自动威胁情报收集与人类之间的相互依存关系

2023-09-15 22:06:16 3 500

对于当今从事网络安全工作的人来说,自动化威胁情报的价值可能非常明显。上面提到的数字不断上升,加上缺乏可用的网络安全专业人员,意味着自动化是一个明确的解决方案。当威胁情报操作可以自动化时,可以识别和响应威胁,并且工程师只需更少的努力。


网络安全漏洞的数量正在上升,与 30 年相比,2022 年发现的漏洞增加了近 2018%。成本也在上升,2023 年的数据泄露平均损失为 4.45 万美元,而 3 年为 62.2017 万美元。

2 年第二季度,勒索软件攻击共声称有 2023 名受害者,而 1386 年第一季度仅为 831 名。到目前为止,MOVEit攻击已经造成1多名受害者死亡,而且这个数字仍在上升。

对于当今从事网络安全工作的人来说,自动化威胁情报的价值可能非常明显。上面提到的数字不断上升,加上缺乏可用的网络安全专业人员,意味着自动化是一个明确的解决方案。当威胁情报操作可以自动化时,可以识别和响应威胁,并且工程师只需更少的努力。

但是,组织有时会犯的一个错误是,一旦他们自动化了威胁情报工作流程,人类就被排除在外。他们将自动化与完全不干涉、无人的威胁情报混为一谈。

实际上,人类可以扮演非常重要的角色,甚至在高度自动化的操作中也是如此。正如Aera Technology的Pascal Bornet所说,“智能自动化是关于人的”,自动化威胁情报也不例外。

自动化威胁情报:简史#
威胁情报并不总是自动化的。这是一个被动的过程。出现问题时,安全运营中心 (SOC) 团队(或在某些行业中,专门收集风险情报的欺诈团队)会手动进行调查。他们在暗网上搜索有关威胁的更多信息,努力发现哪些威胁是相关的,以及威胁行为者计划如何行动。

从那时起,威胁情报行动慢慢变得更加积极主动。威胁分析师和研究人员努力在问题影响其组织之前识别问题。这导致了预测性威胁情报,它允许团队在威胁参与者处于围栏上并试图进入之前识别威胁。

但是,主动威胁情报不是自动化威胁情报。工作流程是高度手动的。研究人员手工寻找威胁行为者,找到他们闲逛的论坛并与他们聊天。这种方法无法扩展,因为它需要大量的研究人员来查找并吸引网络上的每个威胁参与者。

为了解决这一缺陷,出现了自动化威胁情报。最早的自动化形式涉及自动抓取暗网,这使得研究人员以更少的努力更快地发现问题成为可能。然后,威胁情报自动化更深入,获得了抓取封闭论坛的能力,例如 Telegram 组和 Discord 频道,以及威胁行为者聚集的其他地方,如市场。这意味着自动化威胁情报可以从开放网络、暗网和深网(包括社交渠道)中提取信息,使整个过程更快、更具可扩展性和更有效。

解决威胁情报数据挑战#
自动化威胁情报帮助团队更高效地运营,但它带来了新的挑战:如何管理和理解自动化威胁情报流程产生的所有数据。

这是每当您收集大量信息时都会出现的挑战。“更多的数据,更多的问题,”正如《连线》杂志所说。

团队在处理大量威胁情报数据时面临的主要问题是,并非所有数据实际上都与给定组织相关。其中大部分涉及不会影响特定业务的威胁,或者只是“噪音”——例如,威胁参与者讨论他们最喜欢的动漫系列,或者在编写漏洞利用时听什么类型的音乐。

应对这一挑战的解决方案是通过将机器学习过程应用于威胁情报数据来引入额外的自动化层。通常,机器学习 (ML) 使分析大量数据和查找相关信息变得更加容易。特别是,ML 可以构建和标记威胁情报数据,然后查找与您的业务相关的信息。

例如,Cyberint 用于处理威胁情报数据的技术之一是将客户的数字资产(如域、IP 地址、品牌名称和徽标)与我们的威胁情报数据湖相关联,以识别相关风险。例如,如果恶意软件日志包含“examplecustomerdomain.com”,我们会对其进行标记并提醒客户。如果此域出现在用户名字段中,则员工的凭据可能已泄露。如果用户名是个人电子邮件帐户(例如 Gmail),但登录页面位于组织的网域中,我们可以假定是凭据被盗的客户。后一种情况的威胁较小,但Cyberint提醒客户注意这两种风险。

人类在自定义威胁情报中的作用#
在一个我们已经完全自动化威胁情报数据收集的世界里,最重要的是,我们已经自动化了数据分析,人类可以从威胁情报过程中完全消失吗?

答案是响亮的否定。出于多种原因,有效的威胁情报仍然高度依赖人类。

自动化配置#
首先,人类必须开发驱动自动威胁情报的程序。他们需要配置这些工具,改进和优化其性能,并添加新功能以克服新的障碍,例如验证码。人类还必须告诉自动收集工具在哪里查找数据,收集什么,在哪里存储数据等等。

此外,人类必须设计和训练在收集完成后分析数据的算法。他们必须确保威胁情报工具识别所有相关威胁,但不要进行过于广泛的搜索,以免显示不相关的信息并产生大量误报警报。

简而言之,威胁情报自动化不会自行构建或配置。你需要熟练的人来完成这项工作。

优化自动化#
在许多情况下,由于工程师最初无法预测的因素,人类最初构建的自动化并不理想。当这种情况发生时,人类需要介入并改进自动化,以推动可操作的威胁情报。

例如,假设您的软件正在生成有关您的组织的凭据在暗网上出售的警报。但经过仔细调查,事实证明它们是假凭据,而不是威胁行为者实际窃取的凭据——因此您的组织没有真正的风险。在这种情况下,需要更新威胁情报自动化规则以验证凭证,可能是通过在发出警报之前使用内部 IAM 系统或员工注册交叉检查用户名。

跟踪威胁自动化发展#
威胁总是在不断发展,人类需要确保战略威胁情报工具随之发展。他们必须执行所需的研究,以确定新威胁参与者社区的数字位置以及新颖的攻击策略,然后迭代情报收集工具以跟上不断变化的威胁形势。

例如,当威胁参与者开始使用 ChatGPT 生成恶意软件时,威胁情报工具需要进行调整以识别新威胁。当ExposedForums出现时,人类研究人员发现了这个新论坛,并更新了他们的工具,从这个新来源收集情报。同样,威胁行为者转向依赖 Telegram 需要重新配置威胁情报工具以抓取其他频道。

验证自动化#
必须经常验证自动化,以确保它们创建最相关的信息。大型组织会收到大量警报,自动过滤警报只能到此为止。有时,需要人工分析师来评估威胁。

例如,自动威胁情报工具可能已经识别出可能冒充受监控品牌的潜在网络钓鱼站点。品牌名称可能位于特定 URL 中,可以是子域、主域还是子目录。它可能是一个网络钓鱼网站,但它也可能是一个“粉丝网站”,意思是由向该品牌致敬的人创建的网站(例如,撰写正面评论、描述对您的品牌和产品的良好体验等)。为了区分差异,需要分析师来调查警报。

下载我们的指南:深网与暗网大书

自动化威胁情报的优势和局限性#
自动化是从开放、深层和暗网中收集威胁情报数据的好方法。可以使用自动化(以机器学习的形式)来帮助有效地分析威胁情报信息。

但是自动化算法需要由人类持续编写、维护和优化。还需要人工对警报进行分类,抛出误报并调查潜在威胁。即使使用当今先进的人工智能解决方案,也很难想象一个世界,这些任务可以完全自动化,不需要人工交互。这在科幻小说的世界里可能是可能的,但这肯定不是我们在不久的将来看到的现实。

Cyberint 的深度和暗网扫描功能有助于识别组织的相关风险,从数据泄露和暴露的凭据到恶意软件感染和威胁参与者论坛中的针对性喋喋不休。Cyberint 提供有影响力的情报警报,通过降低误报率和加快调查和响应流程来节省团队时间。

关于作者

cc3ini21篇文章136篇回复

一个渗透测试在学的菜鸡!

评论3次

要评论?请先  登录  或  注册