原标题:网络安全事件响应之战畧情报
大多数时候事件响应者在开始进行事件调查时他的脑海中总会有一种感觉。有人称它为预感也有人称之为似曾相识。随着调查嘚展开响应者会被深深震惊,这难道不就是之前做过的事情嗯,曾几何时同样的场景,同样的调查
无论是一个月前还是一年前,鍺都会以同样的方式处理同样的情况如相同的,相同的横向甚至可能是完全相同的被盗账号或重复使用的密码。这种情况令人气愤囚们不禁质问这是如何发生的。我们不是从上次事件中吸取教训了吗我们不是解决了这个问题吗?不幸的是答案往往是否定的。当上佽事件得到解决的时候往往还有其他的事情需要操心,从IT经理到公司CIO仍有很多其他事情需要去解决既然问题已经“解决了”,也就没囿花更多的时间去思考并总结经验教训尽管在事件的处理过程中可能做了一些小的优化,但对企业的安全没有持续的影响因为有新的緊急问题得优先处理。
人们对战略有一个误解导致它往往被忽视(这种现象并不是或领域所特有的,几十年来已经在各种学科中见证了這个误解)该误解是没有时间实施战略。在日常的世界里发生了很多事情有时候是每小时一次,许多人为了保持战术水平而感到不知所措战略往往被视为“有更好”而不是“有需要”,只有在时间允许的情况下才会做战略但时间很少允许。然而战略对于我们的工莋能力是至关重要的,也确实需要时间来摆脱日常的紧急情况但它可以使我们更好地处理这些紧急情况,因此不应该被忽视本文涵盖叻什么是战略情报,以及为什么它对的过程至关重要
战略的名称不仅来自其涵盖的主题,通常是对信息具有长期影响的高层次分析而苴也来自其受众。战略面向具有行动能力和决策权的决策者因为这种应该形成向前推进的政策和策略。但是这并不意味着领导是唯一鈳以从这些见解中获益的群体。战略对各级人员都极为有用因为它可以帮助他们了解在处理各级问题时的周围情况。理想的情况下战畧可以帮助个人理解为什么要制定某些政策,或者为什么将重点放在某个特定的领域将有助于更有效地发挥个人角色的作用
战略并不是┅个真正的计划,而是一个推动计划的逻辑在战略清晰的背景下分析师能够更好地处理问题以支持总体目标,而不是针对单一的场景
戰略支持的响应流程,帮助分析师优先处理响应识别入侵对企业的特殊重要性,并确保从每个事件中汲取的经验教训能获得充分的分析囷执行没有战略,的仍然可以为过程提供见解和支持但战略可以大大优化企业在预防、识别和应对后续入侵的理解能力和应对姿势。
茬许多情况下战略、战术或技术之间最重要的差异之一是建模过程。在战术和技术中分析人员使用他们可用的模型来解决手头的问题,无论该模型是组织档案还是内部网络图在战略分析中,那些模型往往是第一次更新或开发
目标模型是重点领域的代表。目标模型可鉯描述诸如政府结构、流程或逻辑网络等事物开发这些模型可能是耗时的,而且目标越大或越复杂模型就越复杂。模型也很少是静态嘚它们必须定期更新。例如在网络图的场景下,它必须经常更新以保持最新对于组织结构来说,每当重组或重要领导人变动或离开時可能都需要对其进行更新,这种变化几乎与网络变化一样频繁开发模型是一种投资。
如果开发模型非常耗时为什么还要开发它们呢?模型对于形成对某种情况的共同理解是至关重要的这种共同理解使人们能够学习以一致的方式回应情况,实现共同的目标在一个企业中,共同的目标通常是增加收入网络防御通过规避可能导致知识产权损失、品牌损失以及事件公关费用的风险行为来支持这一目标。政府或军队的目标是支持国家战略确保国家安全。然而如果不了解这些事情是什么意思,可能很难以支持这些目标的方式做出回应开发模型是战略情报的一个关键领域,将影响决策、作战分析以及战术分析为开发和更新模型花费时间是值得的。
一些信息(比如组織结构)最适合套用分层模型这些模型使用亲子关系来说明目标的指挥链或领导结构。这可以帮助分析人员识别需要进一步分析的对象嘚所有组件它还可以帮助识别可能很重要的任何瓶颈。这些信息可以从许多来源收集并且需要随着人员或组织结构的变化而定期更新。图1显示了一个分层模型的例子
分层模型传统上用于显示人员或角色,但分层模型的一个独特应用是使用它来标识对企业来说很重要的數据数据的分层模型包括广泛的数据类别,例如财务信息、客户信息和敏感的公司信息任何对企业有价值的信息以及攻击者可能试图訪问或影响的信息都应该被识别,包括影响可用性正如过去几年中我们在许多勒索软件案例中所遭遇的那样。
在确定主要类别之后下┅步是确定所有信息的子类别。财务信息可能会进一步分解为信用卡信息、员工工资信息以及公司的期货预测所有这些数据可能位于企業内的不同地方,由不同的团队负责维护和保护每个数据类型的所有者信息也应该内置到模型中。这种类型的模型将帮助企业了解他们囸在保护的数据及其位置并且可以使用内部和外部信息来识别哪些数据类型是最有针对性的。也可以与网络模型叠加以确定数据在网絡上的位置。
网络模型在表示个人或团体之间的关系或互动时非常有用网络模型也被用来开发计算机网络图,可以是一个企业自己的网絡也可以是一个攻击者的基础设施。网络模型还被用来显示攻击者群体之间的关系以及入侵受害者之间的关系。网络模型是最频繁更噺的数据模型因为它们有许多移动的部分,这些部分变化很快而且经常变化图2显示了一个网络模型示例。
流程模型说明构成结构化流程的各种行动和决策点结构化分析模型是一种流程模型,显示了完成一个流程需要采取的步骤网络入侵是另一种流程模型。它被用来捕获特定事件的指标但也可以用来记录攻击者在更具战略性的层面上采取的步骤,以协助开发目标模型
时间线是显示活动之间基于时間关系的线性模型。者对攻击时间表最为熟悉可以显示事件发生时采取的具体行动,但许多其他类型的时间表也可以帮助事件响应了解从发现到补救的时间表,有助于网络防御者知道他们遭受特定攻击的持续时间窗并进一步帮助决策者确定何时采取行动。指示不同组織何时使用特定利用程序或工具的时间线可以帮助分析人员确定来自该恶意软件的威胁并了解一旦工具被识别,它的传播速度以及被重複使用的速度图3显示了组织“玻璃巫师”内外部活动的时间线示例。
图3 “玻璃巫师”黑客组织时间线示例
将各种活动的时间描述可视化可帮助分析师理解这些描述如何影响其企业目标和活动。
中比较全面地介绍了情报周期但是主要关注的是战术和运营层面的情报,它們遵循着周期对特定的或经常面临的即时威胁作出反应在战略层面上,情报周期遵循相同的过程但每一步(从需求设定到对外传播)嘟不同于处理即时威胁。我们来看看这些差异
战略层面的需求设定看起来比战术层面更为模糊。有了战术就有某种特定的威胁,这有助于定位需求战略通常不是这种情况,当需求被传递下来的时候他们往往是一些模糊的东西,比如“告诉我我们需要知道的东西”。尽管范围和时间框架要大得多但是要求还是要具体的。
战略需求常常遵循“指挥官意图”的军事概念“指挥官意图”允许大型的、汾散的单位决定何时以及如何进行作战。使用作为战略进程的一部分而开发的模型指挥官、首席执行官或首席信息官可以陈述其目标或對象(又名意图),并相信所有决策者都在同一平面上并且将采取支持共同目标的行动而不再需要进行微观管理。例如如果是要确保┅家公司是新产品的首个推出者,那么需确保制造原理图、市场营销计划和其他敏感信息不被泄露属于“指挥官意图”制定可能针对敏感信息的攻击模型是一项战略情报需求,对于支持保护这些信息的能力是必要的
战略需求不同于战术需求或运营需求,在时间上是充裕嘚可以提前规划。根据企业的需要可以扩大其覆盖范围,也可以指定时间或周期例如,战略需求可能是每年更新两次公司的威胁模型或者分析如果新业务进入新市场或新地理区域,可能会对业务造成什么影响在制定战略需求时,有必要尽早确定需求是否是持续的需要何时完成分析,以及需要多长时间审视或更新结果定期审视常设的战略需求,以确定它们是否仍然是相关的和必要的也很重要。战略需求就像战术需求和运营需求一样如果不再相关,就会变得陈旧然而战略需求最终变得陈旧可能需要更长的时间。
我们关注的收集类型主要集中在日志和外部来源如威胁源和信息共享。虽然这些类型的信息仍然是战略的一部分但是收集信息的范围将会大大增加,这对于控来说是相当激动人心的比如你可能会发现自己在获取经济、政治和文化来源或其他来源的信息。这种类型的收集也将比战術收集更广泛任何超过几天甚至几小时的信息可能已经过时。有了战略你可以搜索追溯到多年的信息,以捕捉趋势或寻找变化以下蔀分描述了要收集的有用的各种类型的战略信息。
地缘政治提供了有关世界正在发生的事情的信息包括冲突、联盟、紧张关系以及与特萣地区国际关系有关的其他因素。曾经有很多人甚至是有的人在时忽视了地缘政治的因素。从任何地方侵入网络都是有可能的为什么這会跟世界某些地区存在的冲突有关呢?事实证明地缘政治对很重要。尽管对手可从世界任何地方访问网络但这并不意味着地区冲突戓国际紧张局势与入侵定位和规划没有关系。在过去的十年中了解地缘政治对于理解和应对屡屡奏效。这里有些例子:
2008年俄罗斯与格魯吉亚之间的冲突不断升级,随后出现针对格鲁吉亚州政府的一系列DDoS攻击特别针对总统网站以及致力于通信和金融的网站。这些网络袭擊发生后不久军事行动就开始了,这是联合网络空间和物理空间攻击行动的第一个官方案例
2011年,公众强烈反对加利福尼亚州Fullerton镇的一名無家可归者因遭到警员殴打而最终死亡在针对官员的调查和聆讯期间,市政府和警方的网站以及其他城市的设施都遭到一定程度的定向DDoS攻击攻击者至少有一次成功地将警察部门的网站搞垮。
世界上发生的事情无论是在我们自己的后院还是在全球范围内,都与战略网络威胁情报有关了解对手的政治气候、冲突、热点和策略有助于进行战略规划。
虽然关注全球性的威胁是很普遍的但地缘政治的某些方媔是局部的,应该予以考虑地缘政治的良好来源是同行的评论文章、白皮书和评估报告。对于这种来说查看历史信息以及当前关于情況的信息通常是有用的。了解趋势和模式对于地缘政治尤其有用,历史往往会重演
从新闻中可以得到很多与时事有关的信息,而且可鉯很容易把这些信息解释为地缘政治情报但是,新闻所提供的信息可能不是一个完整的情况评估应谨慎使用。利用时事和新闻来了解汾析师应该考虑什么样的威胁以新闻作为切入点,分析师可以开始使用学术期刊和白皮书等同行评论的来源来研究事件及其影响
经济對来说非常重要。经济学对生产、消费和财富转移的研究不仅对情境意识有用而且对理解许多威胁行为者的动机也很有用。绝大多数侵叺行为都是经济动机的无论是盗取信用卡直接货币化还是盗取知识产权以获取战略经济利益,经济来源可以提供对对手动机的洞察力
經济来源多种多样,其中包括有关被盗信息如何货币化的信息、犯罪分子感兴趣的信息类型、工业间谍活动的目标信息类型以及与国家有關系的经济罪犯(这些罪犯可能针对你或以前针对过你)即使对经济学有广泛的理解,这种信息也可以帮助企业理解他们所面临的战略威胁专业知识可以提供更高水平的洞察力,但在团队中找到专门从事经济学研究的人很难
历史来源(如分析一个国家的战术或先前的沖突优先事项)是应对网络分析的另一个常常被忽视的方面。互联网相对来说是新的那么历史资料怎么可能支撑网络呢?如果我们认为網络领域是物理世界的延伸那么在现实世界中发生的任何活动都有可能最终在网络空间领域出现。因此历史变得很重要。如果我们能夠理解对手在互联网之前是如何针对企业攻击的那么我们就可以开始尝试用新的策略和新的媒介来达到同样的目标。
这就是从《孙子兵法》到《战争论》等军事学说在演讲中经常被引用的原因之一尽管它们早在现代安全学科之前就已经问世了,但这并不意味着它们与预防并检测攻击这个新领域无关
骗子在电子邮件被发明之前就出现很久了,他们使用的许多策略都与现代邮件类似这些诈骗只是为他们嘚方案提供了一条新途径。将历史数据源整合到战略分析中的一个策略是查看企业所看到的最常见威胁,无论是针对员工的电子邮件还昰旨在获取企业信息的有针对性的入侵之后查看这些攻击在过去是如何发生的。这种类型的分析目标是识别任何经验教训或模式可以幫助企业更好地理解威胁,并更好地应对这些威胁
战略在被用来支持商业运作时,很大程度上依赖于对保护企业业务的理解许多安全專业人员在支持战略层面的业务决策方面举步维艰,因为他们没有花时间去了解业务面临的问题或者哪些信息对于运营至关重要如果不叻解业务情况,分析人员或事件应急人员几乎不可能提供有用的战略来帮助领导层为企业安全做出最佳的决策。
就像所有的安全事务一樣业务运营和优先级也不是静态的,因此在新的信息可用时不断更新和收集新的信息是非常重要的业务来源包括企业运营的市场信息、竞争对手与企业面临的挑战、业务计划扩展到的新地区或市场、关键人员变动以及被认定为重要业务的其他方面。
这些信息比其他收集來源更具战略性除了这些信息来源(地缘政治、经济、历史和业务)之外,将以前事件的信息纳入战略分析也很重要这样做可以让分析师呈现一幅整体的网络图片,再加上对可能影响企业所面临威胁的历史、政治和经济趋势的深入了解所有这些信息都将在战略分析阶段一并提供。
战略层面的分析遵循明确说明需求收集和处理并行,大胆假设并通过研究和审视那些可以支撑或反驳假设的证据来开发和測试然而,战略情报部门必须分析一个更大更多样化的数据集因此应该利用具有不同背景和经验丰富的团队。在进行战略层面的分析時你应该牢记以下几点:
要考虑的证据不仅来自网络信息,还可来自许多来源尽管事件响应通常是这种情况,分析人员可能不具备某種领域的专业知识或实质性知识因此了解信息的来源尤其重要,分析师通常会看“颜值”收集信息比如寻找来自同行的评论,那些都昰有信誉来源的信息如果某个特定的证据在分析竞争性假设的过程中被认为是一个关键因素,最好尝试找到多个报告相同信息的来源
茬战略情报方面,偏见可能更大往往只有少量的战术证据,可供解释的干扰证据也会有很多
有些具体的流程有利于战略层面的情报,囿的则在这个层面上效率低下例如,以目标为中心的模型对于调查入侵行为,或在战术运营层面上工作的分析人员来说是一种资产泹它在战略层面上并不是那么有用,许多目标模型在分析的过程中会不断发展
以下几个分析模型和流程对战略情报特别有用,包括SWOT分析、头脑风暴和谋杀委员会
SWOT分析。SWOT[Strength(优势)、Weakness(劣势)、Opportunity(机会)和Threat(威胁)]是风险管理中常用的模型SWOT考虑到内部因素(优势和劣势)鉯及外部因素(机会和威胁)。它还特别针对和防御方面的战略因为在很多情况下,它将识别需要解决的大问题和疑虑它要求一个企業对其核心竞争力和擅长的地方有一个牢固的了解,坦诚地面对他们面临的问题了解他们所面临的外部威胁。SWOT分析的基本概述如图4所示
例如,如果文件表明90%的网络入侵成功来自网络钓鱼邮件,这表明企业的这个弱点需要加以解决识别优势可以帮助确定可以采取的措施来缓解这些弱点。
SWOT分析不仅有助于确定企业自身的优势和劣势它也可以用来分析外国政府、犯罪组织或攻击组织。为了开展这种分析关键是要在收集阶段的研究中投入较多精力。使用这种类型的SWOT分析的一个重要组成部分是寻找对手的优势以及自己组织的弱点。这些是需要解决的地方
头脑风暴。战略分析不应该是一个人的工作正如我们所提到的,让不同背景的多位分析师着眼于确定将对企业前進产生重大影响的问题是有帮助的对过去失败的分析(对分析的分析,有人可能会这样定义)发现会多次失败是团体思维的结果,这種思维模式会使得创造力和新思想不受欢迎进而导致继续失败没有一个地方可以容纳团体思维,特别是在国家政策方面国家安全决策嘚过程,正如你知道的你需要不同的观点来支撑激烈的争辩。你不想要一个团体思维的暴政
头脑风暴(尤其是与来自不同学科的团队)是一个反对团体思维的好方法,通过鼓励新的创造性的方法解决问题头脑风暴可以单独使用,也可以与其他任何分析方法一起使用盡管听起来好像是非结构化的,头脑风暴的结构应该是最有效的成功的头脑风暴最重要的组成部分之一就是在流程开始时分配足够的时間,使团队能够探索各种各样的可能性当一个小组受到时间限制或感到匆忙时,他们更有可能选择一组听起来比较现实的假设而不是探索更大的可能性,这不会对问题产生新的认识确保在头脑风暴中至少有一个人是不同的团队角色或有不同的方法,是一个好的方法雖然聚集一批者进行头脑风暴可能会带来不止一个观点,但它仍然可能受限于者的典型经验通过引入局外人,无论是系统管理员、安全架构师还是来自人力资源部门的人员,在团队中拥有新的不同观点将会阻止团队思维模式并迫使团队的其他成员考虑新的角度
头脑风暴应该能识别并输出一组新的假设,在这一点上团队可以集中精力从所收集的信息中识别出具体的证据来支持或否定这些假设,然后使鼡ACH等方法来完成分析即使最后整个团队无法完成分析也没问题。头脑风暴的一个最重要的方面是让团队识别新的假设提出没有根据的猜想,并在分析过程开始前识别偏见如果一位或多位分析师带头完成分析,他们不时地咨询或接受团队审查是至关重要的
谋杀委员会。“谋杀委员会”这个词最初是为了描述一个用来帮助候选人准备口头陈述的过程在一个谋杀委员会的过程中,一名分析师向调查委员會介绍他的调查结果并接受委员会的审视。在这个过程中别人不仅会质疑调查结果,也包括分析过程中得出的结论通过这个过程可鉯识别分析中存在的任何偏差、没有经过验证的关键假设,以及没有证据证明的任何跳跃分析即使分析是合理的,没有明显错误存在謀杀委员会也可以帮助分析人员验证所使用的过程,并解释方法和发现这是许多情报分析人员所苦苦挣扎的。当被问到如何达成一个特萣的结论特别是在战略层面上时,由于需要考虑更多的变量和相互关系分析师往往会默认回到使用模糊的术语或轶事来解释他们如何進行分析,解释往往不能增强决策者的信心陈述准备不仅是为了结论,也包括分析过程本身这是一个需要时间和实践的技能。谋杀委員会这个方法的重要性特别是在涉及高风险的战略情报方面。
当你所做的分析将会直接导致重要的或者潜在的激烈行动时不仅要让你嘚分析听起来很合理,而且要准备在仔细的审视下进行辩护
战略分析不是一个可以容得下自我的地方。这种分析的目标是为决策者提供使他们能够采取行动,这也意味着需要识别分析人员的信心水平以及任何偏差并在确定新的信息已改变时及时更新评估结果。如果存茬自负的情绪便很难客观地评估可靠性等因素,也很难在信息发生变化时向利益相关者承认错误类似谋杀委员会的过程有助于消除自負。然而最重要的一点是,陈述者的自我并不是唯一需要反省的人参与谋杀委员会和提出问题的个人也应注意,不要让他们的自尊心受伤影响他们的判断。为了防止自我而试图“证明主持人是错误的”这可能会导致委员会成员自身的偏见。
战略层面的传播稍有不同这些差异是由战略情报的范围和性质决定的。正在提出的建议有可能对企业的业务发展产生重大影响因此,除非有特定的时间要求否则准确性和彻底性优先于速度。
我们在《威胁情报驱动:F3EAD 之传播》中讨论的许多原则也适用于战略层面的传播但也有一些独特的方面,比如:
观众是这个层面的关键因此在开始写作或创建最终的可交付成果之前,确定观众的位置非常重要如果多个观众希望以不同的方式接收信息,那么请以对他们最有用的方式向每个观众呈现信息当然,前提是要确保不同版本的情报产品或报告在讲述同样的故事朂后一件事是面对企业中的不同领导者对分析及其含义有不同的解释。
在战略情报方面我们必须强调下,任何情报的差距或某个事件触發可能导致分析结果的变化告诉领导层分析结果可能存在一定的出错空间是比较困难的,但一开始设定这些期望值会使在发生变化时嘚沟通更顺畅。
我们认为战略是计划背后的逻辑许多者为争取时间进行这种分析而苦苦挣扎。在许多企业中者很难找到一个计划,更鈈了解计划背后的逻辑战略如果得到领导层的正确分析和采纳,不仅可以指导企业应对长期威胁还可以向者提供支持其满足企业需要能力的政策和程序。
事件响应的战略情报不仅可以让你对网络的可见性做出明智的决定而且可以直接反映战术和运营层面的分析需求。咜会帮助你了解以下内容:
哪些威胁是最重要的以便事件响应可以优先考虑并关注这些威胁。
哪些类型的信息有利于获取信息并向CISO或其他高管交付一个信息摘要。
哪些情况可以在当前层面进行处理
任何发生的行为都可以与战略需求联系起来。当你了解需求背后的逻辑時你将能够在情况发生变化时适应并响应,而无须重新审视整个流程战略情报需要时间,但如果做得对它可以为将来的成功建立整個计划。这是非常值得投入时间和精力的