读红蓝攻防：技能与策略27威胁谍报

1. 威胁谍报

1.1. 利用威胁谍报更好地了解对手并洞察当前的威胁是蓝队的有效手段
1.2. 将谍报引入网络安全范畴是一个很自然的过渡，因为现在的威胁范围非常广，对手也千差万别
2. 威胁谍报概述

2.1. 拥有强大的检测系统对于构造的安全态势是必不可少的
2.2. 改进该系统的一种方法是减少检测到的噪声和误报数量
2.3. 你终极会随机排列将来告警的优先级（在某些情况下甚至忽略）​，因为你认为它们不值得查看
2.4. 谍报和分析办公室(Office of Intelligence and Analysis，I&A)

• 2.4.1. 该办公室利用谍报来加强领土安全
  
• 2.4.2. 通过推动不同机构之间的信息共享并向各级决议者提供预测性谍报来实现的
  

2.5. 可以通过更多地了解对手、他们的动机以及他们利用的技能来提高你的检测本领

• 2.5.1. 对收集的数据利用这种威胁谍报可以给出更有意义的结果，并展现传统传感器无法检测到的操作
  

2.6. 当收集数据用作网络谍报来源时，你会确定有些数据将引导你得出已经知道的结果（已知的威胁，即已知的已知）​
2.7. 有些数据，你知道此中有一些并不正常，但不知道它是什么（已知的未知）​
2.8. 其他数据你不知道它是什么，也不知道它是否不正常（未知的未知）
2.9. 网络威胁谍报(Cyber Threat Intelligence，CTI)
2.10. 攻击者特征/动机

• 2.10.1. 网络犯罪：主要的动机是得到财务成果或盗取敏感数据
  
• 2.10.2. 黑客：这个群体有更广泛的动机范围（可以是表达政治倾向，也可以是表达特定原因）​
  
  
  
  • 2.10.2.1. 如果你的构造正在支持一个特定的党派，而这个党派正在做一些黑客构造完全反对的变乱，那么你可能会成为目标
    
  
  
• 2.10.3. 网络特工运动：越来越多的网络特工案件正在发生
  

2.11. 将威胁谍报作为防御系统的一部分的另一个优势是能够根据对手确定数据范围

• 2.11.1. 了解你试图掩护的资产类型也有助于缩小应该更加关注的威胁行为者的范围，而威胁谍报可以提供这些信息
  
• 2.11.2. 要了解威胁谍报并不总是可以从单个位置得到
  

2.12. 唯一可行的攻陷指示器(Indicators of Compromise，IoC)是勒索软件样本的散列和文件名
2.13. 蓝队有充足的信息来确定此补丁程序对其试图掩护的业务的重要性
2.14. 许多构造没有充分意识到这个题目的影响，它们没有打补丁，而是禁用了从互联网访问SMB

• 2.14.1. 一旦危害了内网中的一台计算机（注意，防火墙规则不再重要）​，它将利用漏洞攻击其他未安装修复补丁的系统
  

2.15. 通过了解对手可以做出更好的决议来掩护自己的资产

• 2.15.1. 你不能将威胁谍报视为一种IT安全工具，因为它超越了这一范围
  
• 2.15.2. 必须将威胁谍报视为一种工具，以帮助制定有关构造防御的决议，帮助管理职员决定应如何投资安全性，并帮助CISO理顺与高层管理职员的关系
  

2.16. 范畴

• 2.16.1. 技能：当得到有关特定IoC的信息时，此信息通常由安全运营中心分析师和事件响应(Incident Response，IR)小组利用
  
• 2.16.2. 战术：当能够确定攻击者利用的策略、技能和程序(Tactic、Technique、Procedure，TTP)时，这是SOC分析师通常利用的关键信息
  
• 2.16.3. 操作：当能够确定有关特定攻击的详细信息时，这是蓝队要利用的重要信息
  
• 2.16.4. 战略：当能够确定有关攻击风险的高级信息时
  
  
  
  • 2.16.4.1. 这是更高层次的信息，因此这些信息通常由高管和管理职员利用
    
  
  

2.17. 威胁谍报有不同的用例

• 2.17.1. 还可以与传感器集成以减少误报
  

3. 用于威胁谍报的开源工具

3.1. 协作和信息共享是谍报界的基础

• 3.1.1. MetaDefender Cloud TI订阅
  
• 3.1.2. fraudguard dot io网站
  
• 3.1.3. Critical Stack Intel Feed
  
• 3.1.4. Bro Network Security Monitor
  
• 3.1.5. Palo Alto Networks
  
  
  
  • 3.1.5.1. MineMeld
    
  
  
• 3.1.6. malwr dot com
  
• 3.1.7. AlienVault Unified Security Management(USM)Anywhere
  
  
  
  • 3.1.7.1. 不仅仅是威胁谍报的来源，它还可以执行漏洞评估，检查网络流量，查找已知威胁、策略违规和可疑运动
    
  
  

3.2. 用于生成此告警的威胁谍报可能会因供应商而异，但通常会考虑目标网络、流量模式和潜在的IoC
3.3. 除了可用于验证和分析详细题目的工具外，还有一些免费的威胁谍报馈送，可用于了解最新的威胁信

• 3.3.1. 勒索软件跟踪指示器(Ransomware Tracker Indicators)
  
  
  
  • 3.3.1.1. 跟踪和监督与勒索软件关联的域名、IP地址和URL的状态
    
  
  
• 3.3.2. Automated Indicator Sharing
  
  
  
  • 3.3.2.1. 答应双向共享网络威胁指示器
    
  
  
• 3.3.3. Virtus Total
  
  
  
  • 3.3.3.1. 帮助你分析可疑文件和URL以检测恶意软件类型
    
  
  
• 3.3.4. Talos Intelligence
  
  
  
  • 3.3.4.1. 由Cisco Talos提供支持，有多种查询威胁谍报的方式，包罗URL、文件信誉、电子邮件和恶意软件数据
    
  
  
• 3.3.5. The Harvester
  
  
  
  • 3.3.5.1. 此工具在Kali Linux上可用，它将从不同的公共来源（包罗SHODAN数据库）收集电子邮件、子域、主机、开放端口和旗标(banner)
    
  
  

3.4. 利用MITRE ATT&CK

• 3.4.1. 根据MITRE ATT& CKesign and Philosophy电子书，MITRE ATT&CK是一个精心策划的知识库和网络对手行为模子，反映了对手攻击生命周期的各个阶段以及他们已知的目标平台
  
• 3.4.2. 可以利用这个知识库，更好地了解对手是如何破坏系统的，以及他们正在利用哪些技能
  
• 3.4.3. 阶段
  
  
  
  • 3.4.3.1. 侦察
    
  • 3.4.3.2. 资源开辟
    
  • 3.4.3.3. 初始访问
    
  • 3.4.3.4. 执行
    
  • 3.4.3.5. 持久性
    
  • 3.4.3.6. 权限升级
    
  • 3.4.3.7. 防御规避
    
  • 3.4.3.8. 根据访问
    
  • 3.4.3.9. 发现
    
  • 3.4.3.10. 横向移动
    
  • 3.4.3.11. 收集
    
  • 3.4.3.12. 指挥控制
    
  • 3.4.3.13. 渗出
    
  • 3.4.3.14. 影响
    
  
  
• 3.4.4. 当检查有助于了解对手如何运作的有效信息时，你将能够将行为映射到矩阵的特定阶段
  
  
  
  • 3.4.4.1. 由事件系统（如安全信息和事件管理平台）收集的原始数据将为你提供有关环境中正在发生变乱的大量指示
    
  • 3.4.4.2. 都是Windows的内置命令，以是从本质上讲，它们不仅是良性的，而且是合法的管理命令
    

    3.4.4.2.1. 系统的行为是可疑的，这些命令的执行次序可能表明有恶意操作
    

    
    
  
  
• 3.4.5. 发现行为：这可以来自原始日志或事件的描述
  
• 3.4.6. 研究行为：试着更好地理解这个场景，攻击的团体行为
  
• 3.4.7. 将行为转化为MITRE ATT&CK战术：这里你将利用MITRE ATT&CK网站
  
• 3.4.8. 识别技能和子技能：随着继续探索MITRE ATT&CK战术，你将了解有关正在利用的技能和子技能的更多细节
  
  
  
  • 3.4.8.1. 并不是每个行为都是一种技能或子技能
    
  • 3.4.8.2. 总是需要考虑到上下文
    
  
  

4. 微软威胁谍报

4.1. 对于利用微软产品的构造来说，无论是在内部照旧在云中部署，都会将威胁谍报作为产品本身的一部分来利用
4.2. 现在许多微软产品和服务都利用共享威胁谍报，可以提供上下文、相关性和优先级管理来帮助接纳行动
4.3. 渠道

• 4.3.1. 蜜罐、恶意IP地址、僵尸网络和恶意软件引爆馈送
  
• 4.3.2. 第三方来源（威胁谍报馈送)
  
• 4.3.3. 基于人的观察和谍报收集
  
• 4.3.4. 来自其服务消费的谍报
  
• 4.3.5. 由微软和第三方生成的谍报馈送
  

4.4. 安全信息和事件管理(Security Information and Event Management，SIEM)工具，它最初被称为Azure Sentinel，并在2021年更名为Microsoft Sentinel

• 4.4.1. 对于已经利用Microsoft产品的构造来说，Microsoft Sentinel是很有效的
  

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

继续阅读请点击广告