网络安全系统中的守护者:如何借助威胁情报 (TI) 提高安全性

这篇具有很好参考价值的文章主要介绍了网络安全系统中的守护者:如何借助威胁情报 (TI) 提高安全性。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

在这篇哈巴尔网站上的推文中,我们将解释 TI 缩写背后的含义、为什么需要它、Positive Technologies 收集哪些网络威胁数据以及如何帮助企业预防网络威胁。我们将以四种情况为例,说明公司如何使用 PT Threat Intelligence Feeds 来发现恶意活动并预防攻击。

什么是 TI

当公司建立防御系统时,该系统就像一座堡垒。堡垒有保护它的围墙,有允许任何人进入的大门,也有将不速之客拒之门外的大门。瞭望塔是堡垒的重要组成部分。建造瞭望塔是为了在敌人靠近时发出预警。甚至在攻击开始之前,就可以从瞭望塔上预先知道敌方是谁,从哪儿来,计划用何类武器攻击。在信息安全系统中,这样的“瞭望塔”就是威胁情报 (threat intelligence) 的数据和利用这些数据的工具。

Threat intelligence (TI) 是描述现有或潜在网络威胁的信息。这类数据可以多种形式存在:从详细描述攻击者动机、基础设施、战术和技术的报告,到观察与网络威胁相关的特定 IP 地址、域、文件和其他人为产物。

网络威胁的形势不断变化——新的黑客组织不断涌现,新的漏洞定期被发现,攻击者正在从零开始编写或修改现有的恶意软件。跟踪这些变化,尤其是考虑到行业的特殊性,这是一项复杂的任务,需要安全运营中心 (SOC) 团队投入大量资源。

遗憾的是,尽管网络攻击(包括有针对性的攻击),的数量不断增加,但信息安全工具缺乏对当前信息安全威胁的了解,因此无法及时发现这些威胁。此外,公司本身也并非总能有效应对意外事件。 

根据最新的《Devo SOC 性能报告》,26% 的公司表示,分析师要处理的警报太多,使安全运营中心 (SOC) 的工作变得苦不堪言。此外,29% 的受访企业表示无法招聘和留住技术熟练的专业人员,这一因素也致使企业难以快速发现和应对网络威胁。此外,我们的实践经验表明,专家需要花费大量时间来评估威胁的危险性并确定响应任务的优先级——即使成功发现网络隐患事件,他们也可能需要花费几分钟到几个小时的时间来查明威胁:谁攻击了公司、攻击的目的是什么以及攻击者可能采取的进一步措施。

利用 threat intelligence 数据,企业可以加快与事件风险评估和优先级安排有关的流程,并快速识别误报,及早发现攻击。

Positive Technologies 收集哪些网络威胁数据

很多公司尝试使用有关网络威胁的开放信息源,但面临此类数据质量低劣的问题。更糟糕的是,开放源码不定期更新数据、缺乏补充背景的信息,而且包含许多假阳性破坏指标,这只会使威胁管理过程更加复杂。结果显示,安全运营中心 (SOC) 团队非但没有减少工作量,反而要额外耗时来清理这些数据。

我们不断收集和分析网络威胁,然后以数据流的形式发布结果,其中包含破坏指标(信息源)。它们集成到公司的监管和信息保护系统中,为公司提供快速发现危险活动所需的背景信息,从而提高工作效率。破坏指标有助于安全运营中心 (SOC) 团队及时预防与已知攻击相关的网络事件。 

很多人可能想知道,我们从何处获取以及如何处理这些数据以用于信息源?处理网络威胁数据首先要从各种来源的文件开始。这些来源包括收集和检查文件是否为恶意软件的在线服务,以及开发和销售恶意软件的专业黑客论坛。PT Threat Intelligence Feeds 的主要特点是基于我们专家安全中心 (PT Expert Security Center专家们积累的威胁情报。这些数据来自对真实攻击的调查和对全球黑客组织(包括 APT 组织)活动的研究。此外,我们的专家还跟踪针对具体行业公司的特定威胁。 

上一步收集的文件会被发送至处理器,在处理器中被分成两个文件流。PT Sandbox 会动态分析第一个文件流中的文件。第二个文件流在静态模式下进行自动化分析。它由我们的 threat intelligence 团队开发,专门处理文件并从中提取有用信息。然后将分析结果进行混合并进入一个专门的系统,该系统会对收到的信息进行预处理和酌量。系统随后生成数据片段,即信息源。所有破坏指标都要经过误报检查和算法验证,因此信息源中数据的质量很高。

网络安全系统中的守护者:如何借助威胁情报 (TI) 提高安全性,Positive Technologies,网络安全 ,漏洞,web安全,安全,microsoft,人工智能,网络安全

PT Threat Intelligence Feeds 的数据处理流程图 

Positive Technologies 破坏指标数据库包含 IP 地址、URL、域和文件哈希值。

网络安全系统中的守护者:如何借助威胁情报 (TI) 提高安全性,Positive Technologies,网络安全 ,漏洞,web安全,安全,microsoft,人工智能,网络安全

指标数据库中已处理数据的平均数 

Positive Technologies 数据库包含近百个黑客组织和 800 多个恶意软件系列的破坏指标。此外,我们还确定了 IP 地址的地理位置。注意:这些数据不能用于确定来自某个国家的威胁等级。

网络安全系统中的守护者:如何借助威胁情报 (TI) 提高安全性,Positive Technologies,网络安全 ,漏洞,web安全,安全,microsoft,人工智能,网络安全

十大黑客组织 

网络安全系统中的守护者:如何借助威胁情报 (TI) 提高安全性,Positive Technologies,网络安全 ,漏洞,web安全,安全,microsoft,人工智能,网络安全

当前十大恶意软件系列  

网络安全系统中的守护者:如何借助威胁情报 (TI) 提高安全性,Positive Technologies,网络安全 ,漏洞,web安全,安全,microsoft,人工智能,网络安全

独特的 Positive Technologies 指标数据库统计 

信息源的用途

要使关于网络威胁的数据为公司带来最大利益,对其来说拥有破坏指标的背景是非常重要的。因此,除指标外,信息源还应包括各种信息,以帮助了解具体组织所面临威胁的背景。我们的数据库包含不同的信息源(及其集合),具体取决于公司的需求、规模和所在行业,目前共有 40 多个信息源。例如,我们可以收集与当前针对性威胁有关的侧面信息或包含 sinkhole 节点 IP 地址的信息源。 

信息源的内容多样。让我们通过具体实例了解信息源中的数据构成。

网络安全系统中的守护者:如何借助威胁情报 (TI) 提高安全性,Positive Technologies,网络安全 ,漏洞,web安全,安全,microsoft,人工智能,网络安全

包含与针对性网络威胁相关的破坏指标的信息源构成

信息源中包括指向其他对象的链接、重要性评级和标签。在我们看来,后者是最有用的,因为它们存储了大量背景信息,可供分析人员自由解读。在信息充实时,我们会收集外部数据。标签既可以由我们手动添加,也可以由外部系统添加。 

网络安全系统中的守护者:如何借助威胁情报 (TI) 提高安全性,Positive Technologies,网络安全 ,漏洞,web安全,安全,microsoft,人工智能,网络安全 

包含上个月仍活跃的恶意软件系列指标的信息源构成

网络安全系统中的守护者:如何借助威胁情报 (TI) 提高安全性,Positive Technologies,网络安全 ,漏洞,web安全,安全,microsoft,人工智能,网络安全

包含活跃恶意软件活动指标的信息源构成

网络安全系统中的守护者:如何借助威胁情报 (TI) 提高安全性,Positive Technologies,网络安全 ,漏洞,web安全,安全,microsoft,人工智能,网络安全 

包含 IP 地址的信息源

网络安全系统中的守护者:如何借助威胁情报 (TI) 提高安全性,Positive Technologies,网络安全 ,漏洞,web安全,安全,microsoft,人工智能,网络安全 

包含由 GeoIP 分配的 IP 地址的信息源 

事实上,信息源中的内容远比截图上的内容要多。我们只展示了一些片段。用户可以自行选择他们想要包含的数据。

目前,我们已编制包括以下内容的信息源:

  • 域、文件哈希值、URL 和 IP 地址的白名单;
  • 中等威胁级别的域、文件哈希值、URL 和 IP 地址列表;
  • CDN IP 地址;
  • 恶意的域、URL 和 IP 地址的下载;
  • 以前在网络攻击中使用过的域名、URL 和 IP 地址。

今后,我们计划在信息源中添加新的数据,特别是根据 MITRE ATT&CK 矩阵提供的有关攻击者的战术、技术和方法的信息,这将有助于安全运营中心 (SOC) 团队根据黑客所处的攻击阶段选择正确的应对措施。顺便说一下,为了让信息安全专家可以更容易地理解攻击者的行动和调查事件,我们已将 MITRE ATT&CK 矩阵翻译成俄语,并以交互式形式发布。请将其保存至您的网页书签,以便随时查阅!

使用包含破坏指标的数据流的情景

网络威胁数据的使用场景有很多:可以将信息源上传到 SIEM 系统(这可以帮助发现对公司而言极其重要的使用破坏指标的信息安全事件),上传到其他安全工具(通过威胁数据丰富公司的信息安全系统并提高其有效性)或TI 平台(可以扩展公司现有的有关威胁的知识库并添加背景信息和独家数据)。 

让我们以 PT Threat Intelligence Feeds 为例,考虑可使用破坏指标数据的情景,它可以帮助安全专家快速发现企业网络上的危险活动并预防攻击。

网络安全系统中的守护者:如何借助威胁情报 (TI) 提高安全性,Positive Technologies,网络安全 ,漏洞,web安全,安全,microsoft,人工智能,网络安全

公司使用多种防御工具的复杂场景

  1. 网络流量分析 (network traffic analysis, NTA) 系统借助 activity feed 检测恶意活动。这些信息被传输至安全信息和事件管理(security information and event management, SIEM)系统。
  2. 在 SIEM 系统中,借助 severity feed 对事件进行优先级排序。事件卡片被传输至安全编排自动化与响应(security orchestration, automation and response, SOAR) 系统。
  3. 在 SOAR 平台上为端点威胁检测和响应 (endpoint detection and response, EDR) 系统创建任务,以查找端点上的相关破坏指标。
  4. 在端点检测与响应的介质上运行响应情景。

网络安全系统中的守护者:如何借助威胁情报 (TI) 提高安全性,Positive Technologies,网络安全 ,漏洞,web安全,安全,microsoft,人工智能,网络安全

内部攻击者实施攻击的情景

  1. TOR node feed 和 VPN feed 是用于发现与 TOR 资源和流量分析 VPN 系统交互企图的信息源。 
  2. TOR node feed 被用于阻止访问新一代的防火墙 (next-generation firewall, NGFW)。
  3. 内部攻击者试图从影子论坛安装恶意软件。
  4. 与 TOR 网络的交互被阻止。

网络安全系统中的守护者:如何借助威胁情报 (TI) 提高安全性,Positive Technologies,网络安全 ,漏洞,web安全,安全,microsoft,人工智能,网络安全

扩展数据采样的情景

1.在回顾性分析中,信息源用于搜索事件:

  • retrospective IPs feed——在 NetFlow 和国际电信联盟的日志文件中;
  • retrospective domains feed——在 NTA 和 DNS 日志文件中
  • retrospective hashes feed——在分析邮件附件或使用 EDR 扫描端点时。

2.检测到之前漏掉的网络钓鱼邮件。

3.从检索到的样本中识别出受损节点。

4.网络分析器提供的信息对受损节点进行了补充。

网络安全系统中的守护者:如何借助威胁情报 (TI) 提高安全性,Positive Technologies,网络安全 ,漏洞,web安全,安全,microsoft,人工智能,网络安全

主动防御的情景

  1. Phishing malicious domains/URLs/IPs 信息源用于预防最危险的攻击载体——网络钓鱼。
  2. Malicious class feed 用于对付最危险的恶意软件类别——加密程序。
  3. Malicious group feed 用于发现具体的活动群组(如 Cloud Atlas)的攻击。

总结

外部威胁情报可让您了解谁在以何种方式攻击您的业务。为了有效抵御网络攻击信息源必须是最新的并提供背景信息以帮助做出正确的应对决策。例如,PT Threat Intelligence Feeds 会定期更新,安全运营中心 (SOC) 团队可以关注最新的威胁,包括针对特定行业、地区或具体公司的威胁,并利用它们主动防御威胁。此外,数据处理应尽可能自动化,以减少专家分析威胁的时间。

在评论中分享您使用 threat intelligence 数据的经验。您取得了哪些成效?

 文章来源地址https://www.toymoban.com/news/detail-609044.html

 

 

 

 

 

到了这里,关于网络安全系统中的守护者:如何借助威胁情报 (TI) 提高安全性的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 【Java 进阶篇】Redis持久化之RDB:数据的安全守护者

    Redis,作为一款高性能的键值存储系统,支持多种持久化方式,其中RDB(Redis DataBase)是其最常用的一种。RDB可以将当前时刻的数据快照保存到磁盘,以便在Redis重启时快速恢复数据。本文将深入探讨RDB的原理、配置和实际应用,帮助初学者更好地理解和使用Redis的持久化机制

    2024年02月05日
    浏览(47)
  • 原子操作:并发编程的守护者

    并发编程的守护者在多线程或者并发编程中,我们经常需要处理一些共享资源,这时候就需要保证这些共享资源的操作是线程安全的。而原子操作就是一种能够保证线程安全的重要手段。本文将详细介绍原子操作的定义、重要性、实现原理以及应用场景。 原子操作可以被视为

    2024年01月16日
    浏览(39)
  • Eureka:微服务世界的守护者

    欢迎来到微服务架构的奥秘世界,在这里,Eureka 扮演着不可或缺的角色——它是微服务世界的守护者,就像是一个拥有超能力的导航系统。 Eureka 是 Netflix 开发的一种服务发现框架,它就像是微服务世界的目录。 在微服务架构中,服务之间需要相互知道对方的位置,Eureka 就

    2024年01月21日
    浏览(92)
  • RSA算法揭秘:加密世界的守护者

    RSA算法是由Ron Rivest、Adi Shamir和Leonard Adleman在1977年共同提出的。它是一种非对称加密算法,基于两个大素数的乘积难以分解的数论问题。RSA算法包括公钥和私钥,用于加密和解密数据,实现了安全的通信和数据传输。 首页 | 一个覆盖广泛主题工具的高效在线平台(amd794.com) h

    2024年03月20日
    浏览(50)
  • ZooKeeper初探:分布式世界的守护者

    欢迎来到我的博客,代码的世界里,每一行都是一个故事 在分布式系统的大舞台上,ZooKeeper如同一位悠扬的钢琴师,在这场音乐中谱写着各个节点的和谐旋律。本篇文章将带你进入这个神奇的音乐厅,解析ZooKeeper的基础知识,让你更加熟悉这位分布式系统的基石。 ZooKeeper 是

    2024年01月21日
    浏览(63)
  • SHA算法:数据完整性的守护者

    一、SHA算法的起源与演进 SHA(Secure Hash Algorithm)算法是一种哈希算法,最初由美国国家安全局(NSA)设计并由国家标准技术研究所(NIST)发布。SHA算法的目的是生成数据的哈希值,用于验证数据的完整性和真实性。最早的SHA-0版本于1993年发布,之后陆续发布了SHA-1、SHA-2和

    2024年03月09日
    浏览(57)
  • 解锁 ESLint 的秘密:代码质量的守护者(下)

    🤍 前端开发工程师(主业)、技术博主(副业)、已过CET6 🍨 阿珊和她的猫_CSDN个人主页 🕠 牛客高级专题作者、在牛客打造高质量专栏《前端面试必备》 🍚 蓝桥云课签约作者、已在蓝桥云课上架的前后端实战课程《Vue.js 和 Egg.js 开发企业级健康管理项目》、《带你从入

    2024年02月02日
    浏览(42)
  • 长城之上的无人机:文化遗产的守护者

    长城之上的无人机:文化遗产的守护者 在八达岭长城景区,两架无人机分别部署在了长城的南、北楼两点。根据当前的保护焦点和需求,制定了5条无人机综合巡查航线,以确保长城景区的所有开放区域都能得到有效监管。每天,无人机按照计划自动执行10次飞行任务。实时拍

    2024年02月04日
    浏览(39)
  • 解锁 ESLint 的秘密:代码质量的守护者(上)

    🤍 前端开发工程师(主业)、技术博主(副业)、已过CET6 🍨 阿珊和她的猫_CSDN个人主页 🕠 牛客高级专题作者、在牛客打造高质量专栏《前端面试必备》 🍚 蓝桥云课签约作者、已在蓝桥云课上架的前后端实战课程《Vue.js 和 Egg.js 开发企业级健康管理项目》、《带你从入

    2024年01月16日
    浏览(34)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包