直擊RSAC 2022：如何綜合評估威脅情報指標

在2022年的RSAC上，威脅情報專家們表示:威脅情報指標由於其性質和目的可能被使用者們誤解，所以出現越來越多地聲音嘲笑情報指標（indicators）不足以用於防禦和分析威脅。在《Evaluating Indicators as Composite Objects》議題中，情報專家進一步探討了原子型威脅情報指標與複合型威脅情報指標的區別及應用挑戰。

什麼是威脅情報指標？

美國在2015年頒佈的《網路安全資訊共享法案（CISA）》中，將“網路威脅指標（Cyber Threat Indicator）”定義為“描述或識別威脅所必需的資訊，包括以下型別：

· 惡意偵察，包括為收集與網路安全威脅或安全漏洞相關的技術資訊而傳輸的異常通訊模式

· 挫敗安全控制或利用安全漏洞的方法

· 安全漏洞，包括似乎表明存在安全漏洞的異常活動

· 使使用者能夠合法訪問資訊系統或資訊系統儲存、處理或傳輸資訊以無意中實現安全控制或安全漏洞利用的方法

· 惡意網路命令和控制

· 事件造成的實際或潛在傷害，包括因特定網路安全威脅而洩露的資訊的描述

· 網路安全威脅的任何其他屬性，如果法律並不禁止披露該屬性

· 其任何組合(S.754102（7)）

美方STIX （結構化威脅資訊表示式）2.1標準中，將indicator定義為：一種可用於檢測可疑或惡意網路活動的模式。例如，一個Indicator可以用來表示一組惡意域名，並使用STIX模式語言來描述這些惡意域名的相關資訊。

Gigamon情報專家Joe Slowik在RSA大會中表示：理想的IoC應由以下3方面構成：

· 技術可觀察性指標（Technical Observable）通常包括網路上可觀察到的域名、URL、IP或主機活動中出現的檔案、程式等

· 可關聯至已知的惡意活動（Related to Known Malicious Activity）：IOC可提供豐富情報上下文資訊，並且可以直接應用於事件響應流程中

· 可分析溯源至歷史事件（Linked to Historical Event and Analysis）關聯“歷史事件”IOC可以為“未來”所用,並將安全防護活動中發揮重要作用

總體來說，失陷檢測情報（Indicator of Compromise）可以用來發現已成功入侵的事件，透過快速精準地識別被攻擊者控制的內部主機，支撐使用者及時響應，遏制危害繼續發展，最終控制實際損失。失陷檢測情報包括但不限於與遠控伺服器或惡意軟體下載相關聯的IP地址、域名和URL等。

不同型別的威脅情報指標特性

·原子型威脅指標（Indicators as Atomic Objects）：它是單一的，未經過多種技術手段富化情報的上下文。情報上下文的缺乏（例如，威脅指標關聯的攻擊團伙、惡意家族、具體的威脅型別、風險嚴重程度、攻擊者的遠控模式等）將導致威脅指標無法提供輔助安全運營團隊/情報分析團隊的決策。例如，當某一個IP只能反映出“這個IP不安全”，但不知道為什麼不安全，缺乏相應的情報證據，則這個IP就沒有更多情報分享與決策的意義。

·複合型威脅指標：需要在“打碎原子型Indicator”的基礎上，從多個維度對IOC進行分析。分析師從多角度技術研究找到它們所能反應的各類特徵時，需要考慮以下內容：

• “IoC是如何存在的”：攻擊者是如何使用這個IOC；

• “IoC被使用的方式”：攻擊者使用某些文件是作為攻擊誘餌或使用匿蹤IP等；

• “IoC反映了怎樣的攻擊行為”：該IOC背後對應的攻擊行為是APT定向攻擊還是勒索軟體/挖礦木馬/殭屍網路等：

• 如果已知IOC能幫助對未知的風險，或者最新的攻擊行為做出良好的事件響應，讓新發現的攻擊活動和已經有答案的攻擊行為聯絡起來，IOC真正作用才會充分發揮出來。

威脅指標的應用挑戰

現今的網路安全狀況是企業中存在大量的失陷主機，這些失陷主機被駭客遠端控制，進行特定目的的操控，如資訊竊取、檔案刪除、敲詐勒索、破壞性行為或特定應用的指令偽造等，對企業的智慧財產權、系統及資料安全甚至品牌聲譽都會造成巨大的影響。這些威脅是安全運營中需要最早發現並及時處置的，而組織在應用威脅指標以上問題時，需要留意以下挑戰：

· 分辨IoC背後是攻擊者本身的技術水平較高，還是攻擊者使用的惡意工具足夠複雜（例如攻擊者水平低，透過購買惡意軟體來進行攻擊）；

· 同一種惡意軟體被不同組織同時使用帶來的溯源困擾；

· “富化上下文”後的IOC存在一定程度的自身侷限性，單純使用它並不能解決所有問題。

360如何助力客戶應用IoC

360威脅情報中心是依託以雲端安全大腦為核心的數字安全能力體系，匯聚國內眾多資深情報專家、安全研究員和攻防專家，打造了業內領先的情報專家團隊和智慧化情報生產運營流程，整合360內部各個安全研究團隊的分析成果，建立了全天候情報感知體系。

·專業的情報運營與管理體系

360威脅情報中心結合360強大的安全大資料能力和多年攻防對抗經驗，可在雲端持續生產出在相關性、及時性、準確性、完整性、獨特性等方面具有明顯優勢的高質量情報。

360威脅情報中心雲端支援標準化匯聚、管理與下發：內外部18類情報物件（攻擊模式、攻擊組織團伙、攻擊者基礎設施、事件報告、樣本及分析報告、檢測指標、利用漏洞、處置及響應建議等物件），支援從APT攻擊到挖礦勒索事件以及黑灰產釣魚資訊竊取等50餘種惡意型別情報的分類，滿足不同場景的情報應用。

·豐富的情報上下文

區別於依賴國外採購資料的組織，360威脅情報核心來自於國內真實攻擊事件，與國內客戶相關性更強，並提供更合理、更精準的生命週期管理。基於360安全大腦成熟的協同機制，可以做到攻擊首次發生到情報推送的小時級運營，保障對最新威脅的檢測效果。

例如， 360 失陷檢測情報致力於實時發現組織內部的攻擊立足點，及時處置可以防止內部橫向滲透並控制實際損失。它提供豐富的上下文資訊包括：如威脅型別（APT攻擊、勒索軟體、挖礦軟體、竊密木馬、駭客工具、後門軟體及殭屍網路等）、惡意家族（上千種惡意家族，並關聯的惡意家族/攻擊團伙常見作業系統，如Windows，Linux，Android等）、攻擊團伙、攻擊影響、技戰術特點、傳播方式等，快速制定風險消除和事件響應策略。它適用於防禦類產品，透過高精度的情報阻斷攻擊者的控制通道，阻止入侵的進一步發展。

情報應用與重磅更新

目前，360 政企安全集團基於實戰化的威脅情報經驗，已服務政府、金融、能源、運營商、電力等行業的頭部客戶。隨之數字化環境威脅的複雜變化，360 威脅情報中心即將重磅推出 失陷威脅情報3.0版本，它不僅在之前豐富上下文的基礎上，提高了覆蓋的威脅數量，新增多維度的黑灰產相關情報。

未來，360政企安全集團將致力於把威脅情報能力以更加智慧化的方式服務於客戶和生態合作伙伴，助力整體提升我國應對數字時代高階威脅的安全能力。