《我是超級工具人》07-威脅情資助資安團隊一臂之力

上一篇我們說到,偵測未知威脅是一條永無止盡的活動,必須從那5%的正常活動找到駭客的足跡
那是否能有專家協助我們及早治療,長命百歲?讓我們站在巨人的肩膀上,對威脅有更快速的反應?
有的,這就是威脅情資

威脅情資指的是「與網路攻擊相關的資訊,經由專業團隊收集、轉換、分析、解釋等處理過程,提供資安決策過程所需要的基礎。
依據其內涵,可以分為三個層次:

  1. 戰略型威脅情資(Strategic Threat Intelligence): 無技術細節,可由資訊人員或CIO使用;用於辨別誰會攻擊、為何攻擊
  2. 實戰型威脅情資(Operational Threat Intelligence): 需要技術背景,由SOC主管、分析研究員等使用;用於理解攻擊者的TTPs (Tactics、Techniques、Procedures)
  3. 戰術型威脅情資(Tactical Threat Intelligence): 需要技術背景,通常是SOC人員使用;以威脅指標(indicator of compromise, IoC)監看特定攻擊事件

威脅情資的來源如下:

  1. 多媒體:新聞、電視、報章雜誌
  2. 社群網路:Facebook、X、Instagram
  3. 政府公開資料:政府資料開放平台
  4. 搜尋引擎:Google、百度、Yandex
  5. 電子郵件、網域資訊
  6. 暗網
  7. 不光明的手段:如稜鏡計畫國家間諜。有一個笑話是:美國透過監控程式通知德國總理他的手機有俄羅斯間諜程式

威脅情資如何成為資安管理上的助力?

  1. 發佈IoC還有TTP規則更新到使用者端點
  2. 給予事件調查回應,事件調查後找到的IoC又回傳給威脅情資
  3. 產出威脅趨勢等報告
  4. 發佈漏洞管理報告

資安團隊得到這些情資後,可進行以下步驟

  1. 根據威脅情資提供的資料,在病毒碼發佈前,資安團隊即可先建立IoC指標
  2. 以及更新內部網路的YARA Rule,建立防火牆阻擋規則
  3. 閱讀漏洞報告後,對相關產品進行軟、韌體更新
  4. 藉由威脅情資,比對公司內部是否遭受同樣的攻擊,回饋給威脅情資廠商

活用威脅情資於現有的防護工具上,就可以在最短的時間內降低威脅的影響

發表迴響

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料