《华为安全沙龙-安全威胁情报体系的建设与应用 for HW》由会员分享,可在线阅读,更多相关《华为安全沙龙-安全威胁情报体系的建设与应用 for HW(37页珍藏版)》请在金锄头文库上搜索。
1、安全威胁情报体系的建设与应用 什么是安全威胁情报 当前信息安全防护体系面临困境 难以从海量的安全事件发现真正的攻击行为 IDS SOC等传统安全产品使用效率低下 某一点确认的安全事件不能及时在组织内及时有效地进行共享 组织内部难以有效协同 不同类型 不同厂商的安全设备之间的漏洞 威胁信息不通用 不利于大型网络的维护管理 斯诺登等事件揭示的NSA对我国的攻击手段 目前的手段难以有效识别发现 亟需对现有安全体系进行升级 应用安全威胁情报技术建设安全威胁情报平台 攻防速度之争 速度 速度 还是速度 AttackBegins SystemIntrusion AttackerSurveillance C
2、over upComplete AccessProbe LeapFrogAttacksComplete TargetAnalysis TIME AttackSet up Discovery Persistence Maintainfoothold Cover upStarts AttackForecast PhysicalSecurity Containment Eradication SystemReaction DamageIdentification Recovery DefenderDiscovery Monitoring Controls ImpactAnalysis Respons
3、e ThreatAnalysis AttackIdentified IncidentReporting Needtocollapsefreetime ATTACKERFREETIME TIME Source NERCHILFReport June2010 安全威胁情报是 一些 热 词 SecurityIntelligence安全 安全情报ThreatIntelligence威胁情报SecurityThreatIntelligence安全威胁情报CyberThreatInformationSharing网络威胁信息共享IntelligenceAware情报感知IntelligenceDriven
4、情报驱动Intelligence AwareSecurityControl基于情报感知的安全控制ContextAware情境感知信誉库 OSINTDellSecureWorksRSANetWitnessLive VerisigniDefenseSymantecDeepsightMcAfeeThreatIntelligenceSANSCVEs CWEs OSVDB Vulns iSightPartnersThreatStreamOpenDNSMAPP 企业外部的安全威胁情报源 含开源及商业 IBMQRadarPaloAltoWildfireCrowdstrikeAlienVaultOTXReco
5、rdedFutureTeamCymruISACs US CERTFireEye MandiantVorstackCyberUnitedNorseIPViking Darklist 企业内部的安全威胁情报源 提供安全情境 Directoryuserinformation personale mail access userprivilege start enddate Proxyinformation content DLP businessunitrisk tradesecrets IPsensitivedocs ITCasehistory tickettrackingMalwaredetec
6、tion AValertsSensitivebusinessroles Applicationusage consumptionevents in house Databaseusage accessmonitoring privileged Entitlements accessoutliers in house Userbehaviorassociationbasedongeography frequency uniqueness andprivilege 情报平台Threatintelligenceplatforms TIPS 预计至2018 50 的一线组织和MSSPs将会使用以MRT
7、I为基础的TIP平台 目前不到5 安全威胁情报应用示例之RSANetWitnessLive Livegathersthebestadvancedthreatintelligenceandcontentintheglobalsecuritycommunity LiveManagerprovidesconfigurablemanagerwithadashboard Aggregates consolidatesonlythemostpertinentinformation Transparentintegrationwithcustomer sliveandrecordednetworktraff
8、ic 安全威胁情报应用示例之RSANetWitnessLive RSAFraudactionDomainsRSAFraudactionIPNWAPTAttachmentsNWAPTIPNWAPTDomainsNWSuspiciousIPIntelNWCriminalVPNEntryDomainsNWCriminalVPNEntryIPNWCriminalVPNExitIPNWCriminalVPNExitDomainsNWCriminalSOCKSnodesNWCriminalSOCKSUserIP sNWInsiderThreatDomainsNWInsiderThreatIP APTFil
9、enamesPalevoTrackerIPPalevoTrackerDomainsQakBotC2DomainsCriticalIntelligenceDomains SCADACriticalIntelligenceIP s SCADADynamicDNSDomainsTORExitNodesTORNodeseFaxsites dataleakage iDefenseThreatIndicatorsISECExposureBlacklistDomains 安全威胁情报应用示例之RSANetWitnessLive 安全威胁情报应用示例之IBMQradarSIP BridgessilosHigh
10、lyscalableFlexible adaptable EasydeploymentRapidtimetovalueOperationalefficiency ProactivethreatmanagementIdentifiescriticalanomaliesRapid extensiveimpactanalysis 安全威胁情报应用示例之IBMQRadarSIP ContextandCorrelationDriveDeepestInsight ExtensiveDataSources DeepIntelligence ExceptionallyAccurateandActionable
11、Insight SuspectedIncidents DatabaseActivity Servers Mainframes Users Identities VulnerabilityInfo ConfigurationInfo SecurityDevices Network VirtualActivity ApplicationActivity 安全威胁情报应用示例之IBMQRadarSIP FullyIntegratedSecurityIntelligence 安全威胁情报应用示例之McAfeeThreatIntelligence 安全威胁情报体系的建设 STIX StructuredT
12、hreatInformationeXpressionTAXII TrustedAutomatedeXchangeofIndicatorInformationCybOX CyberObservableeXpressionMAEC MalwareAttributeEnumerationandCharacterizationOpenIOC OpensourcedschemafromMandiantIODEF IncidentObjectDescriptionExchangeFormatCIF CollectiveIntelligenceFrameworkIDXWG IncidentDataeXcha
13、ngeWorkingGroup 标准是最好的建设参考 主要协议和标准比较 STIX标准要点浅析 STIX标准要点浅析 TAXII标准要点浅析 TAXII标准要点浅析 TAXII标准要点浅析 美国联邦政府标准NIST800 150Draft要点浅析 美国联邦政府标准NIST800 150Draft浅析 美国联邦政府标准NIST800 150Draft浅析 美国联邦政府标准NIST800 150Draft浅析 IPaddressesanddomainnamesURLsinvolvedwithattacksSimpleMailTransportProtocol SMTP headers emaila
14、ddresses subjectlines andcontentsofemailsusedinphishingattacksMalwaresamplesandartifactsAdversaryTactics Techniques andProcedures andeffectiveness Responseandmitigationstrategies ExploitcodeIntrusionsignaturesorpatternsPacketcapturesofattacktrafficNetFlowdataMalwareanalysisreportsCampaign actoranaly
15、sesDiskandmemoryimages 典型共享信息内容 美国联邦政府标准NIST800 150Draft浅析 共享过程中需要注意隐私问题URL 域名 IP 文件名等信息不能暴露被攻击者捕获的报文不能包含登陆凭据 财务信息 健康信息 案件信息及web表单提交数据等钓鱼文件样本不能包括任何与事件响应人员无关的敏感信息Web 代理日志中不能包含如登陆凭据 URL参数中的ID数字等个人或业务行为网络流量 NetFlow信息不能暴露员工行为或企业中与调查无关的内容 如访问了医疗情况相关的网站 恶意代码样本 内容里面不能包括用户业务或个人相关信息信息的敏感性也至关重要 需要遵从谅解备忘录MOUs
16、保密协议NDAs或其他协议框架 同时也需要遵从PII SOX PCIDSS HIPPA FISMA GLBA等法律法规 同时也必须对交换的信息进行标识 约定其使用范围 我的TIPS理想架构 智能威胁信息交换平台 防火墙 IDS IPS Anti APT 防病毒网关 客户端防病毒 SDN DPI 检测 网关类设备 SIEM 网管 分析平台 上级智能威胁信息交换平台 外部智能威胁信息交换源 待分析威胁数据 威胁数据feed APT分析 事件管理 日志关联分析 查询搜索 验证 威胁情报管理 威胁情报上报 威胁情报获取 威胁情报获取 威胁情报获取 威胁情报上报 威胁情报共享 响应管理 安全威胁情报体系的应用 NG的NG 情境 情报感知 以SECaaS模式为核心的网络安全情报中心 安全威胁情报的发展方向 人读 机读 简单 丰富 非实时 实时 孤立 共享 应用结构化的indicatorsofcompromise IOC 参考STIX定义安全威胁情报元模型 并对关键指标进行标准化内部 外部可共享的IOCs情报数据尽量多样化 不应仅是信誉库应用威胁情报开展情境分析SOC等分析型优先 逐步推动防护设备支
