上一篇我們說到,偵測未知威脅是一條永無止盡的活動,必須從那5%的正常活動找到駭客的足跡
那是否能有專家協助我們及早治療,長命百歲?讓我們站在巨人的肩膀上,對威脅有更快速的反應?
有的,這就是威脅情資
威脅情資指的是「與網路攻擊相關的資訊,經由專業團隊收集、轉換、分析、解釋等處理過程,提供資安決策過程所需要的基礎。」
依據其內涵,可以分為三個層次:
- 戰略型威脅情資(Strategic Threat Intelligence): 無技術細節,可由資訊人員或CIO使用;用於辨別誰會攻擊、為何攻擊
- 實戰型威脅情資(Operational Threat Intelligence): 需要技術背景,由SOC主管、分析研究員等使用;用於理解攻擊者的TTPs (Tactics、Techniques、Procedures)
- 戰術型威脅情資(Tactical Threat Intelligence): 需要技術背景,通常是SOC人員使用;以威脅指標(indicator of compromise, IoC)監看特定攻擊事件
威脅情資的來源如下:
- 多媒體:新聞、電視、報章雜誌
- 社群網路:Facebook、X、Instagram
- 政府公開資料:政府資料開放平台
- 搜尋引擎:Google、百度、Yandex
- 電子郵件、網域資訊
- 暗網
- 不光明的手段:如稜鏡計畫、國家間諜。有一個笑話是:美國透過監控程式通知德國總理他的手機有俄羅斯間諜程式
威脅情資如何成為資安管理上的助力?
- 發佈IoC還有TTP規則更新到使用者端點
- 給予事件調查回應,事件調查後找到的IoC又回傳給威脅情資
- 產出威脅趨勢等報告
- 發佈漏洞管理報告
資安團隊得到這些情資後,可進行以下步驟
- 根據威脅情資提供的資料,在病毒碼發佈前,資安團隊即可先建立IoC指標
- 以及更新內部網路的YARA Rule,建立防火牆阻擋規則
- 閱讀漏洞報告後,對相關產品進行軟、韌體更新
- 藉由威脅情資,比對公司內部是否遭受同樣的攻擊,回饋給威脅情資廠商
活用威脅情資於現有的防護工具上,就可以在最短的時間內降低威脅的影響