读红蓝攻防：技术与策略27威胁情报

1. 威胁情报

1.1. 使用威胁情报更好地了解对手并洞察当前的威胁是蓝队的有效手段

1.2. 将情报引入网络安全领域是一个很自然的过渡，因为现在的威胁范围非常广，对手也千差万别

2. 威胁情报概述

2.1. 拥有强大的检测系统对于组织的安全态势是必不可少的

2.2. 改进该系统的一种方法是减少检测到的噪声和误报数量

2.3. 你最终会随机排列未来告警的优先级（在某些情况下甚至忽略）​，因为你认为它们不值得查看

2.4. 情报和分析办公室(Office of Intelligence and Analysis，I&A)

• 2.4.1. 该办公室利用情报来加强边境安全

• 2.4.2. 通过推动不同机构之间的信息共享并向各级决策者提供预测性情报来实现的

2.5. 可以通过更多地了解对手、他们的动机以及他们使用的技术来提高你的检测能力

• 2.5.1. 对收集的数据使用这种威胁情报可以给出更有意义的结果，并揭示传统传感器无法检测到的操作

2.6. 当收集数据用作网络情报来源时，你会确定有些数据将引导你得出已经知道的结果（已知的威胁，即已知的已知）​

2.7. 有些数据，你知道其中有一些并不正常，但不知道它是什么（已知的未知）​

2.8. 其他数据你不知道它是什么，也不知道它是否不正常（未知的未知）

2.9. 网络威胁情报(Cyber Threat Intelligence，CTI)

2.10. 攻击者特征/动机

• 2.10.1. 网络犯罪：主要的动机是获得财务成果或窃取敏感数据

• 2.10.2. 黑客：这个群体有更广泛的动机范围（可以是表达政治倾向，也可以是表达特定原因）​

  • 2.10.2.1. 如果你的组织正在支持一个特定的党派，而这个党派正在做一些黑客组织完全反对的事情，那么你可能会成为目标

• 2.10.3. 网络间谍活动：越来越多的网络间谍案件正在发生

2.11. 将威胁情报作为防御系统的一部分的另一个优势是能够根据对手确定数据范围

• 2.11.1. 了解你试图保护的资产类型也有助于缩小应该更加关注的威胁行为者的范围，而威胁情报可以提供这些信息

• 2.11.2. 要了解威胁情报并不总是可以从单个位置获得

2.12. 唯一可行的攻陷指示器(Indicators of Compromise，IoC)是勒索软件样本的散列和文件名

2.13. 蓝队有足够的信息来确定此补丁程序对其试图保护的业务的重要性

2.14. 许多组织没有充分意识到这个问题的影响，它们没有打补丁，而是禁用了从互联网访问SMB

• 2.14.1. 一旦危害了内网中的一台计算机（注意，防火墙规则不再重要）​，它将利用漏洞攻击其他未安装修复补丁的系统

2.15. 通过了解对手可以做出更好的决策来保护自己的资产

• 2.15.1. 你不能将威胁情报视为一种IT安全工具，因为它超越了这一范围

• 2.15.2. 必须将威胁情报视为一种工具，以帮助制定有关组织防御的决策，帮助管理人员决定应如何投资安全性，并帮助CISO理顺与高层管理人员的关系

2.16. 领域

• 2.16.1. 技术：当获得有关特定IoC的信息时，此信息通常由安全运营中心分析师和事件响应(Incident Response，IR)小组使用

• 2.16.2. 战术：当能够确定攻击者使用的策略、技术和程序(Tactic、Technique、Procedure，TTP)时，这是SOC分析师通常使用的关键信息

• 2.16.3. 操作：当能够确定有关特定攻击的详细信息时，这是蓝队要使用的重要信息

• 2.16.4. 战略：当能够确定有关攻击风险的高级信息时

  • 2.16.4.1. 这是更高层次的信息，因此这些信息通常由高管和管理人员使用

2.17. 威胁情报有不同的用例

• 2.17.1. 还可以与传感器集成以减少误报

3. 用于威胁情报的开源工具

3.1. 协作和信息共享是情报界的基础

• 3.1.1. MetaDefender Cloud TI订阅

• 3.1.2. fraudguard dot io网站

• 3.1.3. Critical Stack Intel Feed

• 3.1.4. Bro Network Security Monitor

• 3.1.5. Palo Alto Networks

  • 3.1.5.1. MineMeld

• 3.1.6. malwr dot com

• 3.1.7. AlienVault Unified Security Management(USM)Anywhere

  • 3.1.7.1. 不仅仅是威胁情报的来源，它还可以执行漏洞评估，检查网络流量，查找已知威胁、策略违规和可疑活动

3.2. 用于生成此告警的威胁情报可能会因供应商而异，但通常会考虑目标网络、流量模式和潜在的IoC

3.3. 除了可用于验证和分析具体问题的工具外，还有一些免费的威胁情报馈送，可用于了解最新的威胁信

• 3.3.1. 勒索软件跟踪指示器(Ransomware Tracker Indicators)

  • 3.3.1.1. 跟踪和监视与勒索软件关联的域名、IP地址和URL的状态

• 3.3.2. Automated Indicator Sharing

  • 3.3.2.1. 允许双向共享网络威胁指示器

• 3.3.3. Virtus Total

  • 3.3.3.1. 帮助你分析可疑文件和URL以检测恶意软件类型

• 3.3.4. Talos Intelligence

  • 3.3.4.1. 由Cisco Talos提供支持，有多种查询威胁情报的方式，包括URL、文件信誉、电子邮件和恶意软件数据

• 3.3.5. The Harvester

  • 3.3.5.1. 此工具在Kali Linux上可用，它将从不同的公共来源（包括SHODAN数据库）收集电子邮件、子域、主机、开放端口和旗标(banner)

3.4. 使用MITRE ATT&CK

• 3.4.1. 根据MITRE ATT& CK:Design and Philosophy电子书，MITRE ATT&CK是一个精心策划的知识库和网络对手行为模型，反映了对手攻击生命周期的各个阶段以及他们已知的目标平台

• 3.4.2. 可以利用这个知识库，更好地了解对手是如何破坏系统的，以及他们正在使用哪些技术

• 3.4.3. 阶段

  • 3.4.3.1. 侦察

  • 3.4.3.2. 资源开发

  • 3.4.3.3. 初始访问

  • 3.4.3.4. 执行

  • 3.4.3.5. 持久性

  • 3.4.3.6. 权限升级

  • 3.4.3.7. 防御规避

  • 3.4.3.8. 凭据访问

  • 3.4.3.9. 发现

  • 3.4.3.10. 横向移动

  • 3.4.3.11. 收集

  • 3.4.3.12. 指挥控制

  • 3.4.3.13. 渗出

  • 3.4.3.14. 影响

• 3.4.4. 当检查有助于了解对手如何运作的有用信息时，你将能够将行为映射到矩阵的特定阶段

  • 3.4.4.1. 由事件系统（如安全信息和事件管理平台）收集的原始数据将为你提供有关环境中正在发生事情的大量指示

  • 3.4.4.2. 都是Windows的内置命令，所以从本质上讲，它们不仅是良性的，而且是合法的管理命令

    3.4.4.2.1. 系统的行为是可疑的，这些命令的执行顺序可能表明有恶意操作

• 3.4.5. 发现行为：这可以来自原始日志或事件的描述

• 3.4.6. 研究行为：试着更好地理解这个场景，攻击的整体行为

• 3.4.7. 将行为转化为MITRE ATT&CK战术：这里你将利用MITRE ATT&CK网站

• 3.4.8. 识别技术和子技术：随着继续探索MITRE ATT&CK战术，你将了解有关正在使用的技术和子技术的更多细节

  • 3.4.8.1. 并不是每个行为都是一种技术或子技术

  • 3.4.8.2. 总是需要考虑到上下文

4. 微软威胁情报

4.1. 对于使用微软产品的组织来说，无论是在内部还是在云中部署，都会将威胁情报作为产品本身的一部分来使用

4.2. 现在许多微软产品和服务都利用共享威胁情报，可以提供上下文、相关性和优先级管理来帮助采取行动

4.3. 渠道

• 4.3.1. 蜜罐、恶意IP地址、僵尸网络和恶意软件引爆馈送

• 4.3.2. 第三方来源（威胁情报馈送)

• 4.3.3. 基于人的观察和情报收集

• 4.3.4. 来自其服务消费的情报

• 4.3.5. 由微软和第三方生成的情报馈送

4.4. 安全信息和事件管理(Security Information and Event Management，SIEM)工具，它最初被称为Azure Sentinel，并在2021年更名为Microsoft Sentinel

• 4.4.1. 对于已经使用Microsoft产品的组织来说，Microsoft Sentinel是很有用的