威胁情报驱动：F3EAD 之利用

一次性进群，长期免费索取教程，没有付费教程。

教程列表见微信公众号底部菜单

进微信群回复公众号：微信群；QQ群：460500587

---

微信公众号：计算机与网络安全

ID：Computer-network

生成情报已经困难重重，管理情报又将带来一系列令人头痛的新问题。时间、周期、权限控制以及格式问题，足以让任何人头昏脑胀。这些问题的复杂程度毋庸置疑，但还是会有人迎难而上。纵使智慧超群，如果没有用武之地，也只能像明星球员坐在板凳上等待替补那样垂头丧气。有效利用事件响应过程中产生的情报，才能确保在识别、理解和修复方面投入全部时间和精力，进而全面支持网络防御和响应流程。下面介绍在F3EAD循环的“利用”阶段应该完成的各项任务。

军事术语和网络安全领域常用的黑话之间存在少量分歧，“利用”（exploit）正是其中之一。在网络安全领域，“漏洞利用”这个术语几乎仅用来指代利用技术漏洞获取访问权或信息。相比之下，在军事中，“利用”这个术语的含义更广泛，不仅是说利用敌人的弱点，也可以说借助优势抢占先机。在F3EAD的背景下，“利用”是指使用运营过程中收集到的情报，并获得利益。结合传统情报周期，“利用”阶段可以被认为是收集（尽管多为收集内部信息）与处理的组合，是为便于分析而将信息转换为可用格式的过程。

一、什么可以利用

如果F3EAD循环没有被正确执行或尚未全面实施，你很快就会发现自己在反复处理相同的入侵事件或同类型的事件。在该循环的“查找”“定位”和“消除”三个阶段，我们专注于处理特定事件中的具体攻击、具体对手以及具体的行动。在“玻璃巫师”入侵事件的“消除”阶段结束时，我们已经发现了大量关于入侵的信息、幕后的操纵者以及他们的作业方式。但是，即使这些信息已经按有利于事件响应的方式进行组织，也并不代表可以加工成可供后续情报分析的正确格式。

在“利用”阶段，我们开始了一个新的过程，目的是确保我们可以从事件吸取教训。我们应该专注于威胁，而不仅仅是敌人。因此，重要的不是简单地提取特定攻击相关技术的信标（比如恶意软件样本和通信控制IP地址），而是要找到导致入侵的主要原因，以及为什么攻击者能够（至少在某一方面）得手。这不但关乎攻击中所使用的漏洞或弱点，也关乎作为目标的信息或系统。我们不但要尽量保护网络免于再次遭受完全相同的攻击，也要了解致使入侵得逞的各种因素（比如我们的政策、技术漏洞或技术差距），从而开发相应的防护或检测技术。所以，可以相信，完全无法被利用和分析的信息几乎没有，当然，这会使信息管理变得复杂。

在确定哪些信息可被利用之后，就要从事件数据中提取这些信息，进行标准化处理，并妥善存储以供将来分析和参考。

二、信息收集

根据事件响应数据管理方式的不同，“利用”阶段最困难的部分很可能是如何从调查结果中提取重要的情报。进入收集事件响应数据环节，我们对于数据一览无余，从复杂的系统到Excel电子表格，再到被贴在白板上的IP地址便条。收集数据的时候怎么做都没问题，但到了提取分析和投入使用的时候，肯定会有些更简单的方法。

在你准备从既往事件中找到可利用信息时，通常会把目光限定在那些你已经掌握的数据上。情报驱动事件响应的目标之一是确保事件响应过程获取到情报分析所需的信息，但是如果你的整合运营和情报的工作才刚刚起步，可能还无法左右信息的收集工作。“利用”阶段不妨从准确理解你掌握了哪些数据开始。我们发现当前可用的信息无外乎两种：高级信息和技术细节（如恶意软件分析）。

如果关于事件你只有叙述形式的高级信息，就应着眼于提取战略细节，反之，如果你得到了恶意软件的详细分析，就应从中提取关于恶意软件功能的战术细节。最初，你也许只会触及信息的某一个层次，但当你在企业内部实施此过程时，对于事件的针对性及影响，最好能够既收集技术细节，又收集战略信息。将各个层次的信息结合起来，才能让情报发挥更大的作用。

如果您希望了解如何开始整合操作和情报，请注意无须从下一个事件开始。你可以回顾既往事件，并利用这些信息。事实上，这种活动是帮助机构内部人员熟悉F3EAD流程的好办法，在你为威胁画像时，这也会令他们感到欣慰。挖掘分析既往事件的数据，有助于了解网络当前面临哪类威胁，看到差距，发现不足。

三、威胁信息存储

在调查结束时（不管是事情刚刚结束，还是事情发生在6个月之前），都会掌握大量的信息。在“利用”阶段的任务，就是收集这些信息（无论它看起来是什么样子），并将其组织成可以分析和使用的格式。

1、信标的数据标准与格式

没有数据标准，何谈威胁情报？下面深入探讨各种数据标准的细节，这可能会令你望而生畏，但是请坚持下去。一旦找到适合自己的数据标准，你的日子就会变得更加轻松。

用于存储和共享威胁数据的标准有多种。没有哪个神奇的标准一统天下，最好对这些标准都能了解，从中找到一种适合自己的。例如：如果你的企业是情报共享组织，那么使用STIX/TAXII标准共享数据就是一个好主意；如果你的企业已经购买了使用特定格式威胁情报（如OpenIOC）的安全工具，也可以运作良好。如果你在工作中需要使用多个标准（我们经常看到这种情况），那么只能了解各种标准的基础知识，做好相互映射各种数据字段的准备，因为将来可能用到其中某种数据格式处理信息。

Oasis套件——CybOX/STIX/TAXII

Oasis是开放标准组织，在支持CybOX、STIX和TAXII数据格式方面，接替了Mitre的角色。这些标准都是众所周知的，部分原因是被美国政府所采用。这里涵盖了Oasis套件中的CybOX、STIX和TAXII。

网络可观察物表达规范（Cyber Observable eXpression，CybOX）堪称威胁情报存储和共享的基石。CybOX由可观察物组成，其中可观察物被定义为具有状态并可被测量的对象。CybOX具有多种用例，从事件管理、恶意软件分析，到信息共享。CybOX具有大量对象适用于可观察物的捕获，但它们并不是都直接与事件响应有关，所以不需要全部使用。

图1显示的CybOX对象示例，属于我们在“玻璃巫师”入侵事件相关的环境中发现的恶意可执行文件，包含了多个可执行文件相关重要信息，如名称、大小和文件类型。

图1  CybOX文件对象

结构化威胁信息表达（Structured Threat Information eXpression，STIX）很可能是最常用的威胁数据处理和接收格式。但令人遗憾的是，许多人都喜欢STIX的想法，却不知道其最佳使用方式，或者不知道其在事件响应过程中的实施方法。所以，我们最终会发现许多人还在使用Excel处理事件数据！

STIX由CybOX的基本要素构成，但支持为CybOX对象添加更为丰富的细节，以便进一步分析，在共享威胁数据时也具有巨大优势。这些上下文字段包括威胁操纵者、活动、受害者目标和TTP。由此可将通过CybOX捕获的单个可观测对象链接起来，并添加更多的上下文信息。此时，威胁数据就开始成为真正的威胁情报。知道特定文件是否为恶意的固然是件好事，但是从分析的角度来看，更有价值的是知道该文件是否被用于针对特定部门受害者的特定活动，以及知道攻击者是否在文件执行之后尝试窃取知识产权。如果STIX（或其他标准）得到充分应用，就可以成为一种很棒的分析工具，但是请记住，要获得所有的信息还有一项工作是必须做的！这项工作是在F3EAD循环的“利用”和“分析”阶段完成的，现在，我们需要捕获所有的可观察物及其相关上下文，并在下一个阶段将它们拼凑在一起。

可信自动化指标信息交换（Trusted Automated eXchanged of Indicator Information，TAXII）本身并不是数据标准。因为经常与STIX结合使用，以至于很多人误认为数据标准的名称是STIX/TAXII，实际上它们是相互独立的。

TAXII是一种传输和共享框架，包括四项服务：发现、拉回、推送和订阅管理。TAXII是STIX在实体或企业之间共享情报的一种方式。TAXII有三种主要的传输和共享模式：

订阅式（subscriber）

在这种模式下，中心企业向伙伴共享信息，而无须伙伴反馈信息。这是威胁情报提供商（无论商业或开源）向客户发送信息时最常用的模式。

辐射式（hub and spoke）

某企业或服务商作为信息共享的中心机构，将信息推送给其他企业。当这些企业想要共享时，将信息发送给中心机构，再由中心机构将信息重新分配给企业。

对等式（peer to peer）

该模型可被两个及两个以上组织直接用于共享情报，而无须通过中心机构。部分网格网络（mesh network）也可使用该模型。

MILE工作组

除了Oasis套件之外，管理事件轻量级交换（Managed Incident Lightweight Exchange，MILE）工作组也在积极地维护和更新另一套数据标准，其中包括：

事件对象定义和交换格式（IODEF）

IODEF在2007年首次发布的RFC 5070中被定义为“供计算机安全事件响应小组（CSIRT）在计算机安全事件交换时使用的信息共享框架的数据表示”。IODEF是一种基于XML的标准，由反钓鱼工作组和ArcSite等组织使用。其中包括敏感度和置信度标签。图2展示了原始RFC的扫描捕获信息的IODEF格式示例。

图2  IODEF扫描事件

实时内部网络防御（RID）

正如STIX以TAXII作为STIX格式信息交换的利器，IODEF和IODEF-SCI使用RID。RID旨在支持不同企业以安全、易于管理的方式共享事件数据。RFC 6545和RFC 6546分别定义RID和使用HTTPS协议的RID。与TAXII类似，RID为信息交换模型提供了多种选项，包括直接对等、网格对等和客户订阅。

IODEF结构的网络安全信息（IODEF-SCI）

IODEF的扩展模式为捕获有关事件数据的额外上下文提供了一个框架。RFC 7203定义了IODEF-SCI标准，并于2014年首次发表。IODEF-SCI提供了一种结构，用于将额外上下文信息嵌入到IODEF文档中，包括Mitre的公共攻击模式枚举和分类（Common Attack Pattern Enumeration and Classification，CAPEC）、公共漏洞和暴露（Common Vulnerabili ties and Exposures，CVE）、公共漏洞评分系统（Common Vulnerabilities Scoring System，CVSS）以及一些其他标准。

OpenIOC

前面说过，Mandiant推广了IOC（攻陷信标，Indicator of Compromise）这个术语，并为IOC的捕获开发了一套标准，即OpenIOC。OpenIOC是一种XML架构（你可能已经看出了这一趋势），该模式旨在捕获和分类受损主机及网络的取证对象，用于指示恶意通信或其他恶意活动。Mandiant已确定超过500种可能的对象，这些均可使用OpenIOC记录。该框架还允许使用OpenIOC的企业按需定制和创建新的字段。OpenIOC可与STIX进行交互，两种标准之间的转换方法已有公开文档。

在你共享和接收威胁数据情报时，可能需要将数据从一个标准转换成另一种标准。了解不同标准的各个字段和组件是很重要的，因为在两者之间转换时（例如，从STIX到OpenIOC），某些数据字段可能会发生丢失或冗余。如果你没有注意到标准之间的区别，可能会导致一些已捕获的信息在转换后无法被找到。当从一种数据标准转换为另一种时，应确保当前标准的重要字段被转换为新标准中的等效字段。

2、战略信息的数据标准与格式

前面说过，采用前述格式捕获的信标只占待获取内容的一半。信标在检测和响应方面非常有用，但同样重要的是收集那些可供战略分析的上下文信息。这类信息固然可以采用STIX之类的格式来存储，但捕获技术的信息标准往往并不适用。如果都能被捕获到的话，这类信息通常被记录在文档里，或用在幻灯片中。战略信息的存储选项不像技术信息的存储选项那么多，但还是有些可供使用的框架，从而避免遗漏事件信息的关键部分。我们将探讨存储战略信息的两个主要标准：VERIS和CAPEC。

VERIS

事件记录和事件共享的词汇表（Vocabulary for Event Recording and Incident Sharing，VERIS）是一种基于JSON的标准，因支持威瑞森电信（Verizon）的数据泄露事件报告（DBIR）而众所周知。VERIS框架将捕获信息分为四类（简称4A）：操纵者（Actor）、行动（Action）、资产（Asset）和属性（Attribute），用于回答事件的相应问题：

操纵者

“操纵者”用于回答“是谁的行动影响着资产”这个问题。该字段描述事件幕后操纵者的高层信息。该数据用于列举操纵者属于内部、外部还是合伙的，以及攻击者意图。

行动

“行动”用于回答“是什么行动影响着资产”这个问题。攻击者获取权限的方式就是一种“行动”，包括：通过恶意代码获取、通过入侵获取、通过社会工程获取。还包括特定因素，比如：利用已知的漏洞，或使用钓鱼电子邮件。

资产

该字段用于回答“哪些资产受到影响”这个问题，这是一个需要从战略角度回答的重要问题。列举的信息包括受影响资产的类型，以及相关资产的可访问性和管理。

属性

“属性”字段用于回答“资产如何受到影响？”。采用传统的保密性、完整性、可用性三要素。

VERIS还可描述事件时间线和影响相关的信息。这类字段用于描述对于事件识别、缓解和修复的耗时情况，以及企业所受影响的严重程度。

VERIS的主要用途并非生成规则或警报，而是帮助企业了解所面临的风险。因此，信息的详细程度和技术性不及STIX，也不如我们前面提到的那些格式。但是，它可以更完整地讲述某个特定事件的前因后果。

CAPEC

通用攻击模式枚举和分类（Common Attack Pattern Enumeration and Classification，CAPEC）框架，最初是为辅助安全软件开发而设计的。CAPEC的理念是：如果软件开发人员能够理解攻击者瞄准和攻击软件的常见手段，就能够设计和构建出不容易受到这类攻击的软件。CAPEC仅可以描述特定的技术细节，而且将攻击全貌描述为攻击模式，包括攻击先决条件、相关弱点、相关漏洞和攻击者步骤的信息。

只要事件具有清晰、有效的CAPEC描述，企业就可以从攻击中学到很多东西。通过长期对攻击模式的不断分析，可以了解攻击者的作业方式、绕过安全措施的手法，以及保护企业所需的任何附加措施。

3、维护信息

维护信息不仅包含攻陷信标或调查对象。同时，还需描述大量附加信息，以便掌握如何继续维护和处理各类信息。

以下是用于维护信息的一些关键字段：

日期

该数据或信息是什么时候发现的？这一字段不仅在分析时会用到，也用于支持数据的过期或退役，在分析过程中，确定数据是否有效，以及何时失效。

来源

不知道信息何时取得、从何取得，将会令人极度沮丧。在分析过程中，假设你想退回去获取更多信息，或者假设你想指派某条信息的置信度，信息来源的描述在这两种情况都会派上用场。

数据处理信息

通常，数据会因敏感程度与来源而被区别对待。建议使用美国国土安全部（DHS）发布的交通信号灯协议（Traffic Light Protocol，TLP）约定信息共享方式：

TLP白色：公开可用信息，可以使用任何方法与任何人共享。

TLP绿色：可与个人或合作伙伴共享的信息，但不应使用公开信道。千万不要那样做。

TLP黄色：这类信息可与你的企业内部人员共享，但不可与外界共享，也不能使用公开信道。如果不清楚应该把TLP黄色信息共享给谁（比如，是否可以把信息分享给受控安全服务提供商的客户），最好联系信息来源澄清此事。这种事情可不能先斩后奏，如果那样的话，信息共享关系就算完了。

TLP红色：这类信息极度敏感，通常与正在进行的事情或调查有关。在没有事先批准的情况下，不应与指定收件人之外的人员共享，甚至包括收件人所在企业内人员。TLP红色信息通常会在问题解决后降为黄色或绿色。

重复数据

重要的是，要确保不会因为意外原因而对同一事件数据或威胁报告重复描述，从而产生重复数据。不过，有时你会从不同来源收到相同信息，当这种情况出现时，应对其记录。从多处得到相同信标（比如：一份来自内部调查，另一份来自FBI的威胁报告），本身就暗示了问题的严重性；反之，你若未能收录多个来源的细节，就会阻碍下一阶段的分析过程。

在开始存储和管理数据之前，牢记上述内容，使用和维护数据就会事半功倍。

4、威胁情报平台

通过前面对标准和众多要求的介绍，您也许可以看出，将调查、捕获和分析过程中所利用的全部信息管理起来，并非小菜一碟儿。威胁情报平台通常可以简化这一过程，使收集信息、存储信息和查找信息变得更容易。

威胁情报平台（Threat-Intelligence Platform，TIP）由数据库和用户界面组成，专门用来处理威胁信息。威胁情报平台有多种不同类型，有的侧重于信息共享，有的侧重于海量IOC的存储和管理。大多数威胁情报平台可以按照前面介绍的战术格式接收信息，记录管理信息所需的额外信息。使用威胁情报平台将大大减少F3EAD循环的“利用”阶段所需完成的工作量。威胁情报平台既有多个流行的开源版本，也有各种商业解决方案。下面分别介绍。

MISP

恶意软件信息共享平台（Malware Information Sharing Platform，MISP）是一种免费的恶意软件威胁数据管理平台，由开发者组织与北约（NATO）计算机事件响应能力（NCIRC）共同创建。MISP具有数据库和用户界面，支持存储与攻击有关的技术信息和非技术信息，便于对威胁信息进行关联和共享。MISP支持以OpenIOC、纯文本、CSV、MISP XML和JSON格式导出信息，可支持入侵检测和入侵防御。MISP还具有强大的共享功能，支持用户将信息与其他MISP用户或组织共享。您可以在GitHub（https://github.com/MISP/MISP）上得到更多关于MISP的信息。

CRITS

威胁协作研究（Collaborative Research into Threats，CRITS）是另一种管理和共享威胁数据的开源工具。CRITS由MITRE开发，因此被设计为可与STIX和TAXII集成。CRITS可存储威胁信息，并支持向信标添加信任度和严重性。CRITS与TAXII服务集成，易于共享，因此对那些利用STIX/TAXII从政府或其他企业接收或交换信息的机构而言，是一个很好的选择。CRITS支持将数据导出为CSV、STIX和JSON格式。在GitHub（https://github.com/crits/crits）上可以找到CRITS的安装信息和使用文档。

YETI

“你的每日威胁情报”（Your Everyday Threat Intelligence，YETI）平台是一个较新的威胁情报管理工具，于2017年3月公开发布（见图3）。YETI旨在为分析人员提供一个用于管理和分析威胁情报各个部分的集成环境，不仅支持可观测对象、攻陷信标和TTP，也支持威胁相关的常规知识。YETI的一个强大之处在于，除了支持存储已发现的威胁相关信息之外，还支持拓展信标，包括域名解析和WHOIS查询，同时也可以通过配置与其他工具集成。YETI可以接收MISP、JSON和XML格式的反馈数据，也可以从多种恶意代码沙箱工具接收数据。YETI专门为应对威胁情报分析人员近年来遇到的许多挑战而设计，因为对于同样的信息，许多分析人员往往需要以不同过程或流程处理，所以YETI被设计得极为灵活。在GitHub（https://github.com/yeti-platform/yeti）上可以找到YETI的安装信息和使用文档。

图3  YETI平台

商业解决方案

各种商业解决方案也可用于威胁情报管理。大多数商业解决方案不仅包含类似于MISP、CRITS和YETI功能，还提供系统配置管理、负责安装和硬件管理，并为排除故障或功能需求提供支持。有些企业受限于开发资源，需要易于设置和维护的平台，商业解决方案对于它们来说是非常理想的。

无论是开源的威胁情报平台，还是商用的威胁情报平台，都具有许多相同的功能和特性，但在设计时会考虑到特定应用场景，比如侧重于恶意软件的威胁信息，侧重于特定的信息共享，或者侧重于为分析过程提供支持和方便。从开源威胁平台入手的好处在于，可以更好地满足你的企业需求。但如果你的企业在安装和支持这些工具方面遇到问题，在为你的企业选定最佳的总体平台类型之后，可以尝试一下商业解决方案。

四、结语

能够接触到这些调查数据是你的幸运，这些信息在任务完成后也不应被遗忘——无论调查发生在企业内部还是别的地方。需要将这类信息进行分析和传播，让企业从中学习并能应对威胁。但是，如果没有事先在关键的“利用”阶段收集信息，将其加工为可用格式，并为进一步分析将信息存储起来，就不可能进行情报的分析和传播。本文分析了一些处理和存储此类信息的可选方案，从存储格式到实际的数据库，再到用于访问它的接口，下面就需要花时间研究这些方案，从中找到合适的系统或系统组合。

微信公众号：计算机与网络安全

ID：Computer-network

【推荐书籍】