运营视角下的威胁情报

点击蓝字关注我们

Science Technology

（本文由小貂快跑代发，原作者为“面包and牛奶”）

0X00

前言

作为一名''流落街头"的安全服务工程师（实习），寻找毕业offer失败后，在家总结经验、复盘工作流程、归纳整理技能树的时候（好吧，其实是快毕业了，找不到工作，在家混吃等死）。发现很多刚刚实习的安服小白，和当年的自己一样，忽略了"威胁情报"对于安全运营的重要性。为啥我要谈安全运营，我们要知道现在环境下（懂得都懂）需要大量的复合型人才。作为安全服务工程师，我们不仅需要有解决问题的能力，我们还需要针对这个项目的需求去维护它以后的发展

0X01

入定

书接上文，问什么是威胁情报？运营为啥需要威胁情报？我感觉大家对此会有不少疑问。不要着急，我们先去来看看威胁情报是什么？

提到开源数据、情报社区……大家一看就会想到某步。是的，不得不承认当年笔者实习的时候就会在某步上查询一些恶意IP、恶意域名、恶意文件什么的，然后看一眼红没红，就算研判了。后来，回过头看，确实让人汗颜。这方面，笔者建议是去读一读知乎上职业欠钱师傅的文章，这有助于运营人员了解威胁情报的正确用法。总而言之，威胁情报是帮助公司去识别安全威胁，并引导管理者做出决策的工具（当然也可以作为个人工具，但是对企业安全的建设聊胜于无）。威胁情报可以帮助我们解决如下问题：

如何向我的领导通报特定安全威胁的危险和影响？
如何向我的同事形容安全威胁的轻重程度？
如何及时了解有关安全威胁的大量信息（例如：不良行为者、方法、漏洞、目标等）？
如何针对这些安全威胁去进行区分？
如何利用已知信息去分析研判？
如何更加主动地应对未来的安全威胁？

以上都是我们可以利用威胁情报帮助我们解决的，但是请看一下威胁情报的侧重点！它能让我们更好地与领导、同事保持一个有效的沟通。不少人读到这里可能不屑一顾了。大家不要着急，让我们看看职业欠钱师傅的对于安全运营的看法。

安全运营定义为：

为了实现安全目标，提出安全解决构想、验证效果、分析问题、诊断问题、协调资源解决问题并持续迭代优化的过程。

我们要知道，安全运营也是需要量化标准的，这个时候根据威胁情报去确定量化标准，例如：

历史上总共发生了多少次有记录的入侵事件？
是否发现每一次入侵事件？
不同时期的主动发现率比例是多少？
每一次无法发现的根本原因定性是什么样的？
已知原因解决的情况如何？
举一反三之后，如何陈述公司面对入侵的主动发现能力？
我们可以罗列出多少种攻击手法？能够发现其中的多少种？
不能发现的部分什么时候能够解决，承诺的发现能力在多少覆盖范围内是有效的？

这个时候我们通过威胁情报分析入侵事件的严重程度和分析，再展现出来，向领导汇报工作的时候、写周报的时候、写年报的时候。大家就不会在纠结我到底做了什么，我的时间花在什么地方上了。与此同时，我们可以通过数据分析提取有价值的情报、量化安全数据，来解释目前的问题，有利于我们和甲方对接人员的沟通和协调。

0X02

参禅

现在我们就知道了为什么每个人都在谈论威胁情报？众所周知，一旦发生安全威胁，每个企业都会第一时间保护其核心数据。安全威胁来自不仅来自外部，还容易在内部出现。最重要的是，企业时时刻刻面临着安全的威胁。虽然获得有意义的信息来制定主动措施是困难且耗时的，但是企业却不敢以此作为赌注。这自然会使得越来越多的用户使用威胁情报，来保护企业自身的安全。因为它有助于在海量数据、警报和攻击中确定威胁的优先级，并提供可操作的信息（如下表所示）。

攻击可大致分为基于用户、应用程序和基础设施的威胁，一些最常见的威胁包括 SQL 注入、DDoS、Web 应用程序攻击和网络钓鱼等。攻击者会不断改进自己的方法来挑战企业的安全系统。因此，组织从各种来源获取威胁情报就变得不可避免。威胁情报共享的主要好处就是能够领先于潜在威胁。通过共享有关已知漏洞和攻击的信息，我们可以采取主动措施来保护我们自己企业的系统，这有助于降低企业被攻击成功的概率。

现在我们知道了威胁情报的基本用处和方法，接下来我们去聊一聊运营人员怎么运用威胁情报，达到自己的目的。威胁情报的利用是一个反应的过程。当问题出现时，SOC团队（或者在某些行业中，专门收集风险情报的分析师团队）会进行人工研判与调查。运营人员可以根据购买的威胁情报服务和基于本企业的OSINT构筑情报网，去发现威胁的轻重程度、哪些威胁是相关联的、以及攻击者可能的后续计划和将会采取的行动。我们运营人员可以变得更加的主动。通过威胁情报带来的讯息，运营员可以争取在问题影响其企业安全之前发现并解决问题。

威胁情报的开发离不开运维人员的参与。作威胁情报分析平台的使用者，清楚第知道需要配置什么样的工具，以改进和优化其性能，并优化情报的质量。运营人员还必须限定威胁情报平台在哪里寻找数据、收集什么、将数据存储在哪里等等（机器不一定有人工准确，因此运营人员的参与，就相当于ChatGPT的提示词，特别重要）。此外，运营人员必须不间断地优化AI算法，以确保威胁情报工具能够识别所有相关的威胁。与此同时，还需要注意搜索的范围不能太大，以免暴露不相关的信息，并产生大量误报。但是，在许多情况下，由于工程师最初无法预测的因素，威胁情报初构建的自动化结果并不理想。这个时候，企业运营人员就需要介入并改进自动化，以推动威胁情报的落实（例如：假设威胁情报平台报告了企业的数据在暗网上出售的警报，但经过运营人员的排查，发现它们是恶意伪造的凭据，而不是真实的数据）。在这种情况下，需要熟练的运营人员来完成这项工作，以确保威胁情报利用效果的最大化。

0X03

悟道

相较于其他安全路径的AI赋能，威胁情报自然也不甘落后。但是，"运营人员"在威胁情报这方面仍具有不可替代的作用。假设我们完全实现了自动化威胁情报数据收集，威胁情报可以离开"运营人员"吗？答案是否定的。出于以下原因，有效的威胁情报仍然依赖安全运营人的参与。威胁总是在不断发展，运营人员需要确保威胁情报不断更新。因此运营人员必须进行该方向的研究，以确定攻击者会使用的基础设施（例如：CDN，域名，IP地址，虚拟货币钱包地址，暗网论坛账号等）以及可能的攻击策略，不断迭代"训练的威胁情报"以跟上不断变化的威胁形势。

运营人员也需要手动寻找威胁行为者，找到他们常去的论坛并与他们聊天。这种方法无法利用AI去实现，因为该方法需要大量运营人员来发现并吸引网络上的每个威胁行为者（例如：当攻击者开始使用ChatGPT生成恶意软件时，威胁情报平台需要进行调整以识别新威胁；当ExpedForums出现时，运营人员发现了这个新论坛并更新了他们的工具以从这个新来源收集情报；当攻击者转向依赖Telegram，需要重新配置威胁情报工具以抓取更多渠道）。当然威胁情报不足以应对企业不断变化的威胁形势。运营人员需要分析情况并确定企业可能面临的威胁，并据此制定相应的预防措施，以下是若干应对的方法：

应用程序白名单和黑名单（防止执行恶意或未经批准的程序，例如：DLL文件、脚本和安装程序）
检查被攻击主机的日志（判断是否是一个孤立的事件）
确定攻击者的攻击流程（倒推出攻击者的攻击路径）
确定发生攻击事件的原因（确定被利用的系统漏洞）

为了解决运营人员手动寻找威胁行为者这个问题，自动化威胁情报应运而生。最早的自动化形式涉及自动抓爬暗网，这使得研究人员能够以更少的精力更快地发现问题。威胁情报自动化进一步发展，获得了爬取封闭论坛（例如：Telegram 群组和 Discord频道）以及威胁行为者聚集的其他地方（例如：市场）的能力。这意味着自动化威胁情报可以从开放网络、暗网和深层网络（包括社交渠道）中提取信息，从而使整个过程更快、更具可扩展性和更有效。

0X04

修道

知道威胁情报的优势，也要知道威胁情报的不足。威胁情报在为个人和公司提供巨大的价值的同时，其满足组织网络安全需求的能力及其提供的优势因公司、行业和其他因素而异。威胁情报面临的常见挑战是，它产生的数据可能庞大且势不可挡，从而导致安全团队的威胁暴露管理工作混乱且效率低下。此外，企业具有不同级别的安全成熟度，这可能导致访问和理解 CTI 数据变得困难。以上问题可以通过定制化的威胁情报服务完美解决。但是，下面的问题需要我们认真对待。

商用和开源人工智能解决方案的好坏取决于它们访问的数据，而且大多数可用的解决方案只能访问有限的数据源（例如：如果向 ChatGPT这类产品询问有关深层网络论坛或暗网市场中发生的事情的问题，由于缺乏访问权限，运营人员可能会收到ChatGPT编造的虚假情报）。当依靠ChatGPT来获取信息并回答从最基本到最关键的一系列问题时，优质的样本数据至关重要（例如：运营人员通常需要掌握企业容易受到哪种类型的恶意攻击，以及企业对网络钓鱼攻击的抵御能力如何。他们还需要知道企业数据是否得到了妥善的保护，以及哪类攻击者会构成巨大的威胁）。由于大多数 CTI 解决方案无法访问深网和暗网上的地下资源，因此ChatGPT因为时效性等问题，无法解决这类问题。而且企业因为网络环境和业务多样的原因，导致AI的答案必须考虑公司的特定攻击面，并将信息与提供相关上下文的威胁情报关联起来，这对与目前的AI来说还是有些困难的。AI在不断的发展中，有望解决这个问题。

运营人员如何利用AI+威胁情报，实现AI生成自动分析企业安全情报，再到随时生成企业安全的高质量报告，已经有些眉目了。许多网络安全公司（更具体地说，威胁情报公司）正在将生成式人工智能推向市场，以简化威胁情报，并使其更快、更轻松地从大量 CTI 数据中获取有价值的见解。但许多人工智能产品都存在一个根本问题：它们利用的数据通常是有限的、过时的或包含不准确的内容，这使得人工智能的输出出现错误且不可靠（例如：采用 GPT 和 Bard 这样的模型会偶尔生成“虚假”或幻觉内容）。如果利用了威胁情报平台的AI生成错误的解决方案，这可能影响你的工作。还有就是AI领域的数据隐私问题，因为现有AI解决方案在保护用户数据隐私方面还处于混沌。所以在选择AI+威胁情报时，应该认真对待的关键需求。

0X05

成仙

对于当今从事安全运营工作的人们来说，自动化威胁情报的价值可能是相当明显的。随着情报数据量不断上升，加上缺少专业的安全运营人员，意味着威胁情报可以帮助运营人员快速地提出方案，高效地解决问题。AI+威胁情报操作可以帮助运营人员迅速的识别并响应威胁，明确运营人员的工作量（这缓解了运营人员部分工作压力）。然而，运营人员如果过于信任威胁情报，不对情报和解决方案进行校验，就会导致自己失业。总而言之，AI+威胁情报服务运用的好坏取决运营人员的辅助和于为其提供数据。

为了发挥威胁情报服务的上限，我们必须保证提供的情报必须广泛，以确保准情报的"宽度"，这就需要运营人员结合企业的实际情况去做好OSINT分析。此外，威胁情报所依赖的信息必须是可信的、最新的和相关的，以确保准情报的"深度"。一般来说，机器学习分析大量数据和查找相关信息更加具有性价比。特别是，机器学习可以构建和标记威胁情报数据，然后找到企业业务的相关的信息。但是，自动化算法不仅需要由运营人员的持续改进、维护和优化（一般针对开源的威胁情报引擎）；还需要对警报进行分类、排除误报、建立威胁追踪成熟度模型并调查潜在威胁。

如何管理和理解威胁情报服务产生的数据和信息？答：管理和理解威胁情报服务产生的数据和信息需要明确目标、选择可靠的服务提供商、建立有效的数据收集和整合系统、进行数据分析和挖掘、与内部安全团队合作、及时更新和共享信息，并持续学习和培训。

补充：威胁追踪成熟度模型，对于威胁追踪，包括不同的阶段：

0X06

总结

回头发现当年的自己，作为安全服务工程师，实在是不够合格。成功发现攻击者的攻击企图和拦截恶意软件，对于任何安全运营人员来说都是一次胜利。安全运营更多的是提高共识、调整安全策略，而不是单纯的"炫技"。最后，希望这篇文章对大家有所启发。如果你对上述文章有意见，欢迎私信，注意不要喷俺！！!

参考链接

https://learn.microsoft.com/zh-cn/azure/sentinel/understand-threat-intel ligence

https://thehackernews.com/2022/12/the-era-of-cyber-threat-intelligence.html

https://thehackernews.com/2023/05/how-to-set-up-threat-hunting-and-threat.html

https://medium.com/@Land2Cyber/the-role-of-threat-intelligence-in-effective-cybersecurity-opera tions-0779f41ba276

https://medium.com/@calebpr/discover-cyber-threat-intelligence-d5e3bb27beb0

https://medium.com/@Land2Cyber/threat-intelligence-staying-one-step-ahead-of-cyber-adversari es-6e5f963c066e