如何理解噪音:让开源威胁情报更简单

  • 许多分析师抱怨开源威胁情报可能会引来嘈杂的消息从而分散注意力。在许多情况下,他们是对的。但是解决这些问题并不那么难。这里有三种方法可以克服这些挑战,从 #OSINT 中获取真正的价值。

许多分析师抱怨开源威胁情报可能会引来嘈杂的消息从而分散注意力。在许多情况下,他们是对的。比如不同 Feed 的内容重叠(在某些情况下完全是抄袭)、大量的低价值情报、以及更多的误报(因为数据质量检测经常不存在)。

但是解决这些问题并不那么难。这里有三种方法可以克服这些挑战,从 OSINT 中获取真正的价值:

1、处理重叠的信息

在将 Feed 插入安全工具之前,了解 Feed 之间的相似程度是个好主意。您可以使用各种工具分析 Feed 提供者之间指标的重叠。例如,MISP 提供的重叠矩阵

同样,ThreatPipes Feed 重叠矩阵也可用于支持分析师并帮助他们更好地理解其 Feed 集提供的不同覆盖水平。

2、如何应对低价值情报

在订阅 Feed 之前,了解 Feed 提供商如何生成 Feed 非常棒。很多 OSINT Feed 都是从蜜罐中自动录入的。通用蜜罐可能是出了名的嘈杂,通常产生大量良性扫描IP条目。

即使您了解了 Feed 创建的逻辑,使用其他元数据丰富指标也同样是好主意。

添加其他上下文,例如查找以发现是否有任何已知TTP与指标相关联,可以立即识别是否存在高风险。ThreatPipes Processor Nodes 可以支持开箱即用的各种丰富功能。

3、减少误报

从来没有哪个分析师不会随时处理一些安全事件。嘈杂的安全产品可能会分散注意力,并且在某些情况下真正的威胁就埋在一长串误报中。

您应该在任何 OSINT 到达下游工具之前对其进行过滤,特别是如果它可能影响关键任务资产的话。

通常应该将不同的情报来源递送到不同的下游源。例如,SIEM 或事件响应工具比端点更适合OSINT,因为它们可以在执行情报之前充当中间人。

使用 ThreatPipes 的丰富功能进行过滤是个好办法。

其他改进 OSINT 工作流程的工具

这里介绍的只是一些基本策略。 还有很多领先的安全从业者提出过很好的建议。
在这里视频:


首先阅读 Threat Intelligence Quotient Test,这是 MLSec 项目构建的工具。上面的视频是在BlackHat 2015 录制的,如今依然非常有用。
还有一个视频:

该视频显示了使用 ThreatPipes 从 OSINT feeds 聚合情报是多么容易。ThreatPipes 随附了一些互联网上最受欢迎的OSINT feeds,包括 blocklist.de 和 abuse.ch 提供的那些。

​OSINT: How to Make Sense of the Noise. Strategies you can put in place to make OSINT an effective tool to defend your assets from cyber threats.

发表评论

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据