【情报】情报和国家安全联盟(INSA)网络情报《战术网络智能》白皮书

释放双眼,带上耳机,听听看~!

介绍

网络智能是对攻击者在网络领域的能力,意图和活动的综合评估,并使用该评估来告知组织的网络安全状况。在本文中,“对手”可以适用于范围广泛的网络参与者,包括国家和非国家实体,以及跨国犯罪组织,市场竞争者和“孤狼”网络犯罪分子和黑客行为主义者。

其中的集体线索是渗透组织网络并窃取,修改或破坏数据的动机,其目的可能会损害组织的安全性,削弱其商业基础和/或破坏其日常运营。今天,网络越来越成为对手的第一手段,他们享受低成本,高效率。为了应对这种威胁形势,网络情报使组织能够更好地了解他们所面临的攻击类型,主动防御这些攻击,并更有效地管理企业,数据和交易风险。

自2013年以来,情报和国家安全联盟(INSA)网络情报工作组提出了该学科的基本思想和方法,特别关注网络智能如何在组织内的战略和运营层面发挥作用,白皮书于3月发布和2014年10月。本文是本系列的第四篇,将集中讨论战术网络情报,该网络智能解决了网络威胁数据,洞察和分析的日常管理问题。在基础论文“网络智能的运营级别”(2013年9月)中,我们将战术级别定义为“网络行为发生的地方”。

现在,我们将研究战术网络情报计划的一些关键要素。目标是向政府,学术界和私营企业通报我们认为应优先考虑的领域以及在实施战术网络情报思考,分析时应考虑的具体职能。和团队流程。本文以及网络智能系列作为一个整体,可以作为组织的初始出发点,因为他们致力于定义,完善和实施网络威胁情报最佳实践和方法。

 

战术网络情报和信息安全成熟度

战术层面的网络情报检查网络上发生的事情,重点关注组织网络防御的优势和脆弱性,以及对手使用的策略,技术和程序(TTP)。组织实现这一目标的能力 – 并利用这种智能为行政领导层的战略决策提供信息 – 取决于其信息安全计划的成熟程度。信息安全成熟度主要取决于组织对风险的理解以及致力于降低风险的资源。信息安全成熟度因公司和部门而异。

信息安全成熟度模型很多,由公共和私营部门实体提供,并有助于指导组织的信息或网络安全发展。

这里我们将确定信息安全成熟度(一般来说)与组织从网络智能中开展和受益的能力之间的关系,而不是规定(并推断)单一模型。

•不成熟的信息安全:这些组织几乎没有对安全性进行优先排序,也没有以安全为中心的工具,专业知识或流程。信息技术(IT)团队兼作安全团队,更专注于网络功能而不是网络安全。结果,这些组织无法实现网络智能的价值。

•成熟的信息安全但没有智能能力:这些组织已将网络安全作为优先事项。他们投入大量资源来保护其网络并捕获,记录和分析妥协指标(IOC),其中包括病毒签名和Internet协议(IP)地址。一些组织将有一个分析师,或者在大型组织中,有一个安全运营中心(SOC),致力于监控网络安全系统。蜜蜂网是一个设有故意漏洞的网络,可能会被用于诱捕对手并更好地了解其动机和活动。成熟的组织拥有由其安全团队监控的威胁情报源。

•强大的信息安全性,包括专用的网络情报功能:这些组织可能会监控多个威胁数据源,并与其业务部门的其他公司进行正式和非正式的威胁情报共享。他们的SOC包括或伴随着已建立的网络情报单元,在组织内部具有分析和报告功能。该组织愿意在必要时投入额外资源,以跟上不断发展的对抗性技术和方法的速度。

成熟的信息安全流程可为组织的关键决策者提供可操作的情报。 “可操作的情报”是指从各种来源集成,处理和分析的信息,以便客户可以立即使用它来实现其网络安全目标。 当行政领导是客户时,网络情报评估可以使管理人员采取果断行动,提高组织减轻或预防网络事件的可能性。他们还通过帮助他们了解客户(例如,执行领导)期望的信息(见下图),为组织的网络情报管理人员和运营商提供关键反馈。

 

战术网络智能的好处

战术网络智能以下列方式为组织提供便利:

1.提供大量数据的上下文和相关性。许多大型组织无法理解数据,过滤数据并使其有用,因此可以访问数TB的数据。在战术的日常水平上,滤除噪音至关重要。战术网络智能引入了有条理的流程,可帮助管理传入的不同数据集,将其转化为具有洞察力和可操作性的智能,以满足组织的威胁信息需求。

2.授权组织发展积极的网络安全态势,并加强其整体风险管理政策。战术层面的网络智能必须足够具体,以支持组织将风险降至最低的能力。通过识别网络和组织的漏洞以及对抗行为的模式,战术网络智能可以提供对攻击模型的见解,揭示风险最高的区域。它还可以识别技术,业务或任务缺陷,并帮助定义和减轻组织的企业风险。

3.在检测到网络入侵期间和之后,通知更好的决策。系统和安全日志以及其他来源收集的威胁信息可以更全面地描述对手如何获得或试图获得对组织的访问权限。妥协指标(IOC)包括病毒签名和恶意软件文件,IP地址以及异常网络活动的其他技术线索,这些线索可以帮助揭示攻击者的TTP以及访问过的数据。国际奥委会可以帮助揭示对手的身份,意图和动机。

4.推动网络安全态势的动力,这种态势具有预测性,而不仅仅是被动的。更成熟,更具包容性和敏捷性的网络安全框架将使组织能够收集和分析更多数据集,同时补充战术网络情报流程。分析数据越具有包容性,洞察力就越完整,从而更好地为所有对手准备组织的网络防御能力。

公共和私营部门组织的网络攻击频率和严重程度表明需要更具弹性,敏捷和预防性的网络安全措施。站立的外围防守姿势,无论多么强大,都不是当今对手和威胁载体的单一解决方案。将自己视为困难目标的组织迫使对手去其他地方或花费更多资源。目标是提高对手实施成功攻击的成本。

随着组织转向更先进的信息安全模型,战术网络智能在适当使用并由各级决策者支持时可以成为一种有效的工具。它使决策者能够简化信息安全流程,并创建利用最及时和最有影响力的信息的程序,以及更好地分配分析师和其他资源。随着势头的增强,公司能够与值得信赖的同行分享IOC,从而加强跨行业的网络防御和犯罪预防。

我们建议组织在创建战术网络情报计划时应考虑的四个方面:

•网络情报准备环境(CIPE)

•网络情报生命周期

• 信息共享

•网络威胁数据源

 

网络智能制作环境

网络智能环境准备(CIPE),或者被认为是网络环境的智能准备(IPCE),源于美国军事术语“战场准备”(IPB)。 IPB是一种分析方法,用于减少威胁和操作环境的不确定性,包括网络以及空中,陆地,海洋和太空。私营部门信息网络今天可以像任何战场一样充满活力; 因此,CIPE可以轻松地适应,以帮助企业和机构最大限度地发挥其安全态势。

 CIPE需要不断重复四个步骤:

1.定义技术操作环境

2.描述技术操作环境的影响

3.评估对手

4.确定对手行动课程(COA)

作为战术网络情报计划的一部分,CIPE是保护组织最重要资产的基础。 目标是全面了解组织的运营环境和威胁形势,并减少整个企业的不确定性。组织面临的不确定性越少,其对手面临的挑战就越大。 

简而言之,我们将研究这四个步骤。

1.定义技术操作环境

这包括完全了解您的技术网络 – 包括信息技术,硬件,软件,无线资产和在线业务流程 – 及其漏洞和优势。网络上最有价值的数据是什么?它在哪里以及谁可以访问它?进行此类评估将使组织了解其差距,风险,不足和优先事项。这种全面的资产视图提供了帮助计划使用新技术,业务或任务目标所需的信息。

2.描述技术操作环境的影响

了解技术环境如何影响组织的运营至关重要。了解IT和无线技术的使用如何影响企业风险,业务风险和技术风险可以提供开发网络基线的信息,这将告知组织应该在哪些方面应用其资源以实现最有效。此基准应包括友好的外部环境(例如,合作伙伴,客户,供应链)和不友好的外部环境(例如,那些风险增加或对您的环境构成直接威胁的环境)。

3.评估对手

此步骤识别并评估对手的TTP,包括技术能力和限制,操作模式以及潜在动机和意图。基于入侵趋势数据,开发了模型,描述了攻击者通常如何进行网络攻击以及他们如何调整方法。高级步骤可能包括审查对手的TTP,以制定与各种威胁向量和刑事行动方案(COA)相关的关键指标。

4.确定对手的行动课程

第四步建立在对对手的可能意图和未来战略的理解之上。需要收集的一些信息包括对手的可能目标和期望的最终状态,这需要识别,评估和优先考虑每个COA。答案通常可以在年度数据泄露报告,US-CERT报告以及FBI当地的InfraGard或互联网风暴中心等组织中找到。

 

通过实施CIPE,组织:

•找出知识差距,这将推动信息和情报收集,以填补这些空白。 换句话说,知识差距成为优先考虑的情报要求。

•了解网络中存在的复杂性以及如何改进保护。

•将传统计算机网络防御与非技术操作依赖关系对齐,包括业务合作伙伴和客户。

•揭示对手的能力,趋势和可能的意图。

•帮助团队了解网络及其周围环境,以确定对手可以采取的行动方案。

•了解对手可以采取哪些措施来制定预防,缓解和响应计划。

•通过减少网络攻击的不确定性和风险,加强组织的安全态势。

 

网络智能生命周期

CIPE流程奠定了战术网络情报计划的基础。接下来是智能生命周期的实施,包括将从原始技术和非技术数据的收集和分析中生成可操作情报的过程。美国情报界(IC)机构的情报生命周期各不相同,部分原因是这些生命周期旨在处理许多不同类型的情报,包括人类情报(HUMINT),信号情报(SIGINT)和地理空间情报(GEOINT)。它们是在网络领域出现之前很久就开发出来的,需要从在线平台和这些平台上的演员那里收集“CYBERINT”信息。这些模型现在正在经历自己的演变,以更好地应对21世纪的环境。利用FBIiii和CIA’siv目前分别采用情报生命周期的元素,可以开发一个网络智能生命周期来推动战术网络情报计划。

七个阶段如下所述:

 

1.要求:第一步是确定所需的具体信息以及获取信息所需的信息。如果组织正在扩展其供应链或开放新的合作伙伴关系,网络情报团队可以进行评估,以确定新合作伙伴的安全态势的状态,是否已被破坏或受到攻击,以及使用了哪些TTP。其他请求可能更具技术性,例如获取行业内和其他地方的近期攻击的详细信息和样本。这包括将其与组织当前的安全态势进行比较,然后确定并弥补差距。

2.收集:收集有用的数据涉及各种来源,例如新闻提要,付费服务,论坛,白皮书,甚至人力资源。参与网络威胁信息共享场所也极大地增强了收集能力。

了解哪些来源可能是可靠的并产生相关信息是一个费力但关键的过程。

3.过程和利用:将数据转化为可操作的情报需要一个可重复,易于实施的分析过程,并产生有价值的见解。一致的方法有助于构建数据 – 从更大的数据集中提取相关信息,并确定哪些元素适用于组织的资产 – 并将数据解释为可消化的内容。通过收集特定的IOC,包括IP地址,域,URL,电子邮件地址,文件名和加密哈希函数(例如,MD5,SHA),分析师可以开始将此数据转换为智能。另一方面是寻找通过合成当前数据来创造智能的机会。目标是确定可以汇总到更广泛的中级和高级管理人员智能产品的趋势。

4.分析和生产:在这个阶段,智能评估被打包并与客户(例如,执行领导)共享,以更好地为公司决策提供信息。这些情报评估是通过将综合和评估信息与已知事实和预定假设进行比较得出的。将这些推论结合起来并进行评估,以识别模式,识别事件并发现异常。所产生的情报评估可能会在诸如战术网络威胁指示和警告以及一般情报洞察(例如,商业软件/硬件或供应链中新发现的漏洞)等报告中达到高潮。

5.传播:随着情报评估的最终确定,领导层将对其进行审查,以确保其符合初始要求,并对其中的数据进行适当分类以进行传播。收件人可以包括其他分析师,高级管理人员(技术和非技术)以及其他非技术客户。这种广泛的受众需要能够理解信息,消化其内容,并了解需要采取的行动。

6.消费:确保智能产品满足客户的需求至关重要。因此,所提供的情报需要根据不同受众的关键兴趣和目标进行调整。每个受众都应该了解信息如何影响他们的业务或任务目标。

7.反馈:客户反馈对于确定产品是否满足其要求或是否需要后续工作至关重要。理想情况下,反馈在整个生命周期中持续进行。网络情报规划人员,收集人员,分析人员和传播人员协调确定是否需要改进任何操作。情报运营商积极寻求改善他们自己的表现以及他们参与的团队活动的表现。

 

某些信息 – 例如精确的实时攻击指标- 要求立即采取行动,例如,针对类似组织的高级持续性威胁(APT)的一般知识需要提高认识并纳入长期防御性举措。网络威胁情报过程必须能够兼顾两者,不仅支持日常安全操作,还支持组织的长期战略前景。

信息共享

无论组织的网络智能生命周期多么严谨和有先见之明,它都无法在真空中取得成功。成功共享数据,见解和分析是有效的战术网络情报计划不可或缺的一部分。许多组织的综合知识和及时协作加强了所有相关方的安全态势。

目前,网络威胁信息共享通过信息共享和分析中心在特定区域进行。通过ISAC,组织可以持续有效地共享技术和非技术数据。许多ISAC致力于关键基础设施,包括电力,水,公共交通和金融服务最近,美国政府在促进与私营部门共享网络威胁信息方面取得了显着进展。 

2015年2月,奥巴马总统签署了一项行政命令“促进私营部门网络安全信息共享”,“鼓励和促进私营部门内部以及私营部门与政府之间共享网络安全威胁信息。”该命令还指示建立国家网络安全和通信集成中心(NCCIC)作为“联邦政府和私营部门合作伙伴之间的网络安全信息共享,事件响应和协调的全天候中心”。

行政命令还解决了信息共享方面的一项重大挑战,即信息共享流程缺乏统一性。根据美国国土安全部的数据,德克萨斯大学圣安东尼奥分校被命名为信息共享和分析组织(ISAO)发展标准组织,该组织将允许更多的跨部门信息共享:通过公开的,不限成员名额的参与,ISAO标准组织将制定符合所有行业团体需求的透明最佳实践,而不仅仅是传统上由ISAC代表的行业团体。

虽然会员和运营标准将由标准组织制定,但ISAO最佳实践模型旨在:

•包容性 – 来自任何和所有部门,非营利或营利,专家或新手的团体应该能够参加ISAO。

•可行 – 如果团队选择参加ISAO,团体将通过自动化的实时机制获得有用且实用的网络安全风险,威胁指标和事件信息。

•透明 – 对ISAO模型感兴趣的团队将充分了解该模型的运作方式以及是否满足其需求。

•可信 – ISAO的参与者可以请求将其信息视为受保护的关键基础设施信息(PCII)。这些信息不受“信息自由法”或“国家阳光法”要求的任何释放的保护,并且不受监管使用和民事诉讼的约束.

随着越来越多的组织开始实时共享技术数据,出现了一些必须满足的先决条件,以优化效率和效率。

1.常见的网络威胁数据分类和词汇。

MITRE开发的结构化威胁信息表达(STIX)viii和可信自动化指标信息交换(TAXII)是帮助组织开始与参与网络威胁数据共享的其他公共和私营部门组织“说同一种语言”的潜在工具。 。STIX是一种用于描述网络威胁信息的结构化语言,因此可以以一致的方式进行共享,存储和分析。 TAXII是“STIX中代表的网络威胁信息的主要传输机制。”ix实施后,TAXII可以跨组织和产品/服务边界共享可操作的网络威胁信息。 TAXII还定义了概念,协议和消息交换,以共享网络威胁信息,以检测,预防和减轻网络威胁。

2.一种接收,搜索,分析和存储网络威胁数据的方法。

如果没有接收和存储信息的能力,组织就无法有效地共享信息。如果组织没有足够的资金来内部开发此功能,则可以通过投资商业平台或将其作为服务外包给外部供应商来实现。作为安全优先事项,网络智能的发展已经形成了一个提供这些平台和服务的竞争市场

 

3.自动共享网络威胁数据的能力。

鉴于威胁形势的复杂性不断变化,事件发生的速度,以及网络情报和网络威胁信息共享中涉及的大量数据,推动有效的自动化以帮助人体分析或以机器速度执行防御行动是任何有效方法的先决条件。通过利用TAXII或类似机制,组织可以以安全和自动的方式共享网络威胁信息。

4.在可行的情况下结合人类分析判断的能力。

在许多情况下,组织希望以人类可读和机器可解析的方式交换信息。组织不仅消费数据,还评估数据,作为情报收集和分析过程的一部分。在评估特定情报的价值时,人类分析判断没有精确的替代品。

5.了解如何对网络威胁数据进行分类。

这里的数据分类是指更广泛的数据管理原则,而不是IC的安全许可说法。对数据进行分类可以最大化共享,同时最大限度地降低源和方法受损的风许多ISAC使用交通灯协议(TLP)xi来促进信息共享。它使用熟悉的配色方案来提供有关数据应该分享的广泛程度以及这些收件人应如何利用它的指导(参见第11页)。当收到TLP Amber的文档时,组织的网络情报专业人员知道这些信息的共享仅限于那些需要知道此信息的人。通过使用TLP或类似的数据分类方案,组织可以确保其数据将与适当的受众共享,但不能太广泛以至于共享将对其安全性或声誉带来风险。

 

网络威胁数据共享

只有当共享的信息提供价值时,信息共享才是一种资产,使内部和外部网络威胁数据的质量来源成为战术网络情报计划的关键要素。 查找有价值的数据源通常取决于您知道您拥有哪些数据集以及您需要哪些见解。目标是开发多个来源,以全面了解您所在行业面临的威胁,您的组织最容易受到的威胁媒介,以及如何预防或检测活动。 在最佳情况下,这些供稿可以帮助组织识别对手及其目标。

 

网络情报团队不仅应该考虑威胁源的属性,还应该考虑组织利用数据的能力。

 

网络情报团队不仅应该考虑威胁源的属性,还应该考虑组织利用数据的能力。只有在您能够获取,处理和管理这些信息以获得重要见解时,才能获得数据。获取关键信息需要清楚地了解组织的需求,了解哪些数据源最有效,并采用正确的方法来充分利用它。基于对组织安全状况和已确定的入口点的当前知识,网络情报小组需要确定哪些附加数据有助于预防,检测或预测攻击。例如,可能会有大量的鱼叉式网络钓鱼电子邮件影响其中一个业务部门,团队想知道是否以及何时其他部门可能受到攻击。此外,ISAC可以识别针对某些技术的特定类型的攻击。组织可以使用这些数据来确定需要加强的明确漏洞区域。与组织内外同事,其他公司的同行,行业专家和协会以及当地执法部门和政府官员的关系可以提供有用的信息来源。信息和网络情报。

 

为了评估网络威胁数据的来源,一些标准包括:

•来源的可信度如何?

•此来源提供的数据是否可行?

•如果源来自我们的内部IT基础架构,我们是否拥有捕获或生成正确数据的正确工具?

•我们是否有时间投资于促进利用此数据源可能需要的关系?

•涉及的费用是多少?

•如果是信息共享安排,是否有必要的流程? 我们清楚我们分享的数据吗?

 

结论

主要针对内向的网络安全方法并不能独立地应对当今的网络威胁形势。正如物理安全需要锁和警报一样,您还需要了解您所在社区的犯罪趋势和日常事件,以便您可以采取措施保护您的家人或企业。对网络安全有更多外向和协作方法的可比性需求。战术网络智能使组织能够识别并最小化潜在的威胁和漏洞,并使攻击者在发现网络之前在网络上运行的时间更短。在内部,它可以帮助组织了解他们拥有的内容,风险所在的位置,以及如何加强和成熟他们的安全架构。

网络情报计划的价值主张包括洞察您所在行业的运营环境,防止大多数网络对手破坏您的网络或窃取您的数据的能力,以及以具有成本效益的方式保护您的收入,使命和声誉的能力办法。可以采取防御性战略,精确地针对最重要的威胁并保护最关键的资产。安全团队将拥有做出明智风险决策所需的知识,并投资于最佳安全控制。

战术网络智能包括设置优先级要求,收集或访问和分析关键数据,将结果转换为可消耗且可操作的产品,并评估该产品的有用性。然后,这将反馈为未来提出有针对性和有影响力的问题。

将战术网络智能成功整合到任何组织中应该包含一个基本路线图,详细说明您计划保护的系统,您计划实施的智能技术,您计划开发的功能以及每种技术实施时间的时间框架。应识别,汇总和验证信息来源;他们还应提供与风险最大的威胁类型相关的数据。

战术网络情报是对组织传统网络安全技术和方法的补充,但不能取代它。在两者之间取得平衡,允许前者加强后者,是保持领先于针对您的组织或其部门的对手的最佳途径。

本文源自微信公众号:丁爸 情报分析师的工具箱

人已赞赏
安全工具

【情报论文】公安情报分析师职业化建设实证研究

2019-10-15 16:10:07

安全工具

【案例】《一线》之《监控中断》

2019-10-15 16:10:40

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索