网络威胁情报应用逐渐普及,网络威胁情报应用的误区也随之而来。错误的威胁情报应用模式不仅仅是资源的误用,还可能带来额外的暴露面,其支持者可能被对抗性情报模式所利用。作为定向攻击的武器筛选条件,而这些误区被推广则可能会造成更大面积的潜在受害者群体,甚至作为攻击关键信息基础设施的跳板,因此,笔者选择一些典型的误区,剥开“洋葱的心”。

误区一:告警查询论

最严重的误区莫过于“告警查询论”,该方法主张将网络安全设备或系统平台(如:IDS、WAF、NGFW、SIEM、态势感知等)产生的告警日志,取出IOC值(IP、域名、URL等)提交威胁情报平台查询,根据查询结果决定封禁与否,甚至支持永久封禁。

误区分析:

1、首先,如果这是一个确认的攻击日志,网络安全人员必须对此做出响应,因为“100个人说它是无害的,它就是无害的吗?它攻击我,它就是有害的,即使除了我以外其他任何人或机构都没有标记这是一个恶意的对象!”,所以”告警查询论“存在严重漏洞!

2、在该言论中,放弃了对未告警的信息的检查。如果安全人员到网上以“绕过”+【安全设备】,【*】中可以为任何安全设备的代换,可以看到大量的绕过安全设备的帖子。未将威胁情报应用于主动防御或更全面的检测,是一种严重的资源浪费和疏忽。

3、第三,忽略了威胁情报的重要属性之一:时间属性。IP、域名等均为网络资源,都可以更换属主,可回收、可转让,注销后可能会被其他属主所使用,因此”永久“这种用法忽略了威胁情报的时间属性。

4、另外,该观点的支持者忽略了私有威胁情报的概念,告警经过分析研判,可以根据结果决定是否纳入私有威胁情报管理。并且,可以利用威胁情报交换机制和协议(例如:TLP)进行发布,作为对合作伙伴、行业、国家安全的回馈。

正确理解:

没有任何一种方法可以独立完成网络安全防护、检测全部需求,网络威胁情报的应用如同我们所列举过的所有设备、系统、平台一样,是一种具有独特能力的网络安全补充,它和其他所有的网络安全设备与系统,共同承担着企业网络安全防护,对针对性绕过技术是一种强补充。

针对网络威胁情报的自定义筛选应用,可以构成主动防御阵线,例如:在有效情报的前提下,设置网络规则。大家一定不会忘记WannaCry通过Sinkhole免疫的方法(如果可以成功访问iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com,则电脑在中了勒索病毒后不会进行文件加密而直接退出),因此只需要打开防火墙规则,则可以避免该灾难,但需要注意的是Sinkhole可能会搜集受害群体的信息。

同时,威胁情报可以针对告警信息进行线索扩展。在线索扩展场景下对告警信息的优先级重定义起到重要作用。

误区二:公开失效论

另一个广泛被传播的误区是“公开失效论”,即网络威胁情报一经公开就失效了,将希望寄于攻击者不会再次使用该方法,或者漏洞将被完全关闭,攻击方法会失效。让我们先学习如下案例:

WannaCry持续被利用。提起勒索软件,可能无人不知WannaCry以及它的“业绩”,曾经在瞬间造成约150个国家200万台计算机被攻击。然而,这个臭名昭著的勒索软件,并不是利用0Day进行攻击,根据报道,微软在WannaCry肆虐前两个月即发布了补丁,按照“公开无效论”者的观点,这本是一个可以避免的灾难,但不幸的是,灾难还是发生了。笔者建议“公开失效论”者应该思考一下这句话“study in preventable catastrophes” (https://datatechvibe.com/data/wannacry-should-you-still-worry/)。

到目前为止,WannaCry似乎并没有完全被控制住,我们还是经常可以看到被WannaCry入侵的案例被报道出来。

误区分析:

网络情报仅当对抗双方信息一致,并且采取了必要、完整的对抗手段,公开的网络威胁情报(也称为:开源网络威胁情报)才是出现“失效”,这种“失效”是网络威胁情报应用的结果,而“对抗双方完全利用”的场景则出现的比例极少。

正确理解:

1、网络威胁情报公开不代表目标受众均有效接收,按照信息理论,信息接受方需要正确解读发送方的全部含义。然而,现实中很多网络安全人员没能够接收或者完整接收到威胁情报的相关信息,并根据威胁情报的建议进行了部署。威胁情报的完整接收和理解是网络安全人员需要进行提升的关键环节。

2、网络威胁情报的公开,需要对抗手段的对齐,方能发挥威胁情报的效用。

彩蛋:有心者是否注意到关于WannaCry的威胁情报中提到仅打补丁是不足够的?

误区三:开源无用论

“开源无用”论者认为开源情报因为受到信息发布的管制,缺少情报研究所需的高价值信息,并且随着自媒体、多种媒体方式的衍生,开源情报存在着大量冗余、错误、虚假的情报,因此没有用途。

针对这一言论,请先看一起非网络安全的开源情报分析案例:

上个世纪50年代,格林斯潘靠着有限的公开信息,从飞机构件材料中铝、铜、钢铁的比例和数量入手,推出美国军工业对经济体构成的影响。他发表的统计结果,跟美国军方所掌握的秘密数据惊人地接近,以至于五角大楼的人立刻断定“这个人肯定是拿到了我们的秘密数据,否则不可能这么精确”。

误区分析:

产生“开源无用”论的基础,是情报分析人员的思维惯性、惰性、能力所造成,他们认为公开的情报由于受到各种严格的审核,无法推导出有效的结论。

正确理解:

“凡有接触,必留痕迹”(Every contact leaves a trace,Edmond Locard),笔者在《溯源(归因分析)与机器学习》中曾引用这一观点。

关于开源威胁情报,首先面对的是冗、错、伪的挑战,这需要分析人员或组织投入大量人力、财力研究威胁情报的源头、记录威胁情报传播的路径、并进行冗余管理,同时还需要解决开源网络威胁的错误信息,甚至处理上升到威胁情报对抗角度的虚假情报。

开源情报分析,需要情报分析人员的思维具有严谨、开拓等多面性,避免思维惯性,甚至是惰性的工作习惯,其培养过程漫长,并且还需要一些“天才”人物的出现。

开源情报在溯源分析中起到了重要作用,下图则是笔者利用开源情报所获得的信息(先进威胁情报商已经于更早时间开始重点布局开源情报):

笔者一直有一个疑问,“开源无用论”者是否真正研究过开源情报并愿意通过理论基础公布是他们是如何得出“开源情报无用”这一结论的?

其他误区

一劳永逸论:

“人不能两次踏进同一条河”---赫拉克利特

一劳永逸论者,通常会提出威胁情报永久使用的期望,忽略了威胁情报具有动态的特性。这一轮点的支持者,通常略加思考,即能正确认识到事实。

上帝视角论:

“你们的威胁情报是最新、最全的吗?”这是上帝视角论者最常提出的问题。从追求威胁情报质量的角度上看威胁情报永远都有可提升的空间,但由于传递时效、范围(想一想“铁路警察各管一段”的故事,更何况有着利益冲突的多方角逐)等因素的影响,新、全、准,就如同奥林匹克的精神一样,可以不断被刷新;最需要注意的重点是,威胁情报带有预测,而预测总有伴随着准确、遗漏的平衡。

试想,如果针的有上帝视角,我们把安全交给上帝,不香吗?

结语

关于网络威胁情报的误区,或许还有很多,笔者所揭开的只是这颗洋葱“一层”,希望广大威胁情报研究者站出来共同纠偏,促进网络威胁情报的应用。