威脅情報(bào)的價(jià)值在于,可使企業(yè)安全領(lǐng)先黑客一步,甚至是多步。
網(wǎng)絡(luò)安全是一項(xiàng)艱難的事業(yè)。每天,企業(yè)都要面臨來自全球各地黑客的猛攻。身為一名網(wǎng)絡(luò)安全從業(yè)人員,我們的任務(wù)不僅僅需要實(shí)時(shí)對抗這些攻擊,還要在事發(fā)前緩解以預(yù)防威脅。而這就需要威脅情報(bào)。
無論選擇哪種類型的威脅情報(bào),總有那么一些良好實(shí)踐可以遵循。甚至網(wǎng)上有一些免費(fèi)可得的開源信息,可幫助企業(yè)預(yù)測并準(zhǔn)備好應(yīng)對未來的攻擊。Recorded Future 公司的情報(bào)及策略副總裁,李維·甘德特,帶來以下7條威脅情報(bào)通用規(guī)則。無論我們是否采用威脅情報(bào)平臺(tái),或者采用哪種平臺(tái),這都是我們應(yīng)該做到的守則。
守則#1:谷歌一下
谷歌也許搜索不了深網(wǎng)或暗網(wǎng),但其用處依然超乎想象之外。我們每天都在用谷歌,網(wǎng)絡(luò)安全上自然也不應(yīng)例外。每天都有無數(shù)閑話和情報(bào)產(chǎn)生,我們可以從中獲取有用的東西。畢竟,大多數(shù)數(shù)據(jù)都產(chǎn)生自網(wǎng)上。你甚至可能會(huì)被僅使用公開Web搜索引擎就能保持領(lǐng)先的程度所驚到。用公開引擎替代專用威脅情報(bào)供應(yīng)商是不現(xiàn)實(shí)的,但用用又沒什么壞處不是?
守則#2:汲取別人的經(jīng)驗(yàn)教訓(xùn)
顯然,我們已經(jīng)踏入了攻擊和數(shù)據(jù)泄露的未知領(lǐng)域。不過,此類活動(dòng)激增的正面信息是:它給了我們極好的機(jī)會(huì)從別人的案例中學(xué)習(xí)如何更好地應(yīng)對威脅。網(wǎng)絡(luò)安全當(dāng)前顯然正處于其“狂野西部”階段,我們能從別的攻擊和黑客活動(dòng)中學(xué)到越多,我們自身的準(zhǔn)備度就越高。
不僅僅要知道哪個(gè)企業(yè)又遭了數(shù)據(jù)泄露,還要知道細(xì)節(jié)。怎么發(fā)生的?第一條線索什么時(shí)候出現(xiàn)的?攻擊者如何進(jìn)入網(wǎng)絡(luò)的?你對當(dāng)前攻擊所知越深入,你的團(tuán)隊(duì)對未來攻擊的準(zhǔn)備就越充分。
守則#3:查看Pastebin和GitHub
Pastebin和GitHub是很多安全團(tuán)隊(duì)的痛點(diǎn)。個(gè)人信息、口令,以及其他敏感信息經(jīng)常在Pastebin上出現(xiàn),畢竟人家是全球最流行文本共享網(wǎng)站之一嘛。
GitHub,作為全球最大代碼倉庫,也有其自身的問題。任何人都可以頻繁上傳源代碼,其中就可能包括有盜來的專利數(shù)據(jù),或者用來對你的系統(tǒng)進(jìn)行漏洞利用的代碼。監(jiān)視這兩個(gè)網(wǎng)站,這樣你就能夠采取合適的行動(dòng)了。
守則#4:關(guān)注黑客聊天
很多大型攻擊或數(shù)據(jù)泄露都是“說”出來的,事發(fā)前就多有討論。比如,TalkTalk在2015年的重大數(shù)據(jù)泄露就有一大堆關(guān)于如何執(zhí)行攻擊的聊天討論。其中一些聊天甚至就在公網(wǎng)上;一些則隱身深網(wǎng)和暗網(wǎng)。無論哪種方式,對黑客組織聊天內(nèi)容投以關(guān)注,會(huì)讓你的團(tuán)隊(duì)保持警惕,并對潛在安全問題準(zhǔn)備的更為充分的。
守則#5:IOC是我們的朋友
團(tuán)隊(duì)?wèi)?yīng)該總是重視攻擊指標(biāo)(IOC)。 地理上的異常、陌生的IP地址、異?;顒?dòng)或流量高峰,都意味著攻擊的進(jìn)行或數(shù)據(jù)泄露的發(fā)生。
人工處理或許一定程度上有效,但為跟上攻擊的廣度和深度,最好還是利用威脅情報(bào)提供商。有些提供商能夠利用機(jī)器學(xué)習(xí)來實(shí)時(shí)標(biāo)記事件,這就是阻斷攻擊進(jìn)程和只能在事后清理的差別所在。
守則#6:知道自己的TTP
以攻擊者的思維看問題;我們的網(wǎng)絡(luò)弱點(diǎn)在哪兒?頂級(jí)攻擊路線是什么?先自己把這些給分析清楚了,然后再找找對手的戰(zhàn)術(shù)、技術(shù)和規(guī)程(TTP)。鑒于這些信息中很多都可以在網(wǎng)上免費(fèi)找到,團(tuán)隊(duì)就能探知潛在攻擊者的想法。通過對所有噩夢中的“假設(shè)”場景做好準(zhǔn)備,大家晚上也能睡得更安心些,更有效地勝任工作。
守則#7:清楚任何事都有可能發(fā)生
攸關(guān)公司安全威脅,團(tuán)隊(duì)靈活性和開放思維尤其重要。雖然很多攻擊者會(huì)用相似的模式和TTP進(jìn)行攻擊,有些卻不會(huì)。好的經(jīng)驗(yàn)法則是:不排除任何可能性!只要沒有經(jīng)過恰當(dāng)?shù)恼{(diào)查,無論多么異想天開的可能性都不排除。