世界500强企业的威胁情报体系是怎样建设的

S集团,作为全球四大快递公司之一、《财富》世界500强企业,子公司与分支机构遍布全球,存放着诸多客户敏感数据,天然是黑客团伙觊觎的目标。尽管S集团部署了很多具备不同安全能力的设备与解决方案,但全球频发的网络攻击事件,让安全团队不断刷新对更高“安全感”目标的追求:

  1. 每天新增外部攻击告警高达百万,各种随机扫描噪音巨大,如何快速识别真正的针对性攻击?如何快速高效处置海量告警?
  2. 集团分支遍布全球,被攻击几率更高、检测更难,总部安全情报知识如何快速赋能至分支机构?
  3. 新型APT及黑灰产威胁、针对性攻击可绕过传统检测技术,如何快速精准发现内网失陷终端?如何才能与时俱进补齐检测能力?

这些问题的答案最终都指向了威胁情报。利用威胁情报对企业现有安全体系赋能,不仅能够大幅提升应对网络威胁所需的检测响应能力,更高效地完成安全事件闭环,同时还能有效提升企业安全运营效率,进一步增强企业整体安全能力。本文介绍的S集团威胁情报体系建设实践,是威胁情报赋能企业安全建设的又一经典案例:

  • 高质量威胁情报精准检出内部失陷终端,为高危威胁自动化处置提供前提条件;
  • IP信誉情报支撑攻击IP告警的分级与自动化处理,风险事件全自动闭环,降低MTTR;
  • 基于威胁狩猎探索情报生产与共享,建立并丰富自有情报库和攻击者画像,提升企业整体安全水位。

本文通过介绍S集团安全团队的威胁情报体系构建经验,希望给更多企业的网络安全建设提供参考。

失陷检测:精准威胁情报大幅提升内部真实威胁发现能力,准确率高达100%

在威胁情报应用初始阶段,经过广泛的调研与测试分析,安全团队最终确定以微步情报管理平台TIP为基础搭建威胁情报体系。TIP不仅集成了高质量威胁情报,同时也拥有接入与管理多个情报源的能力;并且,TIP提供的多种情报使用方式让部署落地更加灵活。

TIP在S集团的落地方式大致如下图所示:

世界500强企业的威胁情报体系是怎样建设的

图 | 高质量威胁情报可检出由内到外的攻击行为,从而发现内部失陷主机

为了提升安全运营效率,S集团自研了多个平台来整合统筹不同位置的安全设备与解决方案。比如SIEM平台集中存储来自DNS、NDR的日志,和终端Agent采集的IP、域名等信息;自研SOC平台则负责对日志进行去重与聚合。在这一场景中,安全团队将TIP情报接口嵌套在SOC平台中,自动将各类安全日志与威胁情报进行碰撞,可以快速地发现集团内部已存在的失陷主机。

精准,这是安全团队在TIP落地运行后的第一感受:“经统计安全运营发现工单,基于微步基础情报发现的失陷设备事件占比达到大多数(相比其他情报),准确率接近100%。

准确率接近100%的意义在于,经TIP碰撞后的告警可以省却人工研判环节,尤其是在检出诸如钓鱼、远控、银狐等需要快速处置的高危威胁时,无需人工干预,即可按策略进行自动化封禁以阻止后续攻击动作;同时将告警推送到SOC平台生成工单,然后经SIEM发送到安全运营平台,确定资产并分配专人负责处置。

外部攻击告警分析,让告警分级处置更准确高效,实现95%的外部告警自动化处置闭环

处理外部攻击告警可能是每个安全管理员的必修课。

“封IP”(IP封禁)是阻断外部攻击最有效的方式之一,也是安全管理员最常用的防护手段,但人工手动进行IP封禁会占用大量的时间与精力,还存在误封可能。利用高质量的威胁情报来支持自动化封禁,是安全团队应用TIP的第二个场景:通过调用IP信誉接口,来丰富攻击IP的上下文信息,然后按策略进行自动封禁。IP封禁的响应逻辑如下:

世界500强企业的威胁情报体系是怎样建设的

图 | S集团外部攻击IP告警分级处置示意图,IP信誉情报丰富攻击IP上下文,以确定自动化封禁策略

自动化响应极大地释放了安全团队的精力。在自动化响应之前,需要人工导入IP进行封禁和解封,费时费力;引入自动化封禁能力之后,IP封禁在秒级内完成,且支持各种部署环境下的自动封禁和解封。据统计数据显示,每天有95%以上的安全风险事件实现了全自动闭环,极大地降低了MTTR。

精准的威胁情报是支撑自动化响应的关键因素,安全团队认为:微步的高级情报表现非常符合预期,对降低IP误封效果明显,有效避免了因安全封IP导致系统出现的稳定性异常事件、客户投诉等情况

在解决当前的运营难题后,安全团队开始思考新的问题:当面对未知、有着高级攻击手段、具有很强针对性的网络威胁时,该如何有效应对?答案是威胁狩猎。

情报运营:建立S集团持续威胁狩猎和攻击者画像能力,初步实现安全防御的主动性

作为全球四大快递企业,S集团遭遇未知、针对性攻击的几率要远高于普通企业。并且,由于下属子公司与分支机构遍布全球,通常分支机构安全运营能力很难达到总部水平,更容易成为针对性攻击的“跳板”。如何提高分支机构的防护能力是安全团队一直渴望解决的问题。网络攻防的实质是攻防双方对信息权的争夺。安全团队从威胁情报实践经历中得到启示:充分利用总部的安全能力,对未知、针对性威胁进行狩猎,生产情报并构建自有情报库,通过情报共享增强各子、分公司的网络安全态势感知能力,由此提前防范潜在的网络攻击风险。

通过在实践中不断探索,安全团队逐渐总结出情报生产的正确思路与成功经验:

  • 综合利用各种检测技术对进出集团的所有文件,尤其是终端落地文件进行检测过滤,并结合云端情报生产模型进行二次研判,自动化生产私有情报;
  • 安全团队吸收外部伙伴(如微步)成功经验,通过对已有线索(IP、域名、样本)进行分析、拓线,收集、整理、归类攻击者相关的攻击工具、攻击手法、攻击路径、基础设施等,构建攻击者画像库,针对不同攻击团伙特点,丰富并完善更细粒度的特征、规则积累,实现对攻击者提前打击,初步达成主动防御的效果;
  • 基于攻击者的特征、规则,在内部环境进行威胁狩猎,通过对之前各安全设备的日志进行回捞,以确保实现对威胁的完全感知。

随着实践的不断深入,安全团队取得的成绩也越来越亮眼,据团队总结报告:“在APT、勒索等黑客团伙方面,先后建立了绿斑、花斑豹、银狐等网络攻击团伙画像,不断探索威胁狩猎在集团的落地方式。此外,针对发现的30+相关样本,也100%完成了恶意样本分析,综合评估达到预期。

小结

从利用威胁情报辅助攻击检测,到基于威胁情报实现自动化响应处置,再到自有情报生产,随着S集团安全团队对威胁情报的理解越加深入,对威胁情报的利用率也就越高,所发挥出的价值也越高。随着威胁情报的深入利用,安全团队的思路也逐渐从单纯利用情报朝着情报运营转变,为将来的网络安全建设探索出一种新的方向。

实际上,微步威胁情报已经在国内诸多行业的头部企业内落地,无论是在日常安全运营,还是重大活动保障中,都发挥出了极佳的作用。但在更广阔的企业群体中,仍有很多用户对威胁情报的使用停留在相对初级阶段,存在应用场景单一、威胁情报作用不明显等情况。本文通过介绍S集团威胁情报的应用实践与体系构建经验,希望能给那些渴望深入使用威胁情报、让情报发挥更高价值的企业提供新的参考,让企业能更高效地应对网络威胁,进一步提升企业网络安全整体水平。

世界500强企业的威胁情报体系是怎样建设的

原创文章,作者:lishengli,如若转载,请注明出处:http://www.lishengli.com/lee/2563.html

发表回复

登录后才能评论