威胁情报是组织抵御不断发展的网络威胁景观的重要组成部分。入侵检测和防御系统 (IPS) 可以从外部来源获得威胁情报,以提高其检测和阻止恶意活动的效率。
IPS 如何从外部来源收集威胁情报
- 威胁情报平台:订阅商业威胁情报平台,可提供有关各种威胁、漏洞和恶意软件的实时信息。
- 信息共享组织:加入行业信息共享组织,如计算机应急响应小组 (CERT),以获得有关近期威胁和安全事件的警报。
- 安全研究人员:与研究人员建立联系,研究最新漏洞、恶意软件和攻击技术。
- 开放式安全事件和响应 (OSINT):通过公开可用的来源(例如社交媒体、新闻和博客)收集有关威胁的信息。
威胁情报共享的优势
- 提高威胁检测率:外部威胁情报提供最新的信息,使 IPS 能够检测到以前未知或新出现的威胁。
- 缩短响应时间:通过掌握威胁情报,IPS 可以快速响应安全事件,限制其影响。
- 加强安全决策:威胁情报有助于决策者了解当前威胁形势并做出明智的安全投资。
- 改善风险管理:通过洞察威胁情报,组织可以识别和优先考虑网络风险,并实施适当的缓解措施。
- 提高网络弹性:威胁情报共享有助于组织发展针对网络威胁的弹性,增强其恢复和适应能力。
实施威胁情报共享
- 明确目标:
新型、持续性、高级威胁威胁情报体系实战案例解析
一、背景1. 威胁情报库建设的背景和需求随着互联网的迅速发展,网络环境变得日益复杂,各类攻击行为趋向产业化、团伙化,攻击手法也更加多样化和复杂。
传统的防御策略难以在面对不断涌现的新型、持续性、高级威胁时做到及时有效的检测、拦截和分析。
安全攻防模式从以漏洞为中心的传统策略,逐渐向主动型、以情报为中心的模式转变。
金融行业,由于其业务的特性,容易受到诸如虚假注册、批量绑卡、恶意刷单刷券等恶意行为的影响,需要高质量的情报数据来支持风险防控。
2. 现有威胁情报库威胁情报库的数据来源主要包括内部情报、专业机构和行业联盟。
内部情报来源于传统安全设备的拦截、后台SIEM等安全分析系统的分析以及业务风控系统的发现。
专业机构提供多源情报,根据各自的专业特点进行互补。
行业联盟的威胁情报共享正在研究探索中。
这三类数据聚合后形成本地库,通过处理最终反馈给应用层,推送给后台应用、防御设备或人工调用。
高质量的情报数据有助于及时察觉黑客或恶意攻击者的战术、方法、行为模式,预防和处理各类网络风险安全事件,同时为风险防控提供有力支持。
二、研究目标在威胁情报的应用过程中,面临情报合法有序共享、私有情报生产等挑战。
为解决这些问题,研究了情报共享技术和全流量威胁狩猎。
三、情报共享技术研究1. 情报上传下达的基本逻辑在现有情报库部署情报管理平台,各分支机构部署分支情报管理平台,核心平台向各分支推送情报,各分支私有情报自动上报核心平台,核心平台控制私有情报二次分发。
核心平台和下游情报管理平台构成整体方案,分别负责情报接收、分发、汇报、录入和分析。
对于有私有情报平台的机构,采用行业标准进行情报交换。
2. 情报完整流转流程从内部日志、行业情报和联盟数据中生成、筛选情报,并从云端拉取社区情报和定期更新。
开启协同研判功能后,情报库自动拉取附加信息并与本地情报合并,形成完整威胁情报。
本地情报可查看、删除、导出和应用到第三方系统。
协同研判形成攻击者画像数据库,实现情报全貌的综合评估和共享。
3. 技术的重点和难点重点在于构建24*7全自动的多机构情报共享和消费机制,解决情报冲突和误报问题,以及归一化安全设备日志格式问题。
四、全流量威胁狩猎1. 威胁狩猎的定义和流程威胁狩猎是基于威胁情报的自我查验过程,包括获取攻击特征、线索,利用情报进行旁路流量检测、系统日志检测或主机行为检测,挖掘攻击行为或失陷主机。
效果依赖于情报的准确性、及时性和多样性。
2. 技术重点和难点重点是获取准确、及时和多样化的威胁情报,自动化筛查线索转化为情报,以及将情报应用于不同安全产品的联动。
3. 全流量威胁狩猎技术通过集成多种技术,构建威胁检测分析、线索提取、攻击者画像与溯源分析、威胁阻断响应等完整闭环解决方案,实现以威胁情报驱动的安全防护能力。
五、研究的产出和意义1. 安全建设保障延续性通过增强情报管理平台和威胁检测平台的能力,确保安全建设的连续性和适应性,与新技术无缝衔接。
2. 增加全网威胁可见性增强流量覆盖度和检测能力,提升对内网威胁和全攻击过程的可见性。
3. 行业情报共享,增强响应能力提高情报整合能力,提供批量接入挖掘情报的接口,建设与安全设备联动的能力,基于威胁情报进行自动化响应。
4. 推动网络安全威胁情报共享体系建设精准定位攻击全过程,提升情报挖掘能力,为未来实践应用奠定基础。
应对不断变化的威胁环境,微步OneSEC的破解之道
2013年,Gartner首次提出终端威胁检测与响应(EDR)概念。
EDR记录和存储端点系统等级行为,通过多种数据分析技术检测可疑行为,提供关联信息,阻断恶意行为,为受影响系统提供修复建议。
部分国内安全厂商将杀毒软件包装成EDR,导致用户难以区分两者差异,误以为EDR是高级版杀毒软件,严重扰乱终端安全市场。
实际上,杀毒软件和EDR在防御方式、功能和技术路线上有明显区别。
在防御方式上,杀毒软件是被动防御,EDR是主动防御。
在功能上,杀毒软件通过识别已知恶意文件阻止感染,EDR无法查杀恶意文件,但能发现绕过杀毒的恶意文件行为。
EDR不能在恶意行为执行前防护,但能检测攻击者的攻击动作,帮助快速响应攻击事件。
此外,EDR不是桌面管理,无法管控员工软件、网络访问和外设使用,但能发现员工不合规操作带来的安全威胁。
EDR不能零信任和准入,无法验证身份并实现接入控制,但能作为持续的终端安全验证引擎,增强零信任策略控制。
EDR不能完全自动化,但能提高日常安全运营效率。
在技术路线上,EDR不同于传统杀毒软件。
杀毒软件具备病毒识别、实时监控和防御、系统资源占用控制、自我保护和反卸载等关键能力。
而EDR解决方案需要具备检测安全事件、遏制威胁、调查安全事件、提供修复指导四个关键能力,全面应对终端威胁。
与传统终端安全相比,EDR带来计算方式变化,从PC端转移到服务端,安全运营变化,从防御转为检测与响应。
EDR技术提升终端安全,有效应对各类终端威胁,保护企业业务连续性,降低运维成本和复杂性,提高安全性和隐私保护。
EDR产品能力与技术挑战分析,EDR作为传统安全防护产品的重要补充,凭借对终端安全信息的持续监测与分析,受到全球技术提供商及买家的广泛关注。
据Mordor Intelligence预测,2025年EDR市场规模将达到42.35亿美元,年复合增长率为22.97%,成为终端安全市场规模持续增长的重要驱动力。
随着网络攻击和恶意软件增多,企业对终端安全需求提高,越来越多企业开始采用EDR产品提升终端安全能力。
选型时,企业需根据自身需求和实际情况综合评估,考虑EDR产品的多个关键能力,包括行为采集、威胁检测、溯源分析、事件响应。
具体而言,行为采集包括采集事件的类型、采集技术的种类,以及采集带来的网络带宽压力;威胁检测包含检测的准确度和覆盖度;溯源分析包括溯源到进程的源头、执行的源头和事件的源头;事件响应涉及响应动作的丰富性,可进一步调查到事件源头。
在行为采集方面,采集是后续检测、分析能力的重要基础。
一方面,从事件采集的类型来看,只靠基础行为事件是远远不够的,要随攻防不断调整事件采集类型。
另一方面,从采集采用的技术来看,单纯基于ETW、API Hook技术会带来不稳定、丢失、绕过多种风险。
最后,网络带宽压力是极大限制EDR应用的重要因素,特别是在网络带宽受限的环境。
威胁检测的技术挑战包括两个方面,检测的覆盖度考验的是对攻防和实战的深度认知和持续跟进;检测的准确度是EDR检测中最难的部分,是流量检测中不曾遇到的挑战。
黄雅芳认为,“在溯源分析方面,一般来说溯源到进程源头和执行源头还比较容易,而溯源到事件源头,涉及到跨机器间的执行链的关联却是一个非常难的课题。
”在事件响应方面,响应动作不是简单的隔离机器和进程,面对复杂威胁,通常还需要进一步调查取证。
微步OneSEC有效应对新型高级威胁,成立于2015年的微步在线,是数字时代网络安全技术创新型企业,以守护数字世界的安全为使命,致力于成为全球顶级的能力型网络安全公司。
黄雅芳表示,“对于微步而言,我们并不想做整个终端安全市场,而是想要覆盖其中的EDR领域,用更强的能力去补齐杀毒软件的部分客户。
”作为一款专业的EDR产品,OneSEC可有效应对僵木蠕常见网络威胁和钓鱼、勒索、挖矿与APT等新型威胁攻击,并提供了SaaS和本地化两种部署模式,实现政企办公网络从风险发现、事前预防、事中检测响应、事后溯源处置的一体化安全闭环。
OneSEC具备以下技术优势:● 更全面的终端事件采集能力一方面,除了采集基础的事件之外,OneSEC还可以采集凭借窃取、横向移动、自启位置等行为事件。
另一方面,OneSEC组合运用关联器、快照分析、智能过滤等采集技术,具备更强的采集能力。
● 更全面的威胁检测能力在服务端,OneSEC提供非常全面的威胁检测技术,基于各种最新的、花样繁多的威胁情报IoC、百亿hash云查、僵木蠕IoA和图检测规则,调用云端算力,进行大数据分析和筛查。
黄雅芳强调到,“威胁情报是微步的看家能力之一,可以做到百万级别、秒级更新,准确率高达99.9%,让各种高级威胁难以遁形。
”● 更完善的溯源和响应能力在溯源上,传统的安全产品只能做到中间进程链的追溯,而OneSEC具备追溯到执行源头的串链能力,能够把左右两边的链条补齐。
同时,OneSEC提供序列化、智能化、自动化的响应能力,而且响应体系在不断更新迭代。
OneSEC的背后,有更专业的团队在云端及时分析和响应。
据黄雅芳介绍,“微步拥有一支由一线运营专家、样本分析专家、hunting专家组成的专业安全服务团队,在云端实时帮助客户进行人工研判、处置特殊的事件和威胁。
”● SaaS化灵活的部署模式对于支持SaaS化部署的客户来说,微步OneSEC提供更低的成本+更好的效果+更强的服务+更低的风险。
黄雅芳指出,“OneSEC并不会传输敏感数据,且云端有充分的安全保障机制,云化后带来更强、更及时的能力,以及更低的成本。
当前测试的超过5000点的超大规模的金融企业都选择了SaaS模式,说明客户对SaaS的认可和接受度在不断提升。
”如今,微步OneSEC可以满足新型威胁防护、攻防演练、混合办公、APT防护四大场景需求,已广泛应用于证券、银行、基金期货、央企、物流、互联网等行业领域。
未来,微步将继续专注技术的锤炼,不断推出更具创新性的前沿产品,为数字时代的发展保驾护航。
15个顶级开源威胁情报工具
在数字时代,企业和个人的数字资产在互联网上暴露越来越多,这使得开源威胁情报在网络安全技术中的作用日益凸显。
随着威胁情报在网络安全技术堆栈中的重要性和集成度不断提高,对OSINT(开源威胁情报)工具的需求也在持续增长。
在攻防斗争中,OSINT工具成为不可或缺的元素,对于企业而言,它们有助于发现可能被攻击者利用的信息,从而在攻击链的各个阶段发挥关键作用。
以下是2023年最流行的15个顶级OSINT开源威胁情报工具,供网络安全专业人士学习研究使用,请勿滥用并遵守国家相关法律。
1. Mitaka:Mitaka是一款Chrome扩展程序和Firefox插件,能从网络浏览器中调用大量搜索引擎,获取IP地址、域、URL、哈希值、ASN、比特币钱包地址以及各种危害指标(IOC)。
/ninoseki/mit…2. Sherlock:作为最受欢迎的OSINT工具,Sherlock能收集社交媒体账户信息,对记者和安全研究人员特别有用。
它能与Maltego或FOCA等其他工具结合,收集有关个人兴趣或社区内联系的其他信息。
/sherlock-pro…3. Spiderfoot:Spiderfoot是一款免费的OSINT侦察工具,能与多个数据源集成,收集和分析IP地址、CIDR范围、域和子域、ASN、电子邮件地址、电话号码、姓名和用户名、BTC地址等信息。
/smicallef/sp…4. Spyse:Spyse是网络安全专业人士的“最完整的互联网资产注册中心”,能收集网站、网站所有者、相关服务器和物联网设备上的公开数据,并分析这些数据,发现安全风险以及实体间的关联。
/5. BuiltWith:BuiltWith能帮助您找到流行网站的构建方式,检测网站CMS是否使用了WordPress、Joomla或Drupal,并提供详细信息。
将其与WPScan等网站安全扫描仪结合,发现网站的安全漏洞。
/6. IntelligenceX:IntelligenceX是一个档案服务和搜索引擎,保留网页的历史版本和整个泄露的数据集,无论数据集的性质或法律原因如何。
/7. 是一个免费搜索引擎,提供用于自动搜索的免费API,无需访问版本或使用Tor,只需从常规网络浏览器访问即可搜索暗网。
8. 是一个高效的搜索引擎,能在50万个git存储库中搜索与IOC、易受攻击的代码或恶意软件相关的字符串。
9. Recon-ng:Recon-ng是一款用Python编写的自动化OSINT/侦察工具,能执行耗时的侦察活动,节省时间。
/lanmaster53/…10. theHarvester:theHarvester是一款易于使用的侦察工具,使用流行搜索引擎和鲜为人知的搜索引擎,收集电子邮件、姓名、子域、IP和URL等信息。
/laramies/the…11. Shodan:Shodan是一款流行的专用搜索引擎,用于查找物联网设备的情报,无法用常规搜索引擎检索,但无处不在。
/12. Metagoofil:Metagoofil是一款免费的OSINT文档调查工具,优化从公共文档中提取元数据。
/laramies/met…13. SearchCode:SearchCode是一个专业搜索引擎,在源代码中寻找有用的情报,帮助发现敏感信息相关的问题。
/14. BabelX:BabelX是BabelStreet的多语言搜索工具,搜索200多种语言的博客、社交媒体、留言板和新闻网站等,也能搜索暗网和深网络内容。
/15. Maltego:Maltego能发现人、公司、域名和互联网公开信息之间的关系,并将检索到的信息绘制成图表,帮助企业网络安全人士在恶意行为者采取行动之前保护或隐藏暴露信息。
/
