RFC 9424是最近发布的一份信息性 RFC,旨在让试图潜入全球网络的坏人的生活更加艰难。这份名为“入侵指标 (IoC) 及其在攻击防御中的作用”的文档深入探讨了如何使用 IoC 来发现、跟踪和阻止那些狡猾的网络威胁。它是一本指南,可帮助网络工程师和安全专家通过理解和有效部署 IoC 来增强他们的防御能力。这篇文章将使用一个真实的例子来反思 RFC 9424 所涉及的重要主题。
自 2020 年 3 月以来,作者Kirsty Paine、Ollie Whitehouse、James Sellwood和Andrew Shaw一直在致力于 RFC 9424 的各种草案和迭代,直到 2023 年 8 月正式生效。RFC 全面讨论了与攻击者或其活动相关的可观察工件 (IoC) 的使用,例如战术、技术和程序 (TTP) 以及相关的工具和基础设施。
Splunk 的现场 CTO 兼战略顾问 Kirsty Paine 在她的LinkedIn 帖子中指出,网络安全中经常被忽视的一个问题是协议工程师和防御者之间的最低限度的互动。RFC 9424 旨在促进这些群体之间更好的理解和技术成果。
RFC 9424 的目标
该文件全面概述了 IoC 在网络安全防御战略中的作用和意义。关键要点如下:
IoC 的重要性:该文件强调了 IoC 在识别、追踪和阻止网络或端点上的恶意活动方面的重要性。
在国防战略中的作用:它强调了 IoC 支撑并实现了现代纵深防御战略的多层级,在网络安全中发挥着至关重要的作用。
实施中的可检测性:RFC 强调 IoC 需要在 Internet 协议、工具和技术的实施中可检测,以便最初发现和使用它们进行检测。
定义 IoC
IoC 是可作为主机系统或网络潜在入侵的取证证据的人工制品。在网络安全背景下,IoC 在威胁检测中发挥着至关重要的作用,使组织能够识别并减轻安全漏洞和恶意活动的影响。
IoC 可能包括异常的入站和出站网络流量或地理异常,例如来自组织没有存在的经济体或位置的流量。它们也可能是系统内的未知应用程序或来自管理员或特权帐户的异常活动。
这些示例作为数字线索,可帮助信息安全专业人员识别恶意活动或安全漏洞,例如数据泄露、内部威胁或恶意软件攻击。
RFC 使用痛苦金字塔进一步扩展了 IoC 定义(图 1)。
图 1 — David Bianco的痛苦金字塔,于 2013 年首次定义。来源。
痛苦金字塔是网络安全中的一个概念,它说明了当防御者使用不同类型的 IoC 来阻止攻击者的攻击时,攻击者面临的不同难度。该模型对于了解某些类型的信息如何影响对手的行动特别有用。
痛苦金字塔越高,攻击者改变攻击方法的“痛苦”程度就越大,而 IoC 对防御者的有效时间也越长。这一概念有助于网络安全专业人员确定应优先关注哪些 IoC,以便对破坏对手产生最大影响。
IoC 的生命周期
如 RFC 9424 中所述,IoC 的生命周期是有效管理网络安全威胁的关键概念。了解此生命周期不仅有助于专业人员应对威胁,还可以主动预测和缓解威胁。IoC 的生命周期涉及几个关键阶段,从最初的创建到部署和最终退役。
发现:此阶段主要涉及检测。网络工程师在此阶段使用工具和策略来发现潜在威胁。无论是通过自动系统扫描异常还是基于最新威胁情报进行手动侦查,发现都是第一道防线。
评估:此阶段强调了背景信息的重要性。没有它,IoC 就没那么有用。防御者根据 IoC 的质量以及防御者的需求和能力对 IoC 进行不同的处理。对 IoC 的信任度会因其来源、新鲜度、可信度和相关威胁而异。IoC 的详细文档对于在团队内或整个网络安全社区中共享知识至关重要。它通常包括 IoC 的性质、发现方式及其潜在影响,使其他人更容易理解和采取行动。
共享:共享阶段处理 IoC 共享的不同方式——以非结构化方式单独共享,或以标准化格式打包(如 STIX、MISP 核心、OpenIOC 或 IODEF),从而实现通过结构化馈送(如 TAXII 或 MISP)进行分发。
部署:适当部署 IoC 对于提供纵深防御和管理各种故障点至关重要。不同的 IoC 检测不同网络层和攻击阶段的威胁,从而实现分层防御。安全控制和端点解决方案需要足够的权限和可见性来检测和处理 IoC,这些 IoC 应该可以快速且广泛地访问。自动从日志或情报源中获取、处理和部署 IoC 是有利的。通过将 IoC 支持集成到安全产品和防火墙中,并确保广泛的控制点(如企业范围的 DNS 解析器)可以自动对 IoC 源采取行动,可以实现有效的 IoC 部署。
检测:在此阶段,安全系统寻找与任何已部署的 IoC 匹配的活动,以便可以触发适当的响应操作。
反应:对 IoC 检测的反应因控制功能、IoC 评估和日志源的属性而异。例如,与已知僵尸网络 C2 服务器的连接可能表明存在问题,但如果该服务器还执行合法功能,则无法确定。常见的反应包括记录事件、触发警报以及阻止或终止活动源。
寿命终止:最后,淘汰那些由于威胁形势变化或技术进步而不再相关的 IoC。这可让您的防御措施保持最新和集中。
IoC 和 ISP/网络运营商
防范恶意软件等威胁是互联网服务提供商 (ISP) 的首要任务。通过整合 RFC 9424 的原则,ISP 可以加强对复杂网络攻击的防御能力。
让我们看一个示例场景以及如何应用 RFC 9424。
1. 了解并识别 Cuttlefish 恶意软件的 IoC
Cuttlefish 恶意软件以路由器为目标,操纵流量并窃取敏感数据。有效的防御始于识别精确的 IoC,例如:
IP 地址和域名:监控与 Cuttlefish 相关的已知恶意 IP 的流量。
DNS 查询模式:识别可能表明 DNS 劫持尝试的异常 DNS 请求。
HTTP 流量异常:监视意外的 HTTP 重定向或异常的出站流量模式,这些模式表明存在数据窃取或操纵。一旦识别,就可以将其记录为特定的 URL。
恶意软件签名:使用更新的防病毒系统检测 Cuttlefish 恶意软件的已知签名。
SSL/TLS 证书:检查证书颁发中是否存在可能表明被恶意软件拦截的异常。
这些 IoC 是识别和减轻恶意软件对 ISP 管理的网络的影响的第一道防线。
2. 将 IoC 纳入多层防御战略
RFC 9424 强调了 IoC 在强大的分层防御策略中的关键作用。ISP 应实施网络分段 — 如果恶意软件突破初始防御,这将限制其传播。他们还应部署高级防火墙和配置了最新 IoC 的 IDS/入侵防御系统 (IPS),以检测和阻止可疑活动,并使用端点保护来捕获任何突破外围防御的恶意软件实例。
这种分层方法可确保在恶意软件造成重大损害之前有多次机会阻止它。
3. 利用先进技术增强 IoC 的可检测性
为了确保安全系统能够有效地检测 IoC,ISP 应该升级其检测系统并实施先进的网络监控工具,以自动检测与 Cuttlefish 相关的 IoC。
他们还应建立实时警报系统,以便在检测到潜在威胁时立即通知,以便迅速做出反应。当然,需要定期更新和修补程序以维护最新的安全补丁和 IoC 数据库。
4. 促进合作和信息共享
与其他实体共享知识和 IoC 至关重要。RFC 9424 建议 ISP 应与 CSIRT/CERT 合作,以获取有关新兴威胁的最新消息和处理事件的建议,并参与MISP等全球威胁情报平台(其中包括 APNIC 的社区蜜网项目数据),ISP 可以在其中共享和接收可操作的 IoC。内部协作同样重要,应鼓励部门间信息共享,以增强整体安全态势。
这些协作努力增强了快速有效应对威胁的能力。
5. 不断适应新威胁
适应性是网络安全的关键。定期进行安全审计对于识别 ISP 网络中的潜在漏洞和需要改进的领域至关重要。培训员工了解最新的网络安全威胁和防御机制是适应性的关键,实施正确的策略和条件来创建反馈回路也是关键。反馈回路是从安全事件中学习并改进未来响应的机制。
通过实施 RFC 9424 中的准则,ISP 可以创建一个强大的框架来管理 Cuttlefish 恶意软件等网络威胁。这包括采取主动的安全方法、利用最新技术和威胁情报以及培养持续改进和协作的文化。这种策略不仅增强了 ISP 保护自身基础设施的能力,而且还支持确保全球互联网生态系统的安全性和弹性的更广泛目标。
挑战与限制
RFC 9424 概述了有效使用 IoC 所涉及的几个挑战和复杂性。第一个主要挑战是及时性。由于网络威胁的快速发展,必须迅速识别、分析 IoC 并将其集成到防御机制中。每个 IoC 的有效性在很大程度上取决于它能多快地跨系统部署以缓解这些新出现的威胁。
准确性是另一个关键因素。IoC 不仅必须精确,还必须可靠,以确保在网络威胁不断演变时仍然有效。一些 IoC 固有的脆弱性可能会限制其长期的实用性,因此需要不断更新以保持其在识别威胁方面的相关性和准确性。
此外,相关性对于 IoC 的可操作性至关重要。它们需要背景理解,包括有关来源、相关攻击方法和潜在影响的知识。这对于做出明智的决策至关重要。随着威胁行为者的策略、技术和程序的发展,一些 IoC 可能会失去其相关性,促使它们及时审查并可能被淘汰。
最后,有效使用 IoC 需要能够在各种互联网协议、工具和技术的实现中检测到它们。实现这种广泛的覆盖范围需要标准化和互操作性,以确保不同的网络安全系统能够统一检测和应对 IoC 所指示的威胁。这些挑战凸显了管理 IoC 的动态方法的必要性,其中不断的评估、调整和沟通是保持其在不断变化的威胁环境中有效性的关键。
结论和未来影响
当我们了解 IoC 的技术细节和实际应用时,很明显 RFC 9424 不仅仅是一份文档,它还是构建弹性和可防御网络环境的蓝图。无论您是经验丰富的安全专业人员还是该领域的新手,了解此 RFC 的含义和应用都可以显著增强您保护网络免受不断变化的威胁形势的能力。
本站全部资讯来源于实验室原创、合作机构投稿及网友汇集投稿,仅代表个人观点,不作为任何依据,转载联系作者并注明出处:https://www.lvsky.net/336.html
评论