《我是超級工具人》07-威脅情資助資安團隊一臂之力

上一篇我們說到,偵測未知威脅是一條永無止盡的活動,必須從那5%的正常活動找到駭客的足跡
那是否能有專家協助我們及早治療,長命百歲?讓我們站在巨人的肩膀上,對威脅有更快速的反應?
有的,這就是威脅情資

威脅情資指的是「與網路攻擊相關的資訊,經由專業團隊收集、轉換、分析、解釋等處理過程,提供資安決策過程所需要的基礎。
依據其內涵,可以分為三個層次:

  1. 戰略型威脅情資(Strategic Threat Intelligence): 無技術細節,可由資訊人員或CIO使用;用於辨別誰會攻擊、為何攻擊
  2. 實戰型威脅情資(Operational Threat Intelligence): 需要技術背景,由SOC主管、分析研究員等使用;用於理解攻擊者的TTPs (Tactics、Techniques、Procedures)
  3. 戰術型威脅情資(Tactical Threat Intelligence): 需要技術背景,通常是SOC人員使用;以威脅指標(indicator of compromise, IoC)監看特定攻擊事件

威脅情資的來源如下:

  1. 多媒體:新聞、電視、報章雜誌
  2. 社群網路:Facebook、X、Instagram
  3. 政府公開資料:政府資料開放平台
  4. 搜尋引擎:Google、百度、Yandex
  5. 電子郵件、網域資訊
  6. 暗網
  7. 不光明的手段:如稜鏡計畫國家間諜。有一個笑話是:美國透過監控程式通知德國總理他的手機有俄羅斯間諜程式

威脅情資如何成為資安管理上的助力?

  1. 發佈IoC還有TTP規則更新到使用者端點
  2. 給予事件調查回應,事件調查後找到的IoC又回傳給威脅情資
  3. 產出威脅趨勢等報告
  4. 發佈漏洞管理報告

資安團隊得到這些情資後,可進行以下步驟

  1. 根據威脅情資提供的資料,在病毒碼發佈前,資安團隊即可先建立IoC指標
  2. 以及更新內部網路的YARA Rule,建立防火牆阻擋規則
  3. 閱讀漏洞報告後,對相關產品進行軟、韌體更新
  4. 藉由威脅情資,比對公司內部是否遭受同樣的攻擊,回饋給威脅情資廠商

活用威脅情資於現有的防護工具上,就可以在最短的時間內降低威脅的影響

發表迴響

This site uses Akismet to reduce spam. Learn how your comment data is processed.