威胁情报复兴：从威胁数据到威胁情报再到威胁检测

IDC技术关注主办:甲骨文HREAT 情报和威胁数据远非学术了解当今安全运营面临的主要挑战。威胁情报复兴:威胁威胁情报数据威胁检测2022年3月写的:Frank Dickson，安全与信任项目副总裁介绍乍一看IDC 认为，存在根本性的混淆或脱节，因为它与条款威胁数据和威胁情报。两者都可以提供价值,但是差异是巨大的，特别是考虑到当前面临的挑战云计算和InfoSecprofessionals。什么’年代重要IDC强烈强调的地方威胁数据和威胁的区别情报。数据必须做出威胁可操作的,所以它不介绍复杂性和应变到一个了过度劳累和有限的网络安全劳动力。IDC认为威胁现在和将情报是一个区别变得更加的提升云环境和的安全状况让他们更有弹性。威胁数据由旨在阐明的源或信息组成安全工具和告知专业人士有关当前现实的信息威胁态势。代表性产品包括数据馈送或黑名单不良恶意软件签名，称为不良 IP 地址、不良网站、披露的软件漏洞和其他相关指标妥协（国际奥克）。威胁数据的更多定性形式可以包括客户的个人可识别信息，来自粘贴的原始代码网站，以及来自新闻来源或社交媒体的文本。威胁数据可以是由信息安全专业人员应用以创建结果。信息安全专业人员有责任了解数据，将威胁数据应用于云环境，然后采取措施。威胁情报有着根本的不同。威胁情报产品主动将威胁数据应用于云环境来阐明恶意或消除由不知情警报产生的噪音，本质上启用一个结果。根据定义，威胁情报产品是更亲密和集成的参与。 因此，威胁情报服务通常可以成为通往更大目标的门户。的关系—也许是托管安全服务。出售威胁情报有时作为安全信息和事件管理 （SIEM） 的补充或支持终结点检测和响应 （EDR）。威胁的关键智能产品和服务是赋能和策展的责任实现可操作响应的数据从客户转移到供应商，创造结果成为一项共同的责任。可操作性是关键，因此威胁情报不会引入复杂性和压力过度劳累、有限的信息安全的劳动力。一个威胁情报服务转变负责制作威胁数据可操作的从客户供应商。的结果变成了一个共同责任。好处威胁情报和威胁数据之间的区别远非学术组织希望解决安全运营面临的主要挑战今天;这些问题都没有减弱的迹象。首先，数量之间的鸿沟越来越大合格的信息安全专业人员和这些职位的空缺职位。劳动力短缺是严重的，它限制了需要创造力来优化安全运营中心 （SOC） 的流程。其次，工具蔓延正在成为问题。最近的证据表明，公司正在寻求减少其SOC中的供应商数量。第三，SOC总是在防守。建立的外围、业务细分和策略是关于已知前提。这些过程通常是手动密集型的。网络防御是深入和分层的，而 SOC 是监控和执行其政策设计。精心策划的威胁情报产品可以应对这些挑战。威胁情报服务旨在查看环境，积累数据，并利用数据来减少警报数量，同时提高其准确性。一个成熟的安全运营中心表面上会提供此功能，因为它会塑造防火墙规则，写入通过 RESTful API 集成，自定义策略，持续监控网络的安全性和性能异常，并策划外部威胁源以进行自适应防御。我们刚刚描述了理想的安全操作中心，但很少有公司拥有这些类型的资源。威胁情报提供商拥有独特或精心策划的了解环境或具有集成多个平台的经验，并且可以将此专业知识应用于客户端环境。一个微妙但重要的一点是，安全运营团队必须有一个编排和自动化平台（此功能的离散工具、SIEM 或网络访问控制解决方案），但威胁情报提供商已经解决了自动化问题。最后，威胁情报得到了扩展全球有利位置。不同的威胁情报服务产品可以匿名化来自客户的不同威胁数据与其服务或设备交互，收集已知的恶意 DNS 站点和 IP 地址，并合并有关威胁参与者的知识。所有这些活动对于单个SOC分析师来说都是繁重的过程。威胁情报曾经选择的工具不久前，威胁情报是最高效和最有效的安全方法。恶意软件的发现在“患者零”（恶意软件的第一个已知受害者）上，导致签名创建并随后广泛分发那个签名。安全供应商之间的竞争差异通常基于熟练员工的有效性安全研究人员首先识别和描述新威胁。# US48946022第二页 然而，网络歹徒也在创新，因为Stuxnet等民族国家行动的教训催生了有针对性的攻击。作为高级威胁的鼻祖，Stuxnet是美国和以色列政府对伊朗核的攻击2011年的浓缩设施，这是第一次专门针对目标实体量身定制网络攻击的认可时间。这个词有针对性的此外，还意味着复杂，攻击的重点是利用四个特定的伊朗IT系统的弱点使铀浓缩设施陷入瘫痪。这些弱点后来被贴上了标签“零日漏洞”，因为弱点在攻击之前是未知的。漏洞利用工具包风靡一时，自动化利用受害者机器上的漏洞。有针对性的恶意软件导致恶意二进制变体的数量。最终，威胁情报签名方法屈服于爆炸式增长。恶意软件变种。由于攻击者;战术、技术和程序 （TTP）;我们的 IT 架构的弱点是未知，许多安全工具采用完全不同的方法来检测威胁。而不是专注于已知的威胁，焦点已转向已知的“良好”活动。我们为合法用户、应用程序、和平台行为;与正常值的显著偏差（异常）表明存在潜在的恶意。因此用户行为分析（UBA）诞生了。威胁建模与 UBA 齐头并进。UBA 的一个关键组成部分是分析引擎开发有关网络上每个实体的正常行为的统计基线。这样的基线允许分析引擎建立上下文。尽管威胁情报不是 UBA 解决方案的主要差异化因素，但它仍然很重要元件。首先，威胁情报产品通知客户端网络中每个实体的正常基线。需要对于代理变得越来越重要，因为代理可能更可取，甚至无法部署。无法在没有代理的情况下获取遥测和上下文 限制与日志和/或的统计分析和索引的相关性批次。其次，由于威胁情报产品应接收多个日志和流数据，因此该平台是负责缩小客户端需要采取行动的警报数量。冗余警报和误报是表示威胁情报服务的责任。威胁情报再次改变威胁检测游戏规则正如趋势来来去去一样，我们用于保护云环境的工具也是如此。威胁情报的使用是重新流行起来。请不要误会我的意思。作为主要检测源的基于签名的检测已失效。我们很久以前就越过了这一点，因为恶意二进制文件可以很容易地定制为具有单个目标。然而，尽管网络攻击和恶意软件几乎具有无限的可变性，但 TTP 往往出人意料地一致。当今的威胁情报不再关注恶意软件，而是关注这些 TTP。 可能的恶意活动类型监控包括内部主机的远程控制、命令和控制活动、网络和地理位置、内部网络系统和资源的侦察，暴力密码尝试，数据收集的关联和网络共享驱动器的外泄和加密。事实上，最新的MITRE ATT&CK矩阵描述了14攻击者用来渗透和利用企业网络的不同技术类别。（最近，侦察和资源开发类别是在初始访问的左侧和之前添加的。这是一个主要软件提供商的优势是在其仪表板上显示，SOC 分析师可以在其中单击屏幕并查看ATT&CK矩阵的信息映射和技术目录。# US48946022第3页 因此，威胁情报可以改变威胁检测游戏。基于异常的检测仍然很重要;但是，它可能会有问题，因为任务的全面性可能是巨大的。此外，基于异常的检测阿喀琉斯之踵包括假阳性和假阴性，因为检测不是确定性的，而是基于基于以下概率。仅仅因为某些东西是异常的并不一定意味着它是恶意的。当然，UBA您提供给它们的数据越多，平台就越强大。显然，这意味着部署处于起步阶段。UBA 平台在自我调整时确实需要其他工具。没有适当的控制，反复的不良行为开始看起来像非异常行为，产生假阴性问题。这是批处理数据的一个严重问题。最后，一个老练的黑客可能会通过添加如此多无意义的数据来破坏平台，从而破坏平台。当分析引擎分析数据流时，攻击者的真实意图仍然是隐藏的（大致类似于缓冲错误攻击)。相反，威胁情报可以通知检测。威胁情报可以转向，而不是扫描整个环境专注于 IT 架构和特定流程的特定方面，通过分析序列来检测恶意指令、流程或操作。随后，威胁情报可以显示激励对手并建议接受的响应技术。将威胁情报转换为威胁检测需要什么？理想情况下，威胁情报提供商将专注于几个核心策略:» 威胁情报必须推动可操作的响应.根据定义，这将是直观的，但服务根据促成结果的难易程度进行区分。如果威胁情报涉及安全操作中心作为CSV文件，它的可用性有限。威胁情报必须作为策略直接移植到防火墙;自用于 SIEM、防火墙、入侵检测系统/入侵防御系统的编排引擎，或端点（可能）和用于剧本;或 IT/SecOps 票证。威胁情报应提供上下文围绕 IoC 用例。它还应该特定于组织以及它对该特定组织意味着什么客户。» 威胁情报应为其所服务的客户设计。几乎可以肯定会有时间公司将需要配置方面的支持，更好地了解威胁报告或扩展平台以考虑新的数据源。考虑威胁参与者的母语有助于信息安全专业人员了解并更全面地了解社交媒体或暗网上的威胁。这支持人员在适当的时候说波斯语、普通话或其他语言的能力会有所作为。» 最后,价格很重要。威胁情报的可操作方面要求我们考虑结果和需要投资才能取得这一成果。威胁情报产品从每次安装$ 100，000，然后从那里开始。尽管威胁情报可以证明真正的价值，但没有组织生活在一个资源无限的世界中，而现实情况是威胁情报服务必须与其他证券产品竞争静态美元。# US48946022第4页 考虑到甲骨文甲骨文最近一直在流泪，以狂热的速度推出新的安全产品，努力使自己与众不同。作为最安全、最值得信赖的云提供商。其最新产品是新的威胁情报服务。该产品是简单。Oracle 从四个主要来源管理威胁数据：» 甲骨文遥测和调查» 开源提要(Tor,虐待。ch,等等)。» 蜜罐网络» CrowdStrike partnerintelligence甲骨文随后获取精选数据并将其应用于其甲骨文云客户能够实现的好处甲骨文’年代专长捍卫自己的云环境,包括观察到的遥测和威胁研究团队跨越SaaS, PaaS,和IaaS祭。基础设施 （OCI）。然后，信息安全专业人员可以快速轻松地获得受益于threatintelligence–基于检测的环境。是甲骨文利用自己的信息安全专业人员和威胁研究人员来构建和提供产品，客户将受益于 Oracle 在防御方面的专业技能自己的云环境，包括观察到的遥测和威胁研究跨越其软件即服务 （SaaS）、平台即服务 （PaaS） 的团队，以及基础架构即服务 （IaaS） 产品。结果是更高的覆盖率馈送和更少的误报。这些见解是规范性的，包括基于目击来源、频率、质量的总体置信度评估，和近因帮助分析师优先警报。尽管甲骨文安全专业知识的集成和自动化是引人注目的是，价值实现时间是最明显和最与众不同的好处。这产品具有与Cloud Guard的开箱即用集成，以降低复杂性，并计划将集成扩展到其他 OCI 服务。此外，由于威胁情报服务是 Oracle 云基础设施的有机组成部分，无需管理自己的数据，也消除了由此产生的复杂性。最后，威胁情报服务是在不增加成本的情况—就像在免费的.Oracle 的方法是将安全对话提升到弹性对话，通过设计使云环境更加安全。启用精心策划且易于操作的威胁情报是其中之一让“公盟”更安全的方式。为了将威胁情报扩展到行动中，甲骨文最近推出了Cloud Guard Threat Detector，这是一种检测和响应服务由真实世界的攻击策略、技术和程序提供信息。云卫士威胁检测器运行与 MITRE ATT&CK 框架一致的目标威胁模型，查找恶意 TTP 并分配风险评分基于attackprogression。Cloud Guard 威胁检测器由来自威胁情报服务的数据提供，提供开箱即用跨 OCI 和其他 Oracle 属性的集成。该服务是 OCI 的原生服务，具有精选和管理的行为模型锚定在MITRE ATT&CK框架中，它提供统一的基于进度的评分，以实现有效的警报噪音低。最后，由于 Oracle 非常积极地将 OCI 区分为最安全的云环境，因此它提供了云卫士威胁检测器免费用于付费租赁，以激励采用。# US48946022第5页 挑战Oracle 产品面临的主要挑战是它们是新的。新事物经常使安全和云专业人员紧张，即使来自甲骨文这样规模的组织。虽然原生集成和威胁情报将提供快速的价值实现时间，平台在成熟时可能会出现打嗝。此外，如果客户坚持它当前的一些威胁源，集成它们可能