为实现成功的网络安全威胁情报交换构建坚实基础
AI智能总结
为实现成功的网络情报交换构建坚实基础©Copyright2018,CloudSecurityAlliance.Allrightsreserved1 为实现成功的网络威胁情报交换 构建坚实基础 期望在云环境安全事件响应方面进行协作的公司需考虑的关键问题 ©2018云安全联盟版权所有 保留所有版权。您可以下载、存储、显示在您的计算机上、进行查看、打印和链接到云安全联盟的网址:https://cloudsecurityalliance.org/download/BuildingaFoundationforSuccessfulCyberThreatIntelligenceExchange/。中文版下载到中国云安全联盟官网:http://www.c-csa.cn。前提是:(1)本文仅限于您个人查阅信息使用,不可用作商业用途;(2)不得以任何方式对本文进行修订或更改;(3)不得对本文进行转发散布;(4)不得删除文中商标、版权声明、及其他标示。如需引用本文内容,必须注明引用内容来自CSA《为实现成功的网络威胁情报交换构建坚实基础》,且在美国版权法的合理使用条款允许范围内。 目录 鸣谢4 序言5 概览6 寻找适合你的评估共享计划9 建立共享关系10 评估交换平台的能力10 建立信任11 参与者匿名保护以及数据清除(DataSanitization)11 开放标准12 自动化13 规模化分析13 协作14 行业/同业组织小团体(enclaves)14 时间同步14 在你加入之前为成功构建基石15 捕获内部事件威胁15 考虑如何使用情报观点15 衡量是否参与和价值16 制定策略16 入门威胁情报交换操作指南17 威胁情报交换框架18 识别可疑事件18 收集相关事件数据19 决策如何去共享数据以及与何人共享20 事件反馈与关联的监控器23 评估合作响应的需要23 下一步号召行动24 附录A共享事件信息示例25 附录B额外资源26 鸣谢 网络事件共享工作组联席主席 DaveCullinaneBrianKelly 主要贡献者 RamsésGallego KrishnaNarayanaswamyEdgarOdenwalderRichPhillips 贡献者 MarianoJ.BenitoRyanBergsmaOlivierCaleffElvisHover LeoMagallanChristineMullaneyDavidNeumanKavyaPearlmanCodinaRamonCarlosSamaniegoStacySimpson JeffValdesJohnYeohRichardZhao 中文版翻译说明: 由中国云安全联盟(C-CSA)秘书处组织翻译为实现成功的网络威胁情报交换,构建坚实基础BuildingaFoundationforSuccessfulCyberThreatIntelligenceExchange,中国云安全联盟专家委员会专家翻译并审校。 翻译审校工作专家:(按字母顺序排列) 组长:沈勇。组员:冯春进、方伟、胡泽柱、李建民、罗义兵、马红杰、马韶华、魏琳琳、张威。 C-CSA工作人员: 赵元勋(C-CSA研究助理) 翻译术语 DataSanitation:数据清除DataRedaction:数据修订Enclaves:小团体 CIE:网络事件交换threatvector:威胁向量 序言 当前网络攻击的频率和复杂程度在不断提高。攻击者可能是个人,也可能是资源丰富、组织严密的团伙。面对这样的威胁,企业如果只关注内部防护措施,可能建成最后被绕过“马其顿防线”;如果只依赖自身的情报能力,可能面临攻防不对等的窘境。为了解决上述问题,网络威胁情报(CTI,CyberThreatIntelligence)及其交换计划成为近年来安全建设的一个热点。企业在建设自身情报能力,选择和加入合适的共享计划方面需要具体、专业的指导。在美国国土安全部(DHS)、美国国家与技术研究所(NIST)、恶意代码信息共享平台(MISP)、欧洲网络与信息安全局(ENISA)的早期研究成果的基础上,云安全联盟 (CSA)不仅推出云计算网络事件共享中心(CloudCISC,CloudCyberIncidentSharingCenter)为联盟会员提供最先进的威胁情报交换计划;而且发布了本文,为那些希望利用威胁情报加强自身安全能力的企业提供指导。文中还特别指出了云提供商(CSP)在威胁情报领域的独特地位。中国云安全与新兴技术安全创新联盟(简称:中国云安全联盟)组织业界专家翻译为中文版本,相信一定会有助于更多的中国企业从威胁情报中获益。 中国云安全联盟和云安全联盟大中华区非常感谢翻译和支持工作者们和中国云安全联盟专家委员会专家们的无私贡献。 中国云安全与新兴技术安全创新联盟常务副理事长 CSA云安全联盟大中华区主席 李雨航YaleLi 概览 没有组织可免受网络攻击。恶意攻击者结合了技巧和敏捷性,快速有效地在目标间移动。新的攻击在一开始的24小时内,只针对几十家公司,几天内就扩散到几百家公司。1几年前,对威胁环境具备可见性已经是关键能力,如果希望网络安全具备一定预防能力。今天,了解即将发生的事情对于维持(系统)生存至关重要。 复杂的组织,特别是云提供商,是否能区分小事件和大规模入侵依赖于它们快速检测,控制和减轻攻击的能力。提升事件响应速度已经成为云提供商的重中之重,他们正越来越多地参与到行业内各种网络事件信息交换的计划中。(此类计划)有时称为威胁情报交换或网络事件交换,这些计划使云提供商能够与可能遇到相同问题或面临相同类型攻击风险的其他人共享网络事件信息。 不可否认,网络安全信息共享在过去对安全团队的价值有限。虽然这部分是由于过去在自由交换网络威胁数据方面的法律和文化障碍,但主要挑战是因为以前的信息分享计划是手动和响应式的。这些计划更侧重于在威胁被检查,清理和缓解之后,再分享有关网络安全事件的信息。这更像是一种公开服务而不是一个支持快速事件响应的工具。虽然这些数据有明确的目的,也曾发挥一定作用,随着攻击速度和数量的增长,他们的价值降低了,另外,此类信息共享在少数关键技术设施部门之外未得到广泛采用。 12017DataBreachInvestigationsReport10thEditionbyVerizon,April27,2017 不仅云提供商对网络威胁情报交换感兴趣,安全高管以及各行各业的思想领袖们也正对其进行重新审视。在美国,网络威胁信息共享被纳入美国国家标准与技术研究院(NIST)的一个自愿框架中,该框架旨在降低网络基础设施面临的风险,既是风险评估,也是事件响应活动,并将其作为一个支持和促进网络风险管理的手段,在《关于加强联邦网络和关键基础设施网络安全的风险管理》的美国总统行政命令中强调。. NIST网络安全框架 美国总统行政命令《关于加强联邦网络和关键基础设施网络安全的风险管理》 概览(续) 快速切换到今天的安全环境和网络事件信息交换,透过以前的信息共享计划,几乎无法辨认。随着安全运营中心(SOC)和计算机安全事件响应小组(CSIRT)的成熟,威胁情报、数据分析和安全事件管理方面的新技术和工具为更快速、可执行的威胁情报交换创造了新的条件。 事件数据--更准确地说可疑事件数据--现在可以跨团队、跨工具、甚至跨公司进行快速地进行分享和分析,成为即时响应流程的一部分。事实上,如果一个组织等到他们发生“事件”以后才开始共享信息,那太迟了。现在重点是在识别可疑事件的第一时间共享相关数据,这大大加快了补救工作,并为尚未受影响的组织提供了早期、可执行的警告。 这种新型威胁情报交换模式的积极影响在2017年5月的Wannacry危机期间得到了证明。尽管第一个感染报告起源于5月12日在西班牙,但英国和苏格兰遭受这个恶意代码的打击更为严重。这在很大程度上归功于西班牙政府对关键基础设施的事件响应方案,例如来自全国密码学中心2的警告,该警告迅速确定了恶意软件及其传播媒介、提供了缓解工具,并鼓励各组织共享这些信息。西班牙公司能够迅速保护自己免受Wannacry的攻击,然而这个恶意代码在其他国家继续蔓延。英国国家网络安全中心(NCSC)3传播的威胁情报,提供了理解和关于分享最佳缓解措施的指导,为Wannacry病毒提供最终的关闭开关。 云提供商在威胁情报交换中扮演着独特的角色,因为他们不仅拥有和管理着世界上大量的IT基础设施,而且还运营着一些在科技领域最领先的计算机安全事件响应小组/安全运营中心 (CSIRT/SOC)。由于这一投资,他们可以说是处于最佳位置来运营共享情报以防护他们的系统。此外,由于他们能在很大的规模上做到这一点、并能包含行业中很大的一部分,他们有切实的机会帮助(行业)与恶意攻击者保持在同一起跑线上对抗。CSA也在推动一些行动来帮助其会员实现这两个目标。 1https://uk.reuters.com/article/us-spain-cyber/telefonica-other-spanish-firms-hit-in-ransomware-attack-idUKKBN1881TJ 2https://www.ncsc.gov.uk/blog-post/finding-kill-switch-stop-spread-ransomware-0 d 建坚实基础©Copyri 7 Allrightsrese SecurityAllian ght2018,Clo 络情报交换构 为实现成功的 网ud ce. rve 概览(续) 作为一系列文件的第一篇,本文提供了一套框架,来帮助那些正在寻求加入威胁情报交换计划以加强自身事件数据分析和事件响应能力的企业。本文的目标读者是那些对网络安全数据交换刚开始考察、或已经开始交换的企业。旨在为安全团队提供帮助,无论其内部威胁情报能力是刚建立的还是已经成熟。事实上,只要有专职的威胁情报人员,组织就需要考虑加入威胁情报交换计划来强化自身的数据。为此,本文将在3个关键领域为企业提供宏观的实践指导支持: •与最能满足其需求的共享合作伙伴和交换平台进行连接 •识别能力和业务要求,它们是价值驱动的威胁情报交换计划的基础 •理解交换过程的基本原理,以便他们可以有效地共享其所见的事件数据并更有效地操作他们收集的任何情报 4 本文中的指南由云安全联盟(CSA)网络事件共享工作组的成员开发。此成果已用于Cloud-CISC(云网络事件共享中心)的设计、开发和运营,Cloud-CISC5是为CSA成员提供威胁情报交换的平台。这些建议主要基于通过Cloud-CISC5的开发和运营获得的经验教训,以及管理大型公司威胁情报计划的个人经验。这项工作一些常见的挑战包括: 1对其内部事件数据难以理解的组织很难决定其应该共享什么事件数据。 2虽然他人提供了威胁情报,但通过电子邮件形式传送会导致不能很好地集成到事件响应流程中,所以价值通常很有限。 3组织希望能够横向扩展到其他部门并在供应链中纵向扩展。 4共享的动机不是一定要帮助到其他方,而是为内部响应能力提供更好的支持。 本文旨在直接解决这些挑战,并为那些开始进行威胁情报交换的企业建立一个关键考量的基本框架。我们希望与行业内的其他机构合作,进一步开发此指南并制定相关的最佳实践,使威胁情报交换成为面临日益严重威胁的所有组织的宝贵资源和社区。 4CSACyberIncidentSharingWorkingGrouphttps://cloudsecurityalliance.org/group/cloudcisc/#_overview 5CloudCISChttps://www.csa-cloudcisc.org/ 寻找适合你的评估共享计划 精心设计的共享计划可以为成员提供大量支持,并使不同成熟度级别的组织能够参与并从外部威胁情报交换中获取价值。虽然旧有的信息共享计划仍然存在并且尚有一席之地,但今天的重点应该放在威胁情报交换的新模式上,它
