網(wǎng)絡(luò)安全與自動化威脅情報(bào)共享優(yōu)秀做法
許多組織選擇通過多種方式共享網(wǎng)絡(luò)威脅情報(bào)(Cyber Threat Intelligence, CTI)訂閱各種信息源,其中包括妥協(xié)指標(biāo)方案(Indicators of Compromise, IOC)。在當(dāng)前市場上,威脅情報(bào)最普遍的使用場景是利用IOC情報(bào)(Indicators of Compromise, IOC)進(jìn)行日志檢測來發(fā)現(xiàn)內(nèi)部重要風(fēng)險。這種方式可以發(fā)現(xiàn)傳統(tǒng)安全產(chǎn)品無法發(fā)現(xiàn)的很多威脅,并且因?yàn)檫@其中大多是已經(jīng)被成功攻擊的操作,所以“亡羊補(bǔ)牢”對于安全運(yùn)營仍會有較大的幫助。
IOC信息通常通過信息共享和分析中心或組織(Information Sharing and Analysis Center or Organization, ISAC/ISAO)來傳播。在這些信息流中尋找可操作、實(shí)用的IOC是一個重大挑戰(zhàn),只有實(shí)用的IOC才能為網(wǎng)絡(luò)防御提供實(shí)質(zhì)性的好處,然而即使是實(shí)用的IOC中大部分也通常在未使用或丟失直到不再有價值時才使用,此時網(wǎng)絡(luò)攻擊者往往會迅速停止使用特定IOC。
通過多項(xiàng)研究和試點(diǎn)工作,約翰·霍普金斯大學(xué)申請的應(yīng)用物理實(shí)驗(yàn)室(Applied Physics Laboratory, APL)已成功部署威脅源,可在幾分鐘內(nèi)收集、提取、識別可操作的IOC,并將其共享給共享組織,如ISAC或ISAO,該方法被稱為基于“無悔”策略的方法。
“無悔”策略的使用能夠提取運(yùn)營成本中目前被網(wǎng)絡(luò)防御行動忽視的許多CTI的價值。它不是一個靈丹妙藥,它不會捕獲從CTI的積極分析中得出的見解,但它可以提供社區(qū)成員可在其安全操作中使用的可操作數(shù)據(jù),以破壞針對其網(wǎng)絡(luò)的惡意活動。簡而言之, “無悔”策略的價值之處在于低影響下的自動處理,因此對實(shí)時性支持較好,有利于威脅的快速發(fā)現(xiàn)與響應(yīng)。