iT邦幫忙

2022 iThome 鐵人賽

DAY 9
0
Security

威脅情資分析與挑戰系列 第 9

[Day 9] 威脅情資概述 - 威脅情資平台 Threat Intelligence Platform

  • 分享至 

  • xImage
  •  

威脅情資平台(Threat Intelligence Platform)[1] 是指一種技術解決方案,
可從多種來源和格式收集、匯總和組織威脅情報。

威脅情資平台從 OSINT 來源,
例如 AlienVault OTX 來收集威脅指標(IoC),
透過黑箱子演算法計算威脅分數。

OSINT 來源有很多:

  • 其他威脅情資平台
  • 開源情報分享
  • 商業情資(花錢買的)
  • 威脅報告書(資安廠商提供),而且可信度較高
  • 部落格
  • 暗網

目的是讓訂閱者與資安分析師能夠從這些資料中進一步分析關聯性。
另一點是實現真正的共享威脅,
例如 https://hisac.nat.gov.tw/ 衛生福利部資安資訊分享與分析中心,
常會分享一些針對一些威脅做公告,
之前我有做一個研究,
結論大概是勒索軟體是醫療產業最容易受到的攻擊,
不過...,
真正在分享的資訊似乎只有醫療機構才能接收到,
一般民眾看到的資訊非常少。

威脅情資平台評量標準

我們可以根據幾個指標選擇自己喜歡的情資平台訂閱,
通常都會訂閱多個來源來關聯一些事實,
雖然說不是絕對,
但可以作為選擇採購哪家平台的衡量標準之ㄧ。

  • 匯入/匯出格式: 通常 STIX 應該是大部分都有,如果要串接其他 ISAC 平台就要考慮輸入跟輸出,或資料分析也需要。
  • 整合能力:這裡指的是連不能串接 SIEM 或資安設備(IPS or IDS),或是 TIG (Threat Intelligence Gateway)
  • 共同協作:授權每個使用者可以做不同的事情
  • 分析能力:威脅分數計算或用這平台能不能關聯到事件
  • 可視化分析介面:比如說,分析完的結果,能快速找出多個 OSINT 之間組合出的哪個組織使用什麼工具,攻擊什麼單位。
  • 硬體要求:像是 MISP 其實蠻小的配置就跑得動,我配 OpenCTI 都給到 8 核 16G RAM,還是會當機給我看...(實測大概是八萬個Entity就會這樣)

另外我的電腦配置是:

  • Intel Core i7-10700
  • 32.0 GB Memory
  • Ubuntu 20.04
  • 都用 Docker 裝

小結

今天討論了威脅情資平台,明天就拿 openCTI 開刀。

Reference

[1] H. Sonwani, M. Divya, A. Dhawan, A. Mantri, D. G and H. Kumar, "A Comprehensive Study on Threat Intelligence Platform," 2022 International Conference on Communication, Computing and Internet of Things (IC3IoT), 2022, pp. 1-5, doi: 10.1109/IC3IOT53935.2022.9767985.


上一篇
[Day 8] 威脅情資概述 - 可信的自動情資交換 TAXII
下一篇
[Day 10] 開源威脅情資平台 - OpenCTI
系列文
威脅情資分析與挑戰15
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言