42、自动化事件响应的可操作网络威胁情报

自动化事件响应的可操作网络威胁情报

1. 引言

在网络安全领域，网络威胁情报（CTI）的有效利用对于应对网络攻击至关重要。技术层面的CTI，如入侵指标（IoCs），能实时与网络流量或端点信息匹配以生成警报，但攻击者容易改变这些指标，限制了其对复杂或长期攻击的检测效果。战术情报不仅包含孤立的IoCs，还涵盖攻击者使用的战术、技术和程序（TTPs），更难被攻击者改变，但目前缺乏将其轻松自动融入威胁检测系统的方法。因此，我们旨在研究能否通过CTI自动化分析师的事件处理流程。

2. 背景及相关工作

2.1 当前情况

网络入侵检测系统（NIDS）利用CTI生成事件警报供分析。黑名单通常由NIDS的子模块实现，事件关联可由安全信息和事件管理（SIEM）或安全编排、自动化和响应（SOAR）系统实现。网络安全事件响应团队（CSIRT）依靠威胁情报平台（TIP）或特定情报源的CTI来识别攻击。IoCs是低级别、无上下文的CTI，可通过黑名单实现（半）自动化事件响应；而高级CTI，如战术和操作攻击信息，分析师通常手动审查网络事件并与CTI报告对比，在攻击活动导致数据激增时，这种手动方式效率低下，需要自动化或提前完成部分手动工作。

2.2 相关工作

近期关于CTI的工作主要集中在管理IoCs、收集开源CTI、提取TTPs、评估CTI质量和格式等方面。部分工作尝试自动化CTI的使用，如通过NLP生成可操作CTI、将情报平台信息集成到安全策略控制系统等，但大多未聚焦于将CTI应用于事件响应。

2.3 差距分析

实现基于CTI的网络保护需进行威胁分析、将相关威胁映射到可检测的网络事件、匹配事件