如何客观地评估威胁情报的来源
✈️

如何客观地评估威胁情报的来源

Created
Nov 14, 2022 05:50 AM
Tags
笔记积累
网空威胁
评估技巧

前言

本文的作者是Valentina Costa-Gazcón一篇文章,她是versprite威胁情报总监,是威胁情报、威胁狩猎的专业大师。
Practical Threat Intelligence and Data-Driven Threat Hunting: A hands-on guide to threat hunting with the ATT&CK™ Framework and open source tools
建议抽时间学习这本著作。

正文

作为一名网络威胁情报分析师,你可能已经知道为你的分析获得高质量的信息是多么重要。如果你遵循正确的程序,你的每份报告都应该标明你对你所提供的信息的信任程度。这就是我们通常所说的 "置信度"。
最常见的是,置信水平分为三类:高、中和低。在我进入威胁情报领域的旅程之初,我们有太多的信息需要处理和分析,甚至无法考虑在将选择权留给分析师之外接近置信度分级。我们相信,我们的分析师将能够利用他们的良好判断力将信息分类为高度准确和可靠,在某种程度上准确可靠或根本不值得信赖。没过多久,我们才意识到这种方法导致每份报告都以“中等”置信度进行分类
“现在怎么办?”我们想。我们危险地接近平庸的路线,我们出去寻找卓越。这是我们不能不能不能容忍的。
最后,团队达成了一项协议,我们设计了一个流程来评估我们的消息来源。这个公式将帮助我们为置信水平提供更准确的测量,而不会妨碍分析师应用他们自己的标准并在必要时否决它。最后一点非常重要:每个分析师都应该能够根据自己的知识和过去的经验来增加或降低置信水平。理想情况下,他们应该在报告中传达这种推翻裁决的理由,但你应该确保他们知道你重视他们的判断,并且如果他们认为合适,你希望他们这样做。
那么,在分析我们的消息来源时,我们同意考虑哪些因素?我们对来源的分级围绕五个轴心:来源类型、区域可见性、分析师声誉、技术分析和 IOC(妥协指标)的可用性。根据既定的成绩,我们会给来源一个最终的标点符号。网络威胁情报报告通常使用多个来源制作。我们将按照相同的步骤对我们引用的每个来源进行评分。最后,我们将总结我们的评分,并将其划分为我们正在处理的来源数量。结果数字将低于预定义的阈值,该阈值将用作置信水平参考。
听起来很简单,对吧?实际上,这比您想象的要棘手一些。让我们深入了解不同的轴来了解原因。

来源类型

列出您认为可以使用的不同类型的来源。例如:
  • 供应商报告
  • 报纸
  • 研究人员出版物
  • 政府起诉书
  • 法院裁决等
对每种类型的源进行评分,根据您喜欢使用的源类型为其指定一个介于 0 到 1 之间的值。使用此值作为将使用其他轴计算的总源值的乘数。
notion image
notion image

区域可见性

从所有轴来看,这是最棘手的,因为您需要非常熟悉供应商的报告才能利用它。我们仅在分析供应商报告时使用此值。众所周知,不同的网络安全供应商根据其基础设施或商业利益或多或少地了解世界不同地区。
设计一个矩阵,允许您根据供应商在不同地区的可见性对供应商进行分类。定义如何根据供应商报告的世界区域对供应商的报告进行评分。让我澄清一下,供应商可能对中东威胁行为者有很好的了解,但他们确实会不时报告亚洲威胁行为者。您不需要忽略那些频率较低的报告,无论哪种方式,您都可以将它们用作有效的来源,但在分析您对他们的报告的信心时,您应该考虑到该地区明显缺乏可见性。
notion image
notion image

分析师声誉

一些分析师和研究人员独立工作。他们制作有关恶意软件样本或活动的报告,这些报告通过github存储库,他们的个人博客,Twitter线程等提供给社区。如果您正在分析的报告属于其中任何一个,请在总体评分中添加一个分数。这个等级应该只加,不应该减。

国际石油公司的技术分析和可用性

这两个非常简单。该报告是否对您可以仔细检查的活动/恶意软件样本进行了详细的技术分析?报告是否包含您可以查找以对比所提供的信息的 IOC?如果是这样,请增加所分析源的总体成绩值。

将一切整合在一起

现在,让我们假设我们正在与两个关于同一个中国APT的来源合作.Source 1是美国的一家技术杂志,撰写报告的记者在您所在的行业中是众所周知的。本文填充了丰富的代码示例和良好的 IOC 列表。Source 2是一家非常知名的供应商对 APT 的深入研究,在亚洲(供应商 3)具有良好的知名度,但本文对 IOC 的介绍很轻。

来源 1:总置信度分数 1.8

  • 技术杂志 - 0.6
  • 知名记者 - 1
  • 技术分析 - 1
  • 国际奥委会 - 1

来源 2:总置信度分数 0.8

  • 在亚洲可见度高的供应商 - 0.8
要获得来源的总分,只需将所有总值相加并除以您正在使用的来源总数。在本例中,这两个来源的总分为 1.3。您应该准备一个表,其中包含说明阈值的范围,类似于下面的范围。在本文中,我使用了从 0 到 1 的数字,但您可以使用您觉得舒服的任何其他范围。
notion image
notion image
就是这样!如果您遵循此准则,您应该能够更好地提高网络威胁情报报告的置信度。在您的流程中达到这种详细程度需要努力和时间,但它会增加您对交付给利益相关者的信息的信任。拥有数据来备份并证明对您的评估的信心不仅有助于提高评估的质量,还有助于确保交付。