某安全沙龙安全威胁情报体系的建设与应用forHW课件.pptx

1、安全威胁情报体系的建设与应用 什么是安全威胁情报当前信息安全防护体系面临困境难以从海量的安全事件发现真正的攻击行为，IDS、SOC等传统安全产品使用效率低下某一点确认的安全事件不能及时在组织内及时有效地进行共享，组织内部难以有效协同不同类型、不同厂商的安全设备之间的漏洞、威胁信息不通用，不利于大型网络的维护管理斯诺登等事件揭示的NSA对我国的攻击手段，目前的手段难以有效识别发现，亟需对现有安全体系进行升级应用安全威胁情报技术建设安全威胁情报平台攻防速度之争！速度！速度！还是速度！AttackBeginsSystemIntrusionAttacker SurveillanceCover-upCo

2、mpleteAccess ProbeLeap Frog AttacksComplete Target AnalysisTIMEAttackSet-upDiscovery/PersistenceMaintain footholdCover-up StartsAttack ForecastPhysical SecurityContainment&EradicationSystem ReactionDamage IdentificationRecoveryDefender DiscoveryMonitoring&ControlsImpact AnalysisResponseThreat Analys

3、isAttack IdentifiedIncident ReportingNeed to collapse free time ATTACKER FREE TIMETIME安全威胁情报是？一些“热”词：Security Intelligence 安全，安全情报Threat Intelligence 威胁情报Security Threat Intelligence 安全威胁情报Cyber Threat Information Sharing 网络威胁信息共享Intelligence Aware 情报感知Intelligence Driven 情报驱动Intelligence-Aware Secu

4、rity Control 基于情报感知的安全控制Context Aware 情境感知信誉库OSINTDell SecureWorksRSA NetWitness Live/Verisign iDefenseSymantec DeepsightMcAfee Threat Intelligence SANS CVEs,CWEs,OSVDB(Vulns)iSight PartnersThreatStream OpenDNS MAPP企业外部的安全威胁情报源（含开源及商业）IBM QRadarPalo Alto Wildfire CrowdstrikeAlienVault OTXRecordedFut

5、ureTeam CymruISACs/US-CERTFireEye/MandiantVorstackCyberUnitedNorse IPViking/Darklist 企业内部的安全威胁情报源（提供安全情境）Directory user information(personal e-mail,access,user privilege,start/end date)Proxy information(content)DLP&business unit risk(trade secrets/IP sensitive docs)IT Case history/ticket trackingMal

6、ware detection/AV alertsSensitive business rolesApplication usage&consumption events(in-house)Database usage/access monitoring(privileged)Entitlements/access outliers(in-house)User behavior association based on geography,frequency,uniqueness,and privilege情报平台Threat intelligence platforms（TIPS）预计至201

7、8，50%的一线组织和MSSPs将会使用以MRTI为基础的TIP平台（目前不到5%）安全威胁情报应用示例之RSA NetWitness LiveLive gathers the best advanced threat intelligence and content in the global security communityLive Manager provides configurable manager with a dashboardAggregates&consolidates only the most pertinent informationTransparent int

8、egration with customers live and recorded network traffic安全威胁情报应用示例之RSA NetWitness LiveRSA Fraudaction DomainsRSA Fraudaction IPNW APT AttachmentsNW APT IPNW APT DomainsNW Suspicious IP IntelNW Criminal VPN Entry DomainsNW Criminal VPN Entry IPNW Criminal VPN Exit IPNW Criminal VPN Exit DomainsNW Cr

9、iminal SOCKS nodesNW Criminal SOCKS User IPsNW Insider Threat DomainsNW Insider Threat IPAPT FilenamesPalevo Tracker IPPalevo Tracker DomainsQakBot C2 DomainsCritical Intelligence Domains-SCADACritical Intelligence IPs-SCADADynamic DNS DomainsTOR Exit NodesTOR NodeseFax sites(data leakage)iDefense T

10、hreat IndicatorsISEC Exposure Blacklist Domains安全威胁情报应用示例之RSA NetWitness Live安全威胁情报应用示例之IBM Qradar SIP Bridges silos Highly scalable Flexible&adaptable Easy deployment Rapid time to value Operational efficiency Proactive threat management Identifies critical anomalies Rapid,extensive impact analysis

11、安全威胁情报应用示例之IBM QRadar SIPContext and Correlation Drive Deepest InsightExtensive Data SourcesDeep IntelligenceExceptionally Accurate and Actionable Insight+=Suspected IncidentsEvent CorrelationActivity Baselining&Anomaly DetectionLogsFlowsIP ReputationGeo LocationUser ActivityDatabase ActivityApplica

12、tion ActivityNetwork ActivityOffense IdentificationCredibilitySeverityRelevanceDatabase ActivityServers&MainframesUsers&IdentitiesVulnerability InfoConfiguration InfoSecurity DevicesNetwork&Virtual ActivityApplication Activity安全威胁情报应用示例之IBM QRadar SIP Turnkey log management SME to Enterprise Upgrade

13、able to enterprise SIEM Integrated log,threat,risk&compliance mgmt.Sophisticated event analytics Asset profiling and flow analytics Offense management and workflow Predictive threat modeling&simulation Scalable configuration monitoring and audit Advanced threat visualization and impact analysisSIEML

14、og ManagementRisk&Configuration ManagementNetwork Activity&Anomaly DetectionNetwork and Application Visibility Network analytics Behavioral anomaly detection Fully integrated with SIEM Layer 7 application monitoring Content capture for deep insight Physical and virtual environmentsFully Integrated S

15、ecurity Intelligence安全威胁情报应用示例之McAfee Threat Intelligence 安全威胁情报体系的建设STIX-Structured Threat Information eXpression TAXII-Trusted Automated eXchange of Indicator Information CybOX-Cyber Observable eXpressionMAEC-Malware Attribute Enumeration and Characterization OpenIOC-Open sourced schema from Mandi

16、antIODEF-Incident Object Description Exchange Format CIF-Collective Intelligence FrameworkIDXWG-Incident Data eXchange Working Group 标准是最好的建设参考主要协议和标准比较STIX标准要点浅析STIX标准要点浅析TAXII标准要点浅析TAXII标准要点浅析TAXII标准要点浅析美国联邦政府标准NIST 800-150 Draft要点浅析美国联邦政府标准NIST 800-150 Draft浅析美国联邦政府标准NIST 800-150 Draft浅析美国联邦政府标准N

17、IST 800-150 Draft浅析IP addresses and domain namesURLs involved with attacksSimple Mail Transport Protocol(SMTP)headers,email addresses,subject lines,and contents of emails used in phishing attacksMalware samples and artifactsAdversary Tactics,Techniques,and Procedures(and effectiveness)Response and m

18、itigation strategiesExploit codeIntrusion signatures or patternsPacket captures of attack trafficNetFlow dataMalware analysis reportsCampaign/actor analysesDisk and memory images典型共享信息内容：美国联邦政府标准NIST 800-150 Draft浅析共享过程中需要注意隐私问题-URL、域名、IP、文件名等信息不能暴露被攻击者-捕获的报文不能包含登陆凭据、财务信息、健康信息、案件信息及web表单提交数据等-钓鱼文件样本

19、不能包括任何与事件响应人员无关的敏感信息-Web/代理日志中不能包含如登陆凭据、URL参数中的ID数字等个人或业务行为-网络流量/NetFlow信息不能暴露员工行为或企业中与调查无关的内容（如访问了医疗情况相关的网站）-恶意代码样本，内容里面不能包括用户业务或个人相关信息信息的敏感性也至关重要，需要遵从谅解备忘录MOUs、保密协议NDAs或其他协议框架，同时也需要遵从PII、SOX、PCI DSS、HIPPA、FISMA、GLBA等法律法规。同时也必须对交换的信息进行标识，约定其使用范围。我的TIPS理想架构智能威胁信息交换平台防火墙IDS/IPSAnti-APT防病毒网关客户端防病毒SDN&

20、DPI检测、网关类设备SIEM网管分析平台上级智能威胁信息交换平台外部智能威胁信息交换源待分析威胁数据威胁数据feedAPT分析事件管理日志关联分析查询搜索验证威胁情报管理威胁情报上报威胁情报获取威胁情报获取威胁情报获取威胁情报上报威胁情报共享响应管理 安全威胁情报体系的应用NG的NG？情境/情报感知？以SECaaS模式为核心的网络安全情报中心安全威胁情报的发展方向人读机读简单丰富非实时实时孤立共享 应用结构化的 indicators of compromise（IOC）参考STIX定义安全威胁情报元模型，并对关键指标进行标准化 内部、外部可共享的IOCs 情报数据尽量多样化，不应仅是信誉库

21、应用威胁情报开展情境分析 SOC等分析型优先，逐步推动防护设备支持 自动化共享和分析处置对于企业应用实践的建议讨论！NUKE同学的手抄报每一次的加油，每一次的努力都是为了下一次更好的自己。22.10.622.10.6Thursday,October 06,2022天生我材必有用，千金散尽还复来。0:20:530:20:530:2010/6/2022 12:20:53 AM安全象只弓，不拉它就松，要想保安全，常把弓弦绷。22.10.60:20:530:20Oct-226-Oct-22得道多助失道寡助，掌控人心方位上。0:20:530:20:530:20Thursday,October 06,20

22、22安全在于心细，事故出在麻痹。22.10.622.10.60:20:530:20:53October 6,2022加强自身建设，增强个人的休养。2022年10月6日上午12时20分22.10.622.10.6扩展市场，开发未来，实现现在。2022年10月6日星期四上午12时20分53秒0:20:5322.10.6做专业的企业，做专业的事情，让自己专业起来。2022年10月上午12时20分22.10.60:20October 6,2022时间是人类发展的空间。2022年10月6日星期四0时20分53秒0:20:536 October 2022科学，你是国力的灵魂；同时又是社会发展的标志。上午12时20分53秒上午12时20分0:20:5322.10.6每天都是美好的一天，新的一天开启。22.10.622.10.60:200:20:530:20:53Oct-22人生不是自发的自我发展，而是一长串机缘。事件和决定，这些机缘、事件和决定在它们实现的当时是取决于我们的意志的。2022年10月6日星期四0时20分53秒Thursday,October 06,2022感情上的亲密，发展友谊；钱财上的亲密，破坏友谊。22.10.62022年10月6日星期四0时20分53秒22.10.6谢谢大家！谢谢大家！