第二层意思——关键，比如将感染率降低的关键方式。在网络安全层面，情报枢纽是检测和响应的关键。

第一步是检测——需要在对的时间，用对的工具处理对的数据。但是问题在于：什么是对的数据？安全架构中不同的产品会创建自己的日志和项目，产生海量的数据——IP地址、URL、哈希值等等。这些指标却是这些全然不同的日志种最为普遍的数据，同时每个指标都能显现出一些恶意行为。比如，如果在IPS系统中发现一个不认识的IP地址，那就可以请求其他安全工具查看是否有通信回传到该地址——这就是一个有价值的信息。但是，单一的指标只是一小块信息，在缺乏关联信息的情况下，难以获知全貌。

在威胁检测中，企业可以从外部的威胁情报中了解到某个特定的IP地址是否属于一个攻击组织。通过该情报，企业还能转向该攻击组织，发现其他和该攻击者相关的多个其他IP地址。通过其他工具进行扫描，还能从这些关联IP地址中发现其他潜在子地址——这就是显示必然已经发生了某些事件。

再深入挖掘，企业就能获取更多的相关意识和了解。举例而言，这个指标是否和某个攻击事件或者攻击组织相关？EDR等其他安全工具是否也能搜索相关的数据？MITRE ATT&CK等描述威胁攻击者战术、技术和流程（TTPs）的框架可以进一步扩展调查范围，并且形成某个攻击事件或者攻击组织入侵自身网络的假设。之后，可以再对假设进行测试 ，从而确认是否存在攻击。

比如MITRE ATT&CK中提到了恶意鱼叉式钓鱼会将附件作为获取最初接入的一种方式。那么假设就可以是任何一个收到恶意附件的员工只是众多被攻击的员工之一。那么调查就可以先侧重于阻止一个已知的鱼叉式钓鱼攻击，然后搜寻其他被相似，甚至相同攻击影响的员工。通过基于已知攻击的TTP情报，企业可以获取额外的指标，然后进行针对性的搜索，从而获得完整的全景视图，确认是否存在攻击者。另外，基于事件和攻击方式的更大视角能够逼迫攻击者改变TTP，提高他们的攻击成本，最终让他们放弃针对自身的攻击。

从这两个例子可以发现，企业不能在第一个工具发现某个指标后就停下脚步。相反，企业需要纵览所有工具，通过不同指标和指标类型，外加攻击者的情报和他们的攻击方式，形成一个更广大的视角。这样，企业才能对正在发生的情况有更深入的理解，并且能有效响应。情报枢纽能帮助企业形成一个完整的攻击态势视角，并且在检测与响应中扮演着重要的作用。