世界500强企业的威胁情报体系是怎样建设的

S集团，作为全球四大快递公司之一、《财富》世界500强企业，子公司与分支机构遍布全球，存放着诸多客户敏感数据，天然是黑客团伙觊觎的目标。尽管S集团部署了很多具备不同安全能力的设备与解决方案，但全球频发的网络攻击事件，让安全团队不断刷新对更高“安全感”目标的追求：

每天新增外部攻击告警高达百万，各种随机扫描噪音巨大，如何快速识别真正的针对性攻击?如何快速高效处置海量告警?
集团分支遍布全球，被攻击几率更高、检测更难，总部安全情报知识如何快速赋能至分支机构?
新型APT及黑灰产威胁、针对性攻击可绕过传统检测技术，如何快速精准发现内网失陷终端?如何才能与时俱进补齐检测能力?

这些问题的答案最终都指向了威胁情报。利用威胁情报对企业现有安全体系赋能，不仅能够大幅提升应对网络威胁所需的检测响应能力，更高效地完成安全事件闭环，同时还能有效提升企业安全运营效率，进一步增强企业整体安全能力。本文介绍的S集团威胁情报体系建设实践，是威胁情报赋能企业安全建设的又一经典案例：

高质量威胁情报精准检出内部失陷终端，为高危威胁自动化处置提供前提条件;
IP信誉情报支撑攻击IP告警的分级与自动化处理，风险事件全自动闭环，降低MTTR;
基于威胁狩猎探索情报生产与共享，建立并丰富自有情报库和攻击者画像，提升企业整体安全水位。

本文通过介绍S集团安全团队的威胁情报体系构建经验，希望给更多企业的网络安全建设提供参考。

失陷检测：精准威胁情报大幅提升内部真实威胁发现能力，准确率高达100%

在威胁情报应用初始阶段，经过广泛的调研与测试分析，安全团队最终确定以微步情报管理平台TIP为基础搭建威胁情报体系。TIP不仅集成了高质量威胁情报，同时也拥有接入与管理多个情报源的能力;并且，TIP提供的多种情报使用方式让部署落地更加灵活。

TIP在S集团的落地方式大致如下图所示：

图 | 高质量威胁情报可检出由内到外的攻击行为，从而发现内部失陷主机

为了提升安全运营效率，S集团自研了多个平台来整合统筹不同位置的安全设备与解决方案。比如SIEM平台集中存储来自DNS、NDR的日志，和终端Agent采集的IP、域名等信息;自研SOC平台则负责对日志进行去重与聚合。在这一场景中，安全团队将TIP情报接口嵌套在SOC平台中，自动将各类安全日志与威胁情报进行碰撞，可以快速地发现集团内部已存在的失陷主机。

精准，这是安全团队在TIP落地运行后的第一感受：“经统计安全运营发现工单，基于微步基础情报发现的失陷设备事件占比达到大多数(相比其他情报)，准确率接近100%。”

准确率接近100%的意义在于，经TIP碰撞后的告警可以省却人工研判环节，尤其是在检出诸如钓鱼、远控、银狐等需要快速处置的高危威胁时，无需人工干预，即可按策略进行自动化封禁以阻止后续攻击动作;同时将告警推送到SOC平台生成工单，然后经SIEM发送到安全运营平台，确定资产并分配专人负责处置。

外部攻击告警分析，让告警分级处置更准确高效，实现95%的外部告警自动化处置闭环

处理外部攻击告警可能是每个安全管理员的必修课。

“封IP”(IP封禁)是阻断外部攻击最有效的方式之一，也是安全管理员最常用的防护手段，但人工手动进行IP封禁会占用大量的时间与精力，还存在误封可能。利用高质量的威胁情报来支持自动化封禁，是安全团队应用TIP的第二个场景：通过调用IP信誉接口，来丰富攻击IP的上下文信息，然后按策略进行自动封禁。IP封禁的响应逻辑如下：

图 | S集团外部攻击IP告警分级处置示意图，IP信誉情报丰富攻击IP上下文，以确定自动化封禁策略

自动化响应极大地释放了安全团队的精力。在自动化响应之前，需要人工导入IP进行封禁和解封，费时费力;引入自动化封禁能力之后，IP封禁在秒级内完成，且支持各种部署环境下的自动封禁和解封。据统计数据显示，每天有95%以上的安全风险事件实现了全自动闭环，极大地降低了MTTR。

精准的威胁情报是支撑自动化响应的关键因素，安全团队认为：微步的高级情报表现非常符合预期，对降低IP误封效果明显，有效避免了因安全封IP导致系统出现的稳定性异常事件、客户投诉等情况。

在解决当前的运营难题后，安全团队开始思考新的问题：当面对未知、有着高级攻击手段、具有很强针对性的网络威胁时，该如何有效应对?答案是威胁狩猎。

情报运营：建立S集团持续威胁狩猎和攻击者画像能力，初步实现安全防御的主动性

作为全球四大快递企业，S集团遭遇未知、针对性攻击的几率要远高于普通企业。并且，由于下属子公司与分支机构遍布全球，通常分支机构安全运营能力很难达到总部水平，更容易成为针对性攻击的“跳板”。如何提高分支机构的防护能力是安全团队一直渴望解决的问题。网络攻防的实质是攻防双方对信息权的争夺。安全团队从威胁情报实践经历中得到启示：充分利用总部的安全能力，对未知、针对性威胁进行狩猎，生产情报并构建自有情报库，通过情报共享增强各子、分公司的网络安全态势感知能力，由此提前防范潜在的网络攻击风险。

通过在实践中不断探索，安全团队逐渐总结出情报生产的正确思路与成功经验：

综合利用各种检测技术对进出集团的所有文件，尤其是终端落地文件进行检测过滤，并结合云端情报生产模型进行二次研判，自动化生产私有情报;
安全团队吸收外部伙伴(如微步)成功经验，通过对已有线索(IP、域名、样本)进行分析、拓线，收集、整理、归类攻击者相关的攻击工具、攻击手法、攻击路径、基础设施等，构建攻击者画像库，针对不同攻击团伙特点，丰富并完善更细粒度的特征、规则积累，实现对攻击者提前打击，初步达成主动防御的效果;
基于攻击者的特征、规则，在内部环境进行威胁狩猎，通过对之前各安全设备的日志进行回捞，以确保实现对威胁的完全感知。

随着实践的不断深入，安全团队取得的成绩也越来越亮眼，据团队总结报告：“在APT、勒索等黑客团伙方面，先后建立了绿斑、花斑豹、银狐等网络攻击团伙画像，不断探索威胁狩猎在集团的落地方式。此外，针对发现的30+相关样本，也100%完成了恶意样本分析，综合评估达到预期。”

小结

从利用威胁情报辅助攻击检测，到基于威胁情报实现自动化响应处置，再到自有情报生产，随着S集团安全团队对威胁情报的理解越加深入，对威胁情报的利用率也就越高，所发挥出的价值也越高。随着威胁情报的深入利用，安全团队的思路也逐渐从单纯利用情报朝着情报运营转变，为将来的网络安全建设探索出一种新的方向。

实际上，微步威胁情报已经在国内诸多行业的头部企业内落地，无论是在日常安全运营，还是重大活动保障中，都发挥出了极佳的作用。但在更广阔的企业群体中，仍有很多用户对威胁情报的使用停留在相对初级阶段，存在应用场景单一、威胁情报作用不明显等情况。本文通过介绍S集团威胁情报的应用实践与体系构建经验，希望能给那些渴望深入使用威胁情报、让情报发挥更高价值的企业提供新的参考，让企业能更高效地应对网络威胁，进一步提升企业网络安全整体水平。

原创文章，作者：lishengli，如若转载，请注明出处：http://www.lishengli.com/lee/2563.html

世界500强企业的威胁情报体系是怎样建设的

相关推荐

发表回复