Charla sobre inteligencia sobre amenazas: el uso de la inteligencia del COI

En el mercado nacional actual, el escenario de uso más común de la inteligencia de amenazas es utilizar la inteligencia IOC (indicadores de compromiso) para realizar la detección de registros y descubrir riesgos importantes, como hosts comprometidos internamente. En este caso, se pueden descubrir muchas amenazas que los productos de seguridad tradicionales no pueden descubrir, y la mayoría de ellas son ataques exitosos, lo que es de gran ayuda para las operaciones de seguridad. Este escenario parece simple, es una combinación de datos de registro e inteligencia. De hecho, no lo es. En los últimos años de trabajo, mi comprensión de este escenario ha cambiado muchas veces. puntos.

Inicialmente, pensé que el emparejamiento de la inteligencia del COI en sí no era complicado. La cuestión central era la calidad de la inteligencia en sí (relevancia, puntualidad, precisión, contexto que puede guiar la respuesta), especialmente la cuestión del contexto. Es muy importante, además del nivel de riesgo, la credibilidad y otra información que generalmente se considera, también es necesario proporcionar contenido relevante, como el propósito del ataque, el daño, las técnicas y tácticas de los grupos y familias de ataque relevantes, y proporcionar si. el terminal de control remoto correspondiente está activo y si información como que ha sido asumida por un proveedor de seguridad, de modo que el equipo de respuesta pueda determinar si se necesita una respuesta, qué evento tiene mayor prioridad, etc. Posteriormente, se descubrió que muchos equipos carecen de experiencia en respuesta a incidentes. Idealmente, el contexto de inteligencia puede proporcionar estrategias de referencia para responder a diferentes amenazas. Esta parte parece estar incluida en el contexto. Llamemos a este nivel coincidencia simple.

Más tarde, se descubrió gradualmente que el problema de coincidencia del COI no era simple y requería una optimización especial para diferentes tipos de registros. Los ejemplos típicos son los registros de DNS o los registros quíntuples del firewall. A continuación se utilizan los registros de DNS como ejemplo a modo de explicación. Los registros de DNS son un tipo ideal para la coincidencia de IOC, porque es posible que algunos servidores de control remoto no puedan analizarlos en ese momento, por lo que no se generarán otros tipos de registros de la capa de aplicación. Sin embargo, a través de las actividades de DNS, se puede inferir que se trata de un troyano. o gusano se ha ejecutado en el host correspondiente. Virus o incluso ataques APT. La forma IOC de este control remoto puede ser un nombre de dominio, lo cual es relativamente simple, pero si es una URL, cómo compararlo en este caso es un asunto relativamente complicado, porque los datos DNS puros no pueden determinar con precisión si se ha producido un compromiso; , a menudo es necesario introducir algunas categorías de datos de referencia y considerar qué tipos de amenazas preocupan más a la empresa. En este caso, se requiere un mecanismo de coincidencia más complejo. Este nivel se puede llamar emparejamiento avanzado.

Después de las dos primeras etapas, la mayoría de las organizaciones deberían poder utilizar inteligencia de amenazas para la detección. Sin embargo, desde la perspectiva de requisitos más altos, puede haber algunos problemas que deban resolverse. Por ejemplo, el nombre de dominio que se muestra en el registro no tiene accesos directos a la inteligencia de amenazas, pero el host donde se encuentra el nombre de dominio sí lo está. propiedad de una organización cibercriminal. Esta situación A continuación, otro ejemplo de cómo generar una alarma es realizar un análisis y determinación detallados de un correo electrónico, lo que requiere un análisis desde múltiples dimensiones y se utilizan múltiples tipos de inteligencia de amenazas. Resolver estos problemas requiere no solo inteligencia de amenazas y datos básicos de la red, sino también los modelos de análisis y determinación correspondientes. Se puede decir que esta parte está dentro del alcance de la orquestación y la automatización (SOAR). Si también se necesita un nombre, me pregunto si es inteligente. la coincidencia es apropiada.

Coincidencia simple, coincidencia avanzada, coincidencia inteligente: este es un resumen simple basado en ideas anteriores sobre el uso del COI. No es seguro si habrá más capas, pero una cosa es segura con la exploración continua del uso de la inteligencia de amenazas IOC, el papel de la inteligencia de amenazas en el proceso de detección definitivamente será cada vez mayor. El uso de inteligencia en el análisis de respuesta a incidentes y advertencias de seguridad generalmente sigue el mismo proceso, que se puede analizar más adelante. El próximo artículo hablará más sobre la evaluación de la inteligencia de amenazas del COI.