關于威脅情報的研究分析

胡釗 金文嫻 陳禹旭

摘? 要：無論是病毒查殺還是威脅防御，我們在與網絡攻擊者的博弈中，既要保證自身的數據安全，也要善于利用對方的威脅數據。數據在網絡威脅事件中雖然不占絕對位置，但是從數據中拆解出的信息卻有著重要作用。移動互聯網威脅信息平臺的搭建實現了威脅場景還原、威脅來源追蹤、未知威脅感知等能力。該文分析了當前威脅情報面臨的難題提出了相應解決策略。

關鍵詞：勒索病毒? 威脅情報? 威脅感知? 互聯網

中圖分類號：TP393.08? ? ? ? ? ? ? ? ? ? ? ?文獻標識碼：A文章編號：1672-3791（2021）02（b）-0063-03

Research and Analysis on Threat Intelligence

HU Zhao? JIN Wenxian? CHEN Yuxu

（China Southern Power Grid Digital Grid Research Institute Co.， Ltd.， Guangzhou， Guangdong Province， 515000? China）

Abstract： Whether it is virus killing or threat defense， in the game with network attackers， we must not only ensure our own data security， but also be good at using the other side's threat data. Although data does not occupy an absolute place in network threat events， the information disassembled from data has an important role. The establishment of the mobile Internet threat information platform has realized the capabilities of threat scenario restoration， threat source tracking， and unknown threat perception. This article analyzes the current challenges facing threat intelligence and proposes corresponding solutions.

Key Words： Ransomware; Threat intelligence; Threat perception; Internet

勒索病毒給網絡用戶特別是移動端設備嚴重依賴人群帶來了惡劣影響。對于網絡安全攻防戰，其本質在于信息的不對稱性，無論是攻還是防，只要率先掌握了更全面的數據信息就能擁有網絡安全的主動權。移動互聯網的每一場技術革新改變的不僅是信息傳輸的便捷性，同時還隱藏著數以萬計的安全漏洞。僅僅靠對應用進行檢測、加固或者監測是遠遠不能取勝的。對于移動應用安全管理，我們需要建立全面響應機制，不僅包括輿情監察和公開的威脅情報，還要求能夠做到對威脅攻擊場景的還原。

1? 威脅情報概念

威脅情報可以分為戰略情報、戰術情報和運營情報。其中戰略情報比較寬泛抽象，多以報告、指南、框架文件等形式提供給高級管理者閱讀，側重安全態勢的整體性描述，以輔助組織的安全戰略決策。戰術級情報則泛指機讀情報的收集和輸出，多以IoCs（Indicators of Compromise）的形式輸出，如某個木馬的C2服務器IP地址、釣魚網站的URL或某個黑客組織常用工具hash等;運營情報是建立在對戰術級情報進行多維分析之上而形成的更高維情報知識，如銀行的哪些客戶信息已經外泄并被利用于業務欺詐、某個APT攻擊的殺傷鏈是怎么構成的、其影響面等，主要用于制定針對性的整體防御、檢測和響應策略[1]。

2? 威脅情報的應用場景

2.1 攻擊檢測與防御

威脅情報應用于攻擊檢測與防御是應用得較多的場景之一。通過機讀情報以訂閱方式集成到現有的安全產品之中，實現與安全產品協同工作，如SIEM、IDS等產品中，可以有效地縮短平均檢測時間（MTTD：Mean-Time-to-Detect），當平均檢測時間降低即表示企業的安全能力得到了提升。威脅情報對已有的IP/Domain/HASH等信譽庫進行了標準化的補充，可以讓其可以更加有效地發揮作用。準確及時的失陷標示數據可以幫助用戶快速處理已經或正在發生的威脅，比如黑樣本的HASH、對外連接的C&C及Downloader服務器的IP或域名，網絡邊界設備或運行于主機上的Agent可以通過簡單的匹配就能發現并采用自動化的應對措施。我們從部署的蜜網中發現了一條攻擊信息wget-q-O-http：//67.205.168.20：8000/i.sh。鏈接的主要內容為shell腳本，功能是遠程下載挖礦程序，創建定時任務。

2.2 事件監測與響應

在日常處理應急過程中，事中階段，安全人員會根據IOC信息以及其他相關信息快速識別攻擊，或者根據機子所感染顯示的一些特征，如外連的IP、注冊表信息、進程名等去查詢是否有出現類似的情報信息（開源情報或者內部情報），來明確威脅攻擊類型，來源以及攻擊的意圖等。快速評估企業內部資產受損程度及影響面，判斷攻擊所處的階段，做出針對性的措施來阻止攻擊進一步擴大;事后階段，安全人員可以根據事件中出現的新的情報信息進行增補，如新變種、新C&C等，方便后續安全運營以及更好地應對同類型的攻擊[2]。

2.3 攻擊團伙追蹤

威脅情報追蹤攻擊團伙是一個長期的運營過程，需要積累一定量的攻擊團伙的TTP，即戰術、技術、過程3個維度。當然這只是針對高級攻擊組織，對于小黑客來說，根據一些攻擊中暴露的細節并結合威脅情報就可以追溯得到。

2.4 威脅狩獵

威脅狩獵是一種當前較新的高級威脅發現的方法，旨在事件發生之前，提前發現威脅，由被動變為主動。這需要安全分析人員具有較高的威脅發現能力，主動去根據網絡中的異常情況來發現高級威脅，而威脅情報就能給予安全分析人員很好的幫助。威脅獵捕是對各種數據源，所以IOC情報在威脅狩獵中可以起到重要作用。威脅狩獵模型中使用IOC-Based Hunting和TTP-Based Hunting。

2.5 基于情報驅動的漏洞管理

漏洞情報管理的主要目的是為了保護用戶資產、數據傳輸過程。結合威脅情報，可以幫助安全運維人員快速定位影響資產安全的關鍵風險點。當漏洞情報被披露時，企業可以根據漏洞情報再結合企業的資產信息來分析漏洞對整個業務的影響，提前修復關鍵漏洞。特別是在0day漏洞的在野利用事件爆發的時候，漏洞情報就顯得格外重要[3]。

2.6 暗網情報發現

暗網中存在大量非法交易，惡意代碼、毒品、數據販賣等。近年國內也發生了多起大型數據泄露的事件，如2018年華住酒店數據泄露并在暗網出售、Acfun遭黑客攻擊數據泄露。

企業需要此類的情報信息來避免被薅羊毛、數據泄露、業務風險等。雖然有可能對于企業只是亡羊補牢的操作，但是在一定程度上能夠為企業提供信息，幫助企業定位到可疑的攻擊點。

3? 威脅情報面臨的難題

3.1 CTI缺乏方法論

許多網絡安全會議的演講者都會提及這些著作和術語來讓威脅情報看上有著嚴謹的理論基礎和科學嚴謹性。但事實上威脅情報大多數內容都是建立在松散的概念之上，并不具備嚴格的分析能力。如今，大多數威脅情報分析都是由警報和傳入的原始數據而不是預先確定的假設進行輸入驅動的。缺乏方法論導致企業難以分析每天大量產生的IoC數據點與特定威脅環境的相關性。另一方面，缺少（基于方法論的）流程會導致威脅情報分析癱瘓，尤其是在較小的團隊中。盡管計算機科學領域已經提供了幾種支持數據預處理的機器學習算法，但將隱性知識轉換為算法可能在未來幾年仍將是一個尚未解決的挑戰。解決之道在于引入流程，而不是更多的技術[4]。

3.2 威脅情報是共享的，但只是口頭上的

珍珠港事件和911事件都是IC情報共享的最佳反面教材。由于交通燈協議（TLP）的限制，CTI的共享更加復雜。TLP使用交通信號燈顏色指示是否可以跨信任邊界（組織、信息共享和分析中心[ISAC]）共享信息。紅色限制只向直接參與者分發，而綠色限制向社區公開。白色表示共享不受限制。但是灰色區域（Amber）則模棱兩可：只能在您的組織內共享，而特定約束可以由源機構指定。此外，TLP僅適用于人與人之間的共享，不適用于基于計算機的威脅數據共享，后者依賴機器與機器共享的正式標準，例如結構化威脅信息表達。但是，大多數威脅情報數據仍以非結構化方式共享。

ISAC（信息分享與分析中心）促進了各個行業和企業之間的信息共享。ISAC可以成為免費交換優質CTI的良好來源。但是，ISAC的成功往往只能維持最初的階段，因為分享的意愿取決于ISAC的規模。一旦有其他參與者進入ISAC，共享效率就趨于下降，因為參與者不希望有免費服務。如前所述，這不是技術問題，而是信任問題[5]。

3.3 威脅情報質量通常很差

威脅情報數據的種類很多，最常見的形式是IoC失陷指標，包含與惡意活動相關的信息，例如IP地址、域名或文件哈希等，其中用作識別惡意文件的指紋的文件哈希是IoC共享最多的數據類型，但價 值“保鮮期”很短，因為惡意軟件發展極快。嚴格來說，IoC本身不具有情報價值，因為它們需要與網絡基礎結構日志記錄上下文相關聯。一個普通的中型組織的IT系統每天會產生數百萬條系統消息，其中只有極少數是由人類分析人員調查的。基于IoC的檢測可以促進基于風險的優先級，但這取決于IoC的質量。如果產生太多的誤報，將導致分析人員的告警疲勞。

3.4 威脅情報供應商的不透明

到目前為止，大多數組織都是威脅數據的“消費者”而不是“客戶”，它們對情報數據提供者的方法不僅未知，而且對它的來源也一無所知。

由于缺乏研發資源，商業威脅情報提供者經常將其CTI數據外包給競爭對手。網絡威脅聯盟就是一個眾所周知的例子，通過該聯盟，25個成員組織每月共享400萬個可觀察物。商業威脅情報提供者結成聯盟可能導致某些威脅的報告出現重疊，而免費提供的開源威脅情報在很大程度上沒有這種問題。對于許多從業者來說，這種重疊是未知的，并且由于商業情報的高價位，在實踐中很難識別[6]。

4? 從威脅識別到威脅感知和溯源

4.1 多維度感知，源頭可溯

要想洞悉整個威脅場景，要求我們對威脅信息的分析維度要足夠全面，在自動化感知的病毒數據基礎上，結合專業的威脅分析，針對勒索病毒從偽裝類型、傳播源、威脅行為3個維度上展開分析，在威脅地域、時間、攻擊者特征等方面得出重要結論，并以此追蹤到較大的犯罪團伙——彼岸花技術團隊。針對攻擊場景的威脅信息能夠更直觀地反映出攻擊目的，為相關部門采取防護行動提供參考。

4.2 多角度告警，隱患可防

在利用數據關聯性分析還原威脅事件的前提下，對威脅趨勢進行預判，從攻擊手段、攻擊地域、攻擊目的等不同角度分析威脅趨勢，針對攻擊者本身以及攻擊事件向移動網絡用戶個人、企業發出告警信號并提供專業、全面的防護措施方案，形成具有決策性的威脅情報。

當然，威脅情報驅動安全威脅信息管理平臺要想實現大范圍的威脅告警需要和企業、公安部門、監管部門、應用商店以及各安全廠商等建立聯動機制，保證威脅信息時效性的前提下采取網絡威脅的應急措施，在遭受攻擊之前排查隱患、修復漏洞，切實地保護網絡數據安全和個人財產安全。

參考文獻

[1] 黃紫斐，劉江韻.網絡時代五眼情報聯盟的調整：戰略引導、機制改進與國際影響[J].情報雜志，2020，39（4）：20-29.

[2] 楊沛安，武楊，蘇莉婭，等.網絡空間威脅情報共享技術綜述[J].計算機科學，2018，45（6）：9-18，26.

[3] 范佳佳.論大數據時代的威脅情報[J].圖書情報工作，2016，60（6）：15-20.

[4] 李建華.網絡空間威脅情報感知、共享與分析技術綜述[J].網絡與信息安全學報，2016，2（2）：16-29.

[5] 李瑜，何建波，李俊華，等.美國網絡威脅情報共享技術框架與標準淺析[J].保密科學技術，2016（6）：16-21.

[6] 晨希，薛麗敏，韓松.淺析網絡安全威脅情報的發展與應用[J].網絡安全技術與應用，2016（6）：12-13，15.