技術乾貨|威脅情報如何在SOC場景中發揮最大價值
數字化轉型是當下企業面臨的重要課題。在數字化轉型過程中,每個企業都無法迴避來自網路攻擊的困擾。面對五花八門的安全風險,根據經驗構建防禦策略、部署產品的傳統方式已經難以抵抗。對此,利用威脅情報可以幫助企業及時調整防禦策略,提前預知攻擊的發生,從而實現較為精準的動態防禦。
而騰訊安全運營中心(SOC)作為給企業客戶提供統一安全管理的平臺,可以結合騰訊威脅情報資料,幫助雲上使用者實現事前安全預防,事中事件監測與威脅檢測,事後響應處置的一站式、視覺化、自動化的雲上安全運營管理。
在威脅情報應用越來越廣泛的背景下,如何讓威脅情報發揮最大價值也是每個企業的關注點。7月22日,騰訊安全威脅情報技術專家閤燕山做客產業安全公開課,以“威脅情報在SOC中運用的最佳實踐”為主題,從告警孵化、內網失陷分析、去誤報場景、溯源分析、主動防禦和專項情報六大實踐場景來解讀威脅情報的應用,並結合騰訊威脅情報和SOC協同配合的豐富實踐案例,分享最大化發揮威脅情報價值的方法論和操作經驗。
01
威脅情報多維度為安全裝置提供豐富資料
通俗地說,威脅情報是關於威脅的資訊,最大的價值在於可利用的網路安全大資料,用於發現威脅並指導企業行動以改善安全狀況。
威脅情報作為網路安全的核心能力,為各個產品進行賦能,提升安全能力。具體可以運用在WAF產品、SOC產品、防火牆等安全裝置上。在與這些平臺對接的過程中,威脅情報能夠從惡意檔案的HASH、主機特徵、網路特徵、事件特徵、組織、人員情報等六個維度為安全裝置提供資料。
(廣義威脅情報獲取維度)
相對於傳統的、單純依靠防火牆,或WAF、IDS等檢測單點裝置的安全部署方式而言,SOC作為安全運營中心,結合全網日誌、流量進行關聯檢測,生成相關告警。告警透過SOC的運維處理,產生安全策略,聯動FW、WAF等裝置進行阻斷或觀察,實現整網智慧聯動。
02
威脅情報在SOC六大實踐場景中的
深入應用
威脅情報在騰訊SOC的檢測和響應階段均有應用。檢測階段,結合流量及各類日誌資料,利用威脅情報進行實時及回溯分析;響應階段,利用運營類情報支撐告警研判和溯源。
威脅情報在騰訊SOC中的運用主要有以下六大實踐場景:
場景一:告警孵化
SOC收集各個閘道器以及端上的流量、日誌,並透過內建的規則生成客戶真正關心的告警。除了內建規則,SOC還內建騰訊威脅情報進行檢測。
告警孵化的過程可分為三個階段,首先從安全裝置上收集事件,然後進行內建規則與情報能力檢測,最後生成客戶所真正關心的告警。
威脅情報提供給SOC產品後如何使用呢?主要包含幾個維度,最直接的是情報會賦予每個IOC黑、白、灰屬性,黑的告警,白的放行。除了黑白灰的維度,還有一些其他資訊,如IP會有ASN資訊、地理位置、上下文資訊等,如果與APT組織有關聯,也會標註關聯以及TTPs手法。在域名上,維度會相對更廣一些,例如可瞭解註冊資訊、註冊時間、備案資訊等。
用於告警孵化實踐中的威脅情報,其更新頻率可達到日級別,平均生命週期在7天左右。
場景二:內網失陷分析
騰訊威脅情報根據場景不同分為入站情報和出站情報。在SOC進行事件分析的過程中,結合事件情報可以大致定位出內網失陷的主機。但情報只是其中一個維度,只根據這一個情報無法精確確定內網失陷,例如運維人員正常測試。因此,威脅情報還需要結合其他維度進行更加準確的分析。例如,結合SOC收集到的流量維度,分析出IP訪問的頻率和次數,如果是高頻的、多次的,則可判斷主機大機率已失陷,此時可聯動一些端裝置進行精準確認並查殺。
(SOC最佳實踐場景2--內網失陷分析)
場景三:去誤報場景
SOC收集到的流量十分豐富,面對巨大的流量與告警,客戶可能會眼花繚亂。此時威脅情報可以提供一系列白名單幫助客戶降低部分無效告警。IP維度例如:CDN、BGP、企業出口、真人機率、基站等;域名維度例如:可信IP反查、權威域名排行、PDNS高廣、人工運營等。
(SOC最佳實踐場景3--去誤報場景)
場景四:溯源分析
威脅情報提供多維度的IOC資訊,甚至攻擊者視角情報,用於對威脅進行舉證或溯源。
威脅情報不僅能夠提供一些基礎資訊,如IP上面地理位置、 ASN資訊、廣熱度、還能夠提供IP和域名上暴露的埠,以及埠上暴露的元件、IP反查域名等情況,還會有歷史上這個IP所發生的所有攻擊舉證和APT組織的關聯性,域名上的資訊相對會更豐富。
場景五:主動防禦
SOC作為一個安全運營中心,其資料來源主要是一些安全裝置。這些安全裝置對於SOC而言,是一種被動輸入,即輸入的是已經被安全裝置發現過的威脅。
在SOC中,威脅情報可以幫助使用者進行主動防禦。高階威脅情報、熱點事件、熱點漏洞均可作為輸入項,透過分析出病毒的網路特徵,並將這些維度的資料輸送到SOC,從而對安全裝置進行策略加固,達到有效阻斷。另外,根據事件提供的場景,威脅情報還能夠協助SOC在不同的裝置上進行不同的策略配置,建立該場景的監控引數及規則,開展響應動作。
由於大眾對熱點事件以及一些高危漏洞的關注度較高,所以其變化頻率也是較快的。從端上來看,SOC所結合的安全產品較容易驗證IOC的準確性和可靠性。一旦發生誤判,威脅情報可以及時開展響應動作,調整最佳化策略,從而達到更加精確主動防禦的目的。
(SOC最佳實踐場景5——主動防禦)
場景六:專項情報
威脅情報可以提供和客戶屬性相關的行業情報、本企業相關的定製情報,如:企業暴露面、最新漏洞情報、資訊洩露情報、黑灰產、DNS劫持、仿冒APP&網站等。
騰訊安全可以透過Web端、服務號、小程式等多點觸達的方式,將針對不同屬性客戶的安全資訊直接推送給客戶,並協助他們提前進行預判。
點選威脅情報在SOC中運用的最佳實踐,看威脅情報在SOC中運用的最佳實踐。
相關文章
- 如何讓CAD技術發揮的更有價值
- 從歐洲“超算”被黑事件,重新審視和思考威脅情報的價值事件
- 技術乾貨 | 反外掛技術的革新:如何有效應對 FPS 外掛的威脅
- 技術乾貨| 如何在MongoDB中輕鬆使用GridFS?MongoDB
- 綠盟科技入選Gartner全球威脅情報市場指南
- 騰訊安全威脅情報釋出會解讀:數字化時代,為何威脅情報如此重要?
- 乾貨:遊戲中“沙漠”場景的設計手法遊戲
- 安全沙箱技術如何在企業數字化中發揮作用?
- 技術乾貨收集
- 技術乾貨 | ToB 業務場景下自動化測試的實踐及探索
- 區塊鏈技術公司談BIS稱數字貨幣並沒威脅到金融市場區塊鏈
- 【新品上市】綠盟威脅情報平臺NTIP上市
- 技術的價值
- 網路安全威脅資訊格式規範正式釋出 國內威脅情報發展迎來新階段
- 乾貨版“測試小品”歡樂場景
- 【重磅】綠盟威脅情報中心(NTI)正式上線IPv6情報資料
- 阿里技術精華乾貨整理阿里
- 維塔士:希望發揮遊戲技術專長 探索更多數字化應用場景遊戲
- 從IT中獲得最大價值(轉)
- 技術創造價值
- 這家威脅情報公司想打敗Palantir和IBMIBM
- 如何發揮技術價值 - 脫離技術人員辦公室思維(開發人員天天座位上電腦前思維僵化)
- 乾貨 | 京東技術中臺的Flutter實踐之路Flutter
- 技術乾貨!聊聊介面設計中的動畫原理動畫
- 乾貨 | 移動安全管理多場景全解析
- 乾貨 | 4大安全防護措施助你搞定伺服器安全威脅伺服器
- 技術乾貨 | WebRTC 技術解析之 Android VDMWebAndroid
- 場景應用創造價值——2018京東集團技術十件大事
- 我眼中的價值幣——應用場景
- 防禦網路威脅UTM技術解密(圖示)解密
- 您的客戶是一個技術威脅嗎?
- 乾貨| 如何在自有App中引入小遊戲?APP遊戲
- [乾貨分享]1000篇乾貨好文!量子技術——資訊篇
- 零信任的技術價值
- 種草功能在電商app原始碼中發揮的作用和價值APP原始碼
- 技術乾貨丨如何在Docker環境下搭建測試管理平臺?Docker
- 發揮大資料價值的三種途徑大資料
- 技術乾貨:RabbitMQ面試題及答案MQ面試題