威脅情報(bào)源(Threat intelligence feed)是一種提供關(guān)于最新網(wǎng)絡(luò)威脅和攻擊信息的數(shù)據(jù)流,其中涉及漏洞、惡意軟件、網(wǎng)絡(luò)釣魚(yú)以及其他惡意攻擊活動(dòng)。這些數(shù)據(jù)由安全研究人員、行業(yè)監(jiān)管機(jī)構(gòu)以及專業(yè)安全廠商所共同創(chuàng)建,通常采用STIX/TAXII等標(biāo)準(zhǔn)格式,可以與EDR、SIEM、防火墻、威脅情報(bào)平臺(tái)和其他網(wǎng)絡(luò)安全工具有效集成,從而在極低的預(yù)算投入下,為企業(yè)安全團(tuán)隊(duì)和分析師們提供實(shí)時(shí)威脅信息,以監(jiān)控威脅指標(biāo)(IoCs)、惡意域和其他網(wǎng)絡(luò)威脅。
在當(dāng)今的互聯(lián)網(wǎng)時(shí)代,網(wǎng)絡(luò)攻擊事件頻繁發(fā)生,網(wǎng)絡(luò)威脅也日益增多。在此背景下,如何將威脅情報(bào)深度應(yīng)用到企業(yè)的安全防護(hù)體系中就顯得尤為重要。如果被合理利用,各種威脅情報(bào)數(shù)據(jù)將能幫助分析師更準(zhǔn)確了解安全事件的真相。威脅情報(bào)的來(lái)源范圍十分廣泛,以下是網(wǎng)絡(luò)安全行業(yè)中使用的常見(jiàn)情報(bào)類型:
01威脅指標(biāo) (IOC) 源
包含與威脅行為者或惡意活動(dòng)相關(guān)的特定工件,例如IP地址、域名、文件哈希和電子郵件地址。它提供了觀察到的最新IOC列表,安全產(chǎn)品可以使用它來(lái)檢測(cè)和阻止攻擊。
02戰(zhàn)術(shù)威脅情報(bào)源
提供有關(guān)特定威脅及其戰(zhàn)術(shù)、技術(shù)和程序 (TTP) 的信息。它可以包括有關(guān)所使用的惡意軟件、攻擊媒介以及威脅行為者所使用的基礎(chǔ)設(shè)施的詳細(xì)信息。
03戰(zhàn)略威脅情報(bào)源
提供了更廣泛的威脅態(tài)勢(shì)視圖,它包括對(duì)威脅行為者的動(dòng)機(jī)、目標(biāo)和策略的洞察。此外,它還可用于告知安全策略和政策,并在潛在威脅變成攻擊之前識(shí)別它們。
04運(yùn)營(yíng)威脅情報(bào)源
提供有關(guān)主動(dòng)針對(duì)組織的威脅的實(shí)時(shí)信息,它可用于確定安全警報(bào)和響應(yīng)的優(yōu)先級(jí),并協(xié)調(diào)事件響應(yīng)活動(dòng)。
05開(kāi)源情報(bào) (OSINT) 源
提供有關(guān)在社交媒體、新聞文章和論壇等公開(kāi)來(lái)源中觀察到的威脅的信息。它可用于識(shí)別新出現(xiàn)的威脅并跟蹤威脅行為者的活動(dòng)。
無(wú)論企業(yè)組織需要什么類型的威脅情報(bào)信息,都可以通過(guò)以下6個(gè)來(lái)源,找到一些公開(kāi)可用的資源。
1. AlienVault Open Threat Exchange
由線上社區(qū)驅(qū)動(dòng)的威脅情報(bào)源
美國(guó)AT&T公司的AlienVault Open Threat Exchange(OTX)威脅情報(bào)源是目前全球最大、最全面的威脅情報(bào)社區(qū)之一,有來(lái)自140個(gè)國(guó)家的10萬(wàn)多名參與者,每天提供超過(guò)1900萬(wàn)個(gè)威脅指標(biāo)。OTX是一個(gè)完全開(kāi)放的威脅情報(bào)社區(qū),將威脅研究和安全專業(yè)人員共享的專業(yè)知識(shí)免費(fèi)開(kāi)放給所有用戶。
除了讓所有類型的用戶都可以使用它的信息流外,OTX在數(shù)據(jù)訪問(wèn)的便捷性和閱讀感受方面也做得很好。圖形化閱讀界面可以清楚地說(shuō)明了威脅指標(biāo)(IoC)的數(shù)量和類型,并提供報(bào)告來(lái)快速總結(jié)威脅及其影響。此外,OTX還共享有關(guān)威脅名稱、任何相關(guān)引用URL、標(biāo)簽、攻擊者背景等方面的信息。
主要特點(diǎn):
- 來(lái)自140個(gè)國(guó)家的10萬(wàn)名參與者和貢獻(xiàn)者;
- 通過(guò)DirectConnect API與其他工具集成;
- 最全面的威脅情報(bào)解決方案之一;
- 每天發(fā)布的威脅指標(biāo)超過(guò)1900萬(wàn)個(gè);
- 威脅檢索界面非常直觀,易于閱讀;
- 利用Pulse Wizard,用戶可以自動(dòng)化地提取IoC。
不足:
- 雖然有免費(fèi)的工具和集成,但OTX與AT&T的付費(fèi)網(wǎng)絡(luò)安全產(chǎn)品配合更有效;
- 大規(guī)模眾包方法限制了情報(bào)質(zhì)量的提升。
傳送門(mén):https://cybersecurity.att.com/open-threat-exchange
2. abuse. ch URLhaus
適合惡意URL檢測(cè)
abuse. ch URLhaus項(xiàng)目可以將有關(guān)惡意url的情報(bào)數(shù)據(jù)編譯到用戶的數(shù)據(jù)庫(kù)中。盡管任何人都可以訪問(wèn)這些免費(fèi)的信息源及其生成的詳細(xì)數(shù)據(jù)庫(kù),但abuse. ch公司特別指出,該解決方案更適合網(wǎng)絡(luò)運(yùn)營(yíng)商、互聯(lián)網(wǎng)服務(wù)提供商(ISP)、計(jì)算機(jī)應(yīng)急響應(yīng)小組(CERT)和域名管理機(jī)構(gòu)的使用需求。
URLhaus威脅情報(bào)項(xiàng)目管理了三個(gè)主要的情報(bào)源,專注于特定的IP地址和域名異常情況監(jiān)測(cè)。一般用戶可以直接從URLhaus網(wǎng)站獲取有關(guān)這些情報(bào)源的最新信息。然而,對(duì)于想要使用此工具來(lái)審查妥協(xié)指標(biāo)或訪問(wèn)可解析數(shù)據(jù)集的用戶,需要下載URLhaus API。此外,用戶還可以提交自己發(fā)現(xiàn)的惡意URL。
主要特點(diǎn):
- URLhaus的三個(gè)主要情報(bào)源包括ASN源、國(guó)家源和TLD 源,主要用于跟蹤在線和離線的惡意URL;
- URLhaus提供了詳細(xì)的提交策略,以過(guò)濾掉無(wú)關(guān)惡意軟件的提交結(jié)果;
- 擁有全面的、定期更新的惡意軟件URL數(shù)據(jù)庫(kù),有完善的標(biāo)簽;
- URLhaus的API和下載選項(xiàng)非常廣泛和多樣,可以滿足不同的用戶偏好。
不足:
- 只有在URLhaus API中選擇使用數(shù)據(jù)集時(shí),一些自定義功能才可用;
- 要通過(guò)網(wǎng)絡(luò)提交惡意軟件URL,用戶必須登錄Twitter、Google、LinkedIn或GitHub,但這些都是公開(kāi)可見(jiàn)的。
傳送門(mén):https://urlhaus.abuse.ch/
3. Proofpoint ET Intelligence
適合情境化的威脅信息
Proofpoint ET Intelligence項(xiàng)目通過(guò)全面的檢索方法來(lái)收集并整理威脅情報(bào),可以根據(jù)豐富的應(yīng)用場(chǎng)景來(lái)提供威脅情報(bào)信息,包括IP地址、域和其他IoC的當(dāng)前和歷史元數(shù)據(jù)。此外,ET Intelligence還可以很好地分離、分類和評(píng)分IP地址和域名,并定期進(jìn)行列表更新。
對(duì)比本文中所列出的其他5個(gè)解決方案,Proofpoint ET Intelligence是情報(bào)信息覆蓋度最全面的解決方案,但它的使用價(jià)格也是非常昂貴的,適合那些對(duì)企業(yè)級(jí)威脅解釋和調(diào)查溯源感興趣的用戶。
應(yīng)用特點(diǎn):
- 訪問(wèn)有關(guān)IP、域和其他IoC的歷史元數(shù)據(jù);
- 可搜索的威脅情報(bào)門(mén)戶,附帶趨勢(shì)、時(shí)間戳、威脅類型和漏洞利用工具包標(biāo)簽,以及相關(guān)的樣本;
- 支持TXT、CSV、JSON和壓縮格式;
- 可以與多種網(wǎng)絡(luò)安全工具和威脅情報(bào)平臺(tái)(如Splunk、QRadar、anomaly和ArcSight)集成;
- 情報(bào)檢索頁(yè)面中包括了高度清晰的彩色編碼圖表 。
不足:
- 目前市場(chǎng)上最昂貴的威脅情報(bào)源之一,而且價(jià)格還在持續(xù)上漲;
- 可能與其他網(wǎng)絡(luò)安全工具存在重疊的功能。
傳送門(mén):https://www.proofpoint.com/us/products/advanced-threat-protection/et-intelligence
4. Spamhaus
適合電子郵件安全和反垃圾郵件
Spamhaus是為電子郵件服務(wù)系統(tǒng)提供威脅情報(bào)源和黑名單的專業(yè)服務(wù)商,其威脅情報(bào)源項(xiàng)目目前已覆蓋了30多億用戶。用戶可以訪問(wèn)并應(yīng)用針對(duì)郵件攻擊策略、漏洞利用、垃圾郵件問(wèn)題的阻止列表,還可以在黑名單中修復(fù)不正確的垃圾郵件列表,訪問(wèn)實(shí)時(shí)的ISP新聞和信息,并閱讀有關(guān)反垃圾郵件的最佳實(shí)踐文檔。
Spamhaus公司目前擁有六個(gè)主要威脅情報(bào)源和威脅列表,并以此為基礎(chǔ)構(gòu)建了一個(gè)全面的電子郵件安全解決方案;事實(shí)上,它通常被認(rèn)為是精確、實(shí)時(shí)的惡意郵件過(guò)濾和防護(hù)解決方案。Spamhaus的大部分功能和DNSBL源都是免費(fèi)提供給用戶的。然而,需要更大規(guī)模的商業(yè)垃圾郵件過(guò)濾的用戶和網(wǎng)站將需要訂閱Spamhaus的Datafeed Query Service(DQS)。
應(yīng)用特點(diǎn):
- 超過(guò)30億用戶收件箱受到Spamhaus威脅情報(bào)源和黑名單的保護(hù),是目前應(yīng)用最廣泛的互聯(lián)網(wǎng)垃圾郵件和惡意軟件攔截工具之一;
- 具有詳細(xì)的FAQ指南,可為用戶提供專業(yè)指導(dǎo);
- Spamhaus已經(jīng)將它的SBL、XBL和PBL解決方案打包成一個(gè)解決方案:Spamhaus Zen,用戶只需要使用一個(gè)DNSBL工具;
- Spamhaus有一個(gè)安全的ROKSO LEA門(mén)戶,可以更安全地訪問(wèn)有關(guān)垃圾郵件操作的機(jī)密記錄。
不足:
- 某些特性功能只有付費(fèi)升級(jí)到Datafeed Query Service才能使用;
- 一些公共IP地址會(huì)被Spamhaus誤列入黑名單,修正的過(guò)程也比較繁瑣。
傳送門(mén):https://www.spamhaus.org/
5. SANS: Internet Storm Center
適合于了解和解釋威脅行為
SANS是一家全球性的網(wǎng)絡(luò)安全培訓(xùn)與研究機(jī)構(gòu),其所屬的Internet Storm Center(ISC)項(xiàng)目是目前市場(chǎng)上值得信賴的威脅情報(bào)源之一。這也是一個(gè)完全建立在開(kāi)放協(xié)作基礎(chǔ)上的情報(bào)源社區(qū),由一些威脅情報(bào)志愿者處理日常威脅監(jiān)控和文檔。除了一些日常性的情報(bào)收集處理程序之外,ISC能夠從企業(yè)用戶處獲取到防火墻和入侵檢測(cè)系統(tǒng)等安全工具的運(yùn)營(yíng)數(shù)據(jù)。
ISC的獨(dú)特性體現(xiàn)在多個(gè)方面:首先,其專有的傳感器網(wǎng)絡(luò)和報(bào)告設(shè)置模仿能夠?yàn)槲粗{提供早期預(yù)警。此外,ISC還關(guān)注如何為解決這些威脅提供程序指導(dǎo)。
應(yīng)用特點(diǎn):
- 從50多個(gè)國(guó)家的50萬(wàn)個(gè)監(jiān)控傳感器中獲取信息;
- 由志愿者對(duì)所監(jiān)測(cè)到的安全事件進(jìn)行處理分析,并經(jīng)常更新入侵檢測(cè)數(shù)據(jù)庫(kù);
- ISC團(tuán)隊(duì)可根據(jù)用戶的要求生成自定義的全局威脅態(tài)勢(shì)報(bào)告;
- 由具有多年經(jīng)驗(yàn)的網(wǎng)絡(luò)安全專業(yè)人員組成;
- ISC的分布式傳感器網(wǎng)絡(luò)能夠快速識(shí)別網(wǎng)絡(luò)各個(gè)角落的新威脅。
不足:
- 將工具集成到專用網(wǎng)絡(luò)和專有系統(tǒng)的能力非常有限;
- 專家團(tuán)隊(duì)的規(guī)模較小,可能會(huì)導(dǎo)致分析報(bào)告的質(zhì)量和深度難以統(tǒng)一。
傳送門(mén):https://isc.sans.edu/
6. FBI InfraGard
最適合關(guān)鍵基礎(chǔ)設(shè)施的安全性
InfraGard是由美國(guó)聯(lián)邦調(diào)查局(FBI)組織開(kāi)展并運(yùn)行的一個(gè)網(wǎng)絡(luò)情報(bào)源項(xiàng)目,旨在與其他政府機(jī)構(gòu)以及企業(yè)組織建立網(wǎng)絡(luò)威脅信息共享網(wǎng)絡(luò)。企業(yè)組織可以從FBI的內(nèi)部情報(bào)信息、經(jīng)驗(yàn)培訓(xùn)和最佳實(shí)踐中受益,同時(shí)FBI和其他政府機(jī)構(gòu)也可以第一時(shí)間洞察美國(guó)關(guān)鍵基礎(chǔ)設(shè)施的安全態(tài)勢(shì)和威脅指標(biāo)。InfraGard項(xiàng)目可以免費(fèi)申請(qǐng)加入,但需要會(huì)員資格才能訪問(wèn)InfraGard資源。
InfraGard的威脅情報(bào)資源分為了商業(yè)設(shè)施、運(yùn)營(yíng)商、關(guān)鍵制造業(yè)、國(guó)防工業(yè)基地、市政服務(wù)、能源、金融服務(wù)、政府設(shè)施、醫(yī)療保健和公共衛(wèi)生等16個(gè)領(lǐng)域,通過(guò)重點(diǎn)領(lǐng)域劃分,目前可為企業(yè)組織提供具有行業(yè)特性的定制化威脅情報(bào)和安全防護(hù)提示。
應(yīng)用特點(diǎn):
- 威脅咨詢、情報(bào)公報(bào)、分析報(bào)告和漏洞評(píng)估由聯(lián)邦調(diào)查局和其他政府機(jī)構(gòu)與私營(yíng)部門(mén)成員共享;
- 實(shí)現(xiàn)了監(jiān)管機(jī)構(gòu)和企業(yè)組織之間的雙向威脅情報(bào)分享;
- 16種不同的專門(mén)威脅源使用戶能夠?qū)W⒂谂c其特定部門(mén)相關(guān)的威脅;
- 將政府機(jī)構(gòu)的專業(yè)知識(shí)和企業(yè)組織專業(yè)人員相結(jié)合,成員可以獲得針對(duì)性的安全培訓(xùn)和資源。
不足:
- 會(huì)員制服務(wù)模式,在一定程度上偏離了傳統(tǒng)的威脅情報(bào)工作;
- 只專注于美國(guó)的基礎(chǔ)設(shè)施領(lǐng)域,不適合美國(guó)以外的企業(yè)和全球化公司使用。
傳送門(mén):https://www.infragard.org/
參考鏈接:https://www.esecurityplanet.com/products/threat-intelligence-feeds/
