安全行业已经从仅专注特征码,转变到了将IoC(入侵指标)也纳入进来。因为各方面看来,IoC都更加便捷,也兼容各种不同检测平台。是时候重视IoC并更加有效地使用它们了。
然而,这个转变过程中,IoC遭到了不公正的责难。个中原因很容易理解:指标有时候可能只是缺乏上下文的一些数据片段。安全人员在努力保护公司环境的时候,往往苦于从数据中提炼出有意义的东西,不知道该到哪里去发现真正的价值。
大多数安全人员真正想要的,是对对手的了解——对手所用的工具以及战术、技术和规程(TTP)。通过了解对手来强化自身防御,让坏人的日子不好过。但这一层次的信息,往往不会轻易交到安全人员手上。正如老话所说,“细节决定成败”,这里的细节,就是IoC。
很多公司当前的安全基础设施都是碎片化的,几十种安全产品各自为战。因为这些产品没有集成到一起,架构中的每一层都创建自己的日志和事件,产生大量数据。系统日志中充斥着不良IP地址和域名,昭示着可能的C2服务器通信、数据渗漏或非法服务;还有对应特定/恶意文件的散列值;以及指向敌手的网络和终端。所有这些指标都能揭示恶意行为,但安全分析师却难以确知要先找寻和调查什么。
IoC的重要性就体现在这里了。IoC是所有这些迥异日志的最小公约数,是将各安全工具的所有输出整合在一起的切实方法。IoC可以让你构建整体视图,从指标追踪到敌人或攻击活动,对自身环境中正在发生的事情有更深刻的了解。
举个例子。你看到一个没见过的IP地址,需要有关该地址的更多信息,于是你从外部威胁情报平台尽可能地收集相关数据。通过这些分析,你可能发现该IP地址与某个攻击活动或对手相关联。然后你决定收集更多关于该攻击活动或对手的情报,了解他们会用的TTP和其他相关指标。
所以我们不妨假设与该特定对手相关联的指标有21个。你已经看到一个了(IP地址),所以检查一下有没有其他20个是有意义的。好吧,仔细一找,又发现了10个指标。于是,很可能你已经被这个对手侵入了。而如今你可以主动发送剩下10个指标来强化安全基础设施,抵御该特定对手。
如上述例子所示,IoC是成功调查与防护的关键因素。但你需要一个资源库来整合内部各系统产生的数据和外部威胁馈送的数据,并添加进上下文丰富这些数据。否则,指标仅仅是噪音而已。缺乏整合和上下文丰富,正是IoC蒙受不白之冤的原因所在。
威胁情报平台(TIP)可以聚合并规范化威胁和数据,然后关联数据并应用进上下文。于是,在能提供有价值洞见的IoC加持下,你便能用它导向对手和他们所用的TTP。反映敌人活动的相关指标看得更全面更清楚了,自家公司被入侵的确凿证据也就昭然若揭了。而对敌手所用方法有进一步的了解,恶意活动阻止起来也会更快些,还可以防止未来的类似攻击。
从仅使用特征码迁移到包含进IoC的利用非常充分。然而不幸的是,迁移过程中安全团队被自身各种各样的安全日志和威胁馈送数据所淹没,这些数据有些来自商业源,有些是开源的,有些是行业内的,有些则来自现有安全厂商。所有这些数据都能提供巨大价值,但却通常处于未被开发状态。与其无视IoC,不如抓紧时间更有效地利用起来,用以对抗无孔不入的各路敌手。
作者:Martin
来源:51CTO