1、如何理解威胁情报和数据分析

在企业安全运营中心建设阶段中我们期望通过汇总大量的安全日志事件分析安全数据和威胁映射。
获得攻击者所采用的各种攻击手段特别是遇到鱼叉攻击钓鱼邮件攻击这种问题时我们希望能够通过数据分析和挖掘的方式来追踪到对手的行为特征。
基于类似的use case场景我们需要先理解各种安全数据的攻防模型以及数据类型。对此我们把类型设定在Windows主机并以Windows感染的邮件钓鱼场景为例说说威胁建模方法如下所示:

理解网络威胁情报(Cyber Threat Intelligence)和威胁建模方法(Threat modeling security)的基础知识。

在威胁情报体系中我们为了数据之间能够共享.在基于HTTPS的协议中定义了一种通用的共享格式叫TAXII。如下所示

TAXII 专门用于支持以 STIX 为代表的 CTI (Cyber Threat Intelligence)信息交换机制,在数据分析领域甚至是威胁情报领域我们能通过统一的STIX数据格式,将怀疑、妥协和归因的所有方面通过对象和描述性关系清楚地表示。STIX 信息在2.1版本中定义了18个STIX域对象(SDO)如下所示:

STIX信息可以为分析师直观地表示钻石模型中所对应的信息。当我们在完成大数据安全分析平台数据分类分级治理阶段的时候就可以将STIX信息存储在数据仓库中供分析师使用。

另外一个需要说明的方面是针对威胁情报中的钻石模型我们同样需要有所认识。由于攻击者的攻击是阶段性的所以CTI网络威胁情报将其以钻石模型来对应STIX的数据层级并以Json格式进行展示如图所示:

从而构成了威胁情报数据共享映射关系金字塔

2、如何理解威胁框架和威胁建模

如上所述我们需要理解的第二个是Att&ck攻击模型框架这个框架位于钻石模型的TTPs金字塔顶层在这里详细描述了攻击者的攻击手段和攻击阶段以及对应的唯一标识ID我们能够通过对攻击阶段的建模来进行相应安全设备攻击事件的相关映射如下所示:
我们需要创建一个图层来进行威胁建模

添加安全日志备注字段名称对其字段内容(value)进行攻击图层关系映射

当攻击者进行钓鱼攻击时第一个所发生的事情应该是信息收集或者邮件钓鱼这里我们起一个本地的威胁建模环境并选择其攻击阶段的子攻击类型模拟TTp的对手行为

如上所述我们可以通过一些标有ID编号的行为模拟攻击者采用的技术并给它们标注颜色,另外一个就是我们也可以通过ID区查询相关的技术手段和所关联到的APT组织

最后在通过打分。对比攻击方法来寻找其行为相似性并和团队完成所有的分析行为报告

作者
大家好,我是伏念。
一位大数据安全分析平台研发工程师和一位安全数据分析专家同时也是一位威胁建模专家。
今天我们通过常见的攻防场景来围绕数据分析理解如何为企业设计威胁模型。
为准备自研大数据安全分析平台的公司提供一些专业性上的帮助。