技術乾貨|威脅情報如何在SOC場景中發揮最大價值

騰訊安全發表於2021-08-03

數字化轉型是當下企業面臨的重要課題。在數字化轉型過程中,每個企業都無法迴避來自網路攻擊的困擾。面對五花八門的安全風險,根據經驗構建防禦策略、部署產品的傳統方式已經難以抵抗。對此,利用威脅情報可以幫助企業及時調整防禦策略,提前預知攻擊的發生,從而實現較為精準的動態防禦。

 

而騰訊安全運營中心(SOC)作為給企業客戶提供統一安全管理的平臺,可以結合騰訊威脅情報資料,幫助雲上使用者實現事前安全預防,事中事件監測與威脅檢測,事後響應處置的一站式、視覺化、自動化的雲上安全運營管理。

 

在威脅情報應用越來越廣泛的背景下,如何讓威脅情報發揮最大價值也是每個企業的關注點。7月22日,騰訊安全威脅情報技術專家閤燕山做客產業安全公開課,以“威脅情報在SOC中運用的最佳實踐”為主題,從告警孵化、內網失陷分析、去誤報場景、溯源分析、主動防禦和專項情報六大實踐場景來解讀威脅情報的應用,並結合騰訊威脅情報和SOC協同配合的豐富實踐案例,分享最大化發揮威脅情報價值的方法論和操作經驗。


01

威脅情報多維度為安全裝置提供豐富資料

通俗地說,威脅情報是關於威脅的資訊,最大的價值在於可利用的網路安全大資料,用於發現威脅並指導企業行動以改善安全狀況。

 

威脅情報作為網路安全的核心能力,為各個產品進行賦能,提升安全能力。具體可以運用在WAF產品、SOC產品、防火牆等安全裝置上。在與這些平臺對接的過程中,威脅情報能夠從惡意檔案的HASH、主機特徵、網路特徵、事件特徵、組織、人員情報等六個維度為安全裝置提供資料。

 

技術乾貨|威脅情報如何在SOC場景中發揮最大價值

(廣義威脅情報獲取維度)

 

相對於傳統的、單純依靠防火牆,或WAF、IDS等檢測單點裝置的安全部署方式而言,SOC作為安全運營中心,結合全網日誌、流量進行關聯檢測,生成相關告警。告警透過SOC的運維處理,產生安全策略,聯動FW、WAF等裝置進行阻斷或觀察,實現整網智慧聯動。


02

威脅情報在SOC六大實踐場景中的

深入應用

 

威脅情報在騰訊SOC的檢測和響應階段均有應用。檢測階段,結合流量及各類日誌資料,利用威脅情報進行實時及回溯分析;響應階段,利用運營類情報支撐告警研判和溯源。

 

威脅情報在騰訊SOC中的運用主要有以下六大實踐場景:

 

場景一:告警孵化

SOC收集各個閘道器以及端上的流量、日誌,並透過內建的規則生成客戶真正關心的告警。除了內建規則,SOC還內建騰訊威脅情報進行檢測。

 

告警孵化的過程可分為三個階段,首先從安全裝置上收集事件,然後進行內建規則與情報能力檢測,最後生成客戶所真正關心的告警。

 

威脅情報提供給SOC產品後如何使用呢?主要包含幾個維度,最直接的是情報會賦予每個IOC黑、白、灰屬性,黑的告警,白的放行。除了黑白灰的維度,還有一些其他資訊,如IP會有ASN資訊、地理位置、上下文資訊等,如果與APT組織有關聯,也會標註關聯以及TTPs手法。在域名上,維度會相對更廣一些,例如可瞭解註冊資訊、註冊時間、備案資訊等。

 

用於告警孵化實踐中的威脅情報,其更新頻率可達到日級別,平均生命週期在7天左右。

 

場景二:內網失陷分析

 

騰訊威脅情報根據場景不同分為入站情報和出站情報。SOC進行事件分析的過程中,結合事件情報可以大致定位出內網失陷的主機。但情報只是其中一個維度,只根據這一個情報無法精確確定內網失陷,例如運維人員正常測試。因此,威脅情報還需要結合其他維度進行更加準確的分析。例如,結合SOC收集到的流量維度,分析出IP訪問的頻率和次數,如果是高頻的、多次的,則可判斷主機大機率已失陷,此時可聯動一些端裝置進行精準確認並查殺。

 

技術乾貨|威脅情報如何在SOC場景中發揮最大價值

SOC最佳實踐場景2--內網失陷分析)

 

 

場景三:去誤報場景

 

SOC收集到的流量十分豐富,面對巨大的流量與告警,客戶可能會眼花繚亂。此時威脅情報可以提供一系列白名單幫助客戶降低部分無效告警IP維度例如:CDN、BGP、企業出口、真人機率、基站等;域名維度例如:可信IP反查、權威域名排行、PDNS高廣、人工運營等。

 

技術乾貨|威脅情報如何在SOC場景中發揮最大價值

SOC最佳實踐場景3--去誤報場景)

 

場景四:溯源分析

 

威脅情報提供多維度的IOC資訊,甚至攻擊者視角情報,用於對威脅進行舉證或溯源。

 

威脅情報不僅能夠提供一些基礎資訊,如IP上面地理位置、 ASN資訊、廣熱度、還能夠提供IP和域名上暴露的埠,以及埠上暴露的元件、IP反查域名等情況,還會有歷史上這個IP所發生的所有攻擊舉證和APT組織的關聯性,域名上的資訊相對會更豐富。

 

場景五:主動防禦

SOC作為一個安全運營中心,其資料來源主要是一些安全裝置。這些安全裝置對於SOC而言,是一種被動輸入,即輸入的是已經被安全裝置發現過的威脅。

 

SOC中,威脅情報可以幫助使用者進行主動防禦。高階威脅情報、熱點事件、熱點漏洞均可作為輸入項,透過分析出病毒的網路特徵,並將這些維度的資料輸送到SOC,從而對安全裝置進行策略加固,達到有效阻斷。另外,根據事件提供的場景,威脅情報還能夠協助SOC在不同的裝置上進行不同的策略配置,建立該場景的監控引數及規則,開展響應動作。

 

由於大眾對熱點事件以及一些高危漏洞的關注度較高,所以其變化頻率也是較快的。從端上來看,SOC所結合的安全產品較容易驗證IOC的準確性和可靠性。一旦發生誤判,威脅情報可以及時開展響應動作,調整最佳化策略,從而達到更加精確主動防禦的目的。

技術乾貨|威脅情報如何在SOC場景中發揮最大價值

SOC最佳實踐場景5——主動防禦)

場景六:專項情報

 

威脅情報可以提供和客戶屬性相關的行業情報、本企業相關的定製情報,如:企業暴露面、最新漏洞情報、資訊洩露情報、黑灰產、DNS劫持、仿冒APP&網站等。

 

騰訊安全可以透過Web端、服務號、小程式等多點觸達的方式,將針對不同屬性客戶的安全資訊直接推送給客戶,並協助他們提前進行預判。

 

點選威脅情報在SOC中運用的最佳實踐,看威脅情報在SOC中運用的最佳實踐。

相關文章