许多组织选择通过多种方式共享网络威胁情报(Cyber Threat Intelligence, CTI)订阅各种信息源,其中包括妥协指标方案(Indicators of Compromise, IOC)。在当前市场上,威胁情报最普遍的使用场景是利用IOC情报(Indicators of Compromise, IOC)进行日志检测来发现内部重要风险。这种方式可以发现传统安全产品无法发现的很多威胁,并且因为这其中大多是已经被成功攻击的操作,所以“亡羊补牢”对于安全运营仍会有较大的帮助。该方法的核心是从浩如烟海的日志数据中提取出威胁情报,此时,威胁情报的数目仍然较为庞大,需要从威胁情报中进一步提取出具有实用价值的IOC情报以进一步在安全社区内共享,这就要求根据情报本身质量过滤IOC情报,例如相关性、及时性、准确性、可指导响应的上下文等,上下文问题除了一般会考虑到的风险等级、可信度等信息外,还需要提供相关攻击团伙和家族的攻击目的、危害、技战术等相关的内容,提供相关的远控端是否活跃,是否已经被安全厂商接管等信息,以此响应团队可以判定是否需要响应,哪个事件的优先级更高等。
IOC信息通常通过信息共享和分析中心或组织(Information Sharing and Analysis Center or Organization, ISAC/ISAO)来传播。在这些信息流中寻找可操作、实用的IOC是一个重大挑战,只有实用的IOC才能为网络防御提供实质性的好处,然而即使是实用的IOC中大部分也通常在未使用或丢失直到不再有价值时才使用,此时网络攻击者往往会迅速停止使用特定IOC。
图1 CTI“无悔”策略的应用流程
通过多项研究和试点工作,约翰·霍普金斯大学申请的应用物理实验室(Applied Physics Laboratory, APL)已成功部署威胁源,可在几分钟内收集、提取、识别可操作的IOC,并将其共享给共享组织,如ISAC或ISAO,该方法被称为基于“无悔”策略的方法。图1提供了该过程的可视化示意图。本文简要概述该方法和流程,以帮助其他组织利用这些功能满足社区的网络防御需求。
“无悔”策略方法
对网络防御采用“无悔”策略意味着什么?简而言之,这意味着使用“利益”与“遗憾”评估算法来决定是否需要自动化操作。这导致相应的组织将问题的重点转移到何时采取行动以自动执行操作,而不是是否应自动执行操作。关于基于网络威胁情报的自动响应,“无悔”与“有悔”的定义如下:
有关“无悔”策略的方法的更多详细信息可通过APL GitHub页面免费获取:
应用“无悔”策略对威胁情报进行分类
如本文所述,将“无悔”策略应用于CTI分类,围绕ISAC/ISAO概念展开。恶意网络活动,如勒索软件,通常针对工业部门内的特定行业或社区。这一部分本文详细介绍了ISAC/ISAO等共享组织如何使用开发自动化以快速识别和共享“无悔”策略IOC的方法给他们的社区。
提取可疑指标
信息共享组织从多个信息来源收到大量IOC(其他威胁源、系统警报、成员提交等)。这个过程的第一步关键是从每天收到的大量情报中提取可疑的IOC。这不仅仅是利用正则表达式(regular expression, REGEX)等指标对IOC进行相似匹配,任何信息共享组织都还应根据潜在的恶意指标所在的上下文识别流程对IOC进行匹配。这可以通过恶意签名、标签或其他工具实现共享组织内部用于识别具有与恶意网络活动有关的指纹标识。如果没有指纹标识这一步,那么要分析的数据太庞大,无法为一个不断受到网络攻击的网络主体提供需要的可操作IOC情报。
对这种提取应用“无悔”策略的核心原则是“潜在恶意指标”,许多信息共享机制未能在可采取行动的时间范围内提供数据,因为它们希望在共享数据之前无可辩驳地证明IOC是恶意的。但是做出这一决定的时间通常比网络攻击者积极使用IOC的时间还要长。因此,识别潜在恶意指标的过程必须自动化,并利用可重复的编码步骤来确定潜在恶意指标。这并不意味着忽略所有其他数据,因为这是ISAC/ISAO内部额外情报处理能力的关键功能。
删除已知的误报
签名并不完美,而且源信息中总是存在潜在的不一致。某些威胁针对流行或业务关键型网站,这意味着与恶意行为相关的某些IOC实际上可能非常“遗憾”。由于初始提取是完全自动化的,因此需要实现自动化,以过滤出潜在的恶意IOC,如果这些IOC被自动阻止,它们很可能会影响操作。这些被认为是“高度遗憾”,必须通过其他方式进行评估。在这方面,以社区为中心的共享组织(如ISAC/ISAO)的力量可以显著改善这一过程。然而,一些与互联网服务提供商有关的内容,如互联网服务提供商的IP地址等,也可以很容易地维护其重要的网络服务,即使它们对该社区的影响在全球并不广为人知。
确定“无悔”策略的指标
一旦已知的误报被消除,自动化系统将准备对IOC进行评分,以便根据组织的政策和风险承受能力的定义标准来识别哪些是极不可能影响运营的错误。这一步的关键是了解此类恶意IOC通常具有的共同属性,但授权IOC不共享这些属性。确定这些属性后,下一步是找出在何处以及如何访问有关该属性的信息,以便为IOC做出此项决定。然后可以通过自动化方法访问这些信息,再通过基于指标类型的几个快速查询来评估“无悔”分数指标。这些查询可能包括但不限于:
不符合这些检查要求的IOC不容忽视。相反,它们是威胁情报分析人员将要研究的情报库(现在要小得多)。如果分析人员确定IOC确实威胁到恶意活动,IOC可以再次通过分类流程,并贴上“分析人员审查”标签。
为网络防御源准备指示器
一旦自动化识别出满足“无悔”策略的IOC,它就可以快速转录将每个IOC转换为可共享的格式,例如结构化威胁信息表达(Structured Threat Information expression, STIX)标准。用于确定IOC为“低遗憾”的信息还应包括在IOC的机器可读数据对象中,以便接收者无需重复信息共享执行的步骤组织。
与社区分享
一旦IOC被正确格式化,自动化系统就可以共享数据通过机器速度传递机制,如可信赖的自动变速器智能信息交换(the Trusted Automated exchange of Intelligence Information , TAXI)协议或其他可接受的机器速度社区采用的转移机制。不管分享在所采用的机制中,确保接收者接收所有相关上下文是至关重要的。
结 论
“无悔”策略的使用能够提取运营成本中目前被网络防御行动忽视的许多CTI的价值。它不是一个灵丹妙药,它不会捕获从CTI的积极分析中得出的见解,但它可以提供社区成员可在其安全操作中使用的可操作数据,以破坏针对其网络的恶意活动。
简而言之,“无悔”策略即对系统面临的所有网络威胁进行针对性的特征提取,这种“无悔”之处体现在当威胁被自动处理时,无论自动处理的方法是否得当,都不会较大程度影响系统的正常业务,因此被称为“无悔”,在处理方式上,“无悔”策略的价值之处在于低影响下的自动处理,因此对实时性支持较好,有利于威胁的快速发现与响应。
参考文献
翻译修改自《APPLYING “LOW-REGRET” METHODOLOGY FOR CYBER THREAT INTELLIGENCE TRIAGE:Rapidly Sharing Actionable Intelligence for Network Defense》,作者Charles Frick(Applied Physics Laboratory,JOHNS HOPKINS UNIVERSITY)
儿童口罩品牌有哪些?哪个品牌比较好?
我们做了一些实验对海氏海诺、3M、Pitta、迪士尼、EPC 5个品牌儿童口罩进行测评:过滤性测评:3M,EPC都符合KN95的国家标准,Pitta,迪士尼,海氏海诺并没有标注符合KN95。 透气性测评:作为KN95的专业儿童口罩,基本都有呼吸阀设计,本次测试的几款口罩中,只有迪士尼和pitta没有呼吸阀设计。 舒适性测评:海氏海诺:全棉布料,轻薄感很好,也有可调鼻夹,弹性挂绳让耳朵不会觉得勒,算是一个优势,但由于棉质材料的原因,口罩在鼻部和下巴处的贴合有待提高。 特别是戴眼镜的小朋友,贴合度不好的口罩,湿气和热气会从缝隙中漏出,容易让镜片起雾。 3M:3M大概是佩戴舒适度最优秀的一款,面料为标准的A类无纺布,是本次横评中最高级的。 头戴式的设计让耳朵负担大大减轻,海绵鼻托和呼吸阀的设计,更是让面部没有压迫感,佩戴体验非常舒适。 pitta:作为网红口罩,pitta采用了聚氨酯材料,相比布类硬了一些,但可以接受。 鼻夹部分有压迫感,不能很好的贴合脸型。 佩戴起来有些“咄咄逼人”迪士尼:棉质材料,厚度适中,但相比于几款竞品,设计感稍弱。 鼻夹也不是很贴合。 EPC:EPC的长丝无纺布面料,贴面很舒适,挂耳头戴式的佩戴方式比耳带式更舒服,同样拥有可调鼻夹。 总体而言,在舒适感方面,迪士尼、海氏海诺、3M符合预期要求,但迪士尼、海氏海诺的棉质口罩贴合度都有待提高,3M的面料柔软贴合度相对体验更好。 气密性测评:3M的气密性俱佳颜值测评:EPC的设计过于平淡,缺少一些设计感。 pitta虽然好看,但是戴起来确实不舒服。 而3M的则拥有飞机、小熊、兔子等图案,更受小朋友欢迎。 综合下来看,3M儿童口罩在各方面表现都是比较优秀的。
七喜可乐和七喜电脑是同一个公司吗?
七喜电脑是广州七喜电脑股份有限公司的简称。 七喜控股股份有限公司是一家在深圳证券交易所挂牌交易的上市公司(股票简称:七喜控股,股票代码),专业研究、制造、销售计算机整机及其周边产品和数码通讯产品,是信息产业部电子百强企业、全国信息产业系统先进集体、全国民营科技创新企业、广东省百强民营企业、广东省优秀企业、广州市百强民营企业。 其前身广州七喜电脑有限公司成立于1997年8月26日,2001年3月整体变更设立广州七喜电脑股份有限公司,2005年9月正式更名为七喜控股股份有限公司,注册资本人民币万元,公司总资产近13亿元,雇佣员工近3000人,年创利税上亿元。 七喜控股从代理计算机零配件起家到大规模的从事一系列计算机产品的制造,走的是一条贸工技的发展道路。 通过代理产品,借助SONY、SAMSUNG等国际知名品牌在全国快速建立起自己的销售网络,又依托这些销售网络开始销售自产的计算机产品。 在广州的黄埔开发区,七喜控股兴建了计算机产业园,产业园占地400亩,建筑面积30万平方米。 七喜产品的研发、设计、模具、冲压、注塑、喷涂、AI、SMT、装配等制造过程全部在园区内完成,打造了一条完整的产业链。 具备计算机产品的专业制造能力使七喜控股具备了独特的核心竞争力,品牌运营+自主制造+国际分销的独特运营模式,使七喜在国内五大计算机厂商中独树一帜。 独特的运营模式不仅有效降低了计算机整机的成本,更使企业逐步具备了技术研发能力。 自1999年被认定为“高新技术企业”至今,七喜控股不断加大研发投入力度,提升企业自主创新能力。 如今,七喜已拥有近500人的专业研究队伍,成为广东省、广州市电子计算机及外围设备重点工程技术研究开发中心、广州市科学技术普及基地等,已获授权专利超过40项。 公司先后顺利通过ISO9001:2000版国际质量体系认证、ISO环境管理体系认证和OHSAS职业健康安全管理体系等一系列体系认证。 七喜控股的主要产品包括荣获了“国家免检产品”、“广东省名牌产品”等诸多荣誉称号的“HEDY”牌系列台式电脑、笔记本电脑和数码通讯产品,以及在DIY市场享有盛誉的“大水牛”牌系列计算机周边产品。 同时,七喜控股亦是索尼、三星和飞利浦等国际知名品牌的合作伙伴,全国独家代理索尼光、磁存储设备和家用系列液晶显示器、三星硬盘及飞利浦显示器。 七喜营销网络遍布全国各地,并远销至北美、欧洲、东亚、东南亚、中东、拉丁美洲、非洲等国家和地区。 七喜 百事可乐 是百事公司的雪碧 可口可乐 是可口可乐公司的不是一个公司~!
电脑安全性低怎么办
建议用《金山清理专家》具体功能是:1. 健康指数综合评分系统只需要轻松一键,即可全面诊断您的电脑健康状况,帮助你提高电脑的免疫力,轻松处理系统问题,不懂电脑也没关系哦。 2. 防网页挂马功能保护IE浏览器,避免您在上网的时候,被木马利用漏洞侵入你的电脑。 3. 启动式清除采用bootclean技术启动式清除采用bootclean技术,定点清除顽固恶意软件和木马,解决能查不能杀的难题。 4. 文件在线分析和安全检测帮助您在线分析和检测电脑中程序和文件的安全状况,方便的未知文件上报服务,快速的在线分析结果反馈,让你享受贴身的安全服务。 5. 系统修复和优化检测并下载系统漏洞补丁, 加强系统本身安全性,减少感染病毒木马的风险。 IE修复,启动项管理,历史痕迹清理,LSP修复,垃圾文件清理等实用安全功能,帮助您清理,修复和优化系统6. 查杀恶意软件i. 彻底查杀数百款恶意软件、广告软件及隐蔽软件 增强的恶意软件查杀引擎,使用“文件粉碎器”和抗Rootkits技术,彻底清除使用Rootkits技术进行保护和伪装的恶意软件;ii.检查、卸载多种IE插件、系统插件;iii.一次性清除多种恶意软件和插件的混合安装,快速恢复系统,勿须重复操作;iv.独创插件信任列表管理,避免误删除自己喜爱的有益插件7. 安全百宝箱i.文件粉碎器,彻底删除顽固恶意程序,机密文件彻底粉碎后,任何工具都不能将其恢复;修复工具,修复恶意软件导致LSP被破坏、不能上网的问题;iii.历史痕迹清理,全面清除电脑的使用痕迹,避免历史记录泄露隐私;iv.垃圾文件清理,清理电脑中因长期使用产生的垃圾文件,提高系统性能,回收浪费的磁盘空间8. 提供木马病毒查杀工具i. 优秀杀毒软件推介,提供最新的安全资讯;ii.热门专杀工具下载
发表评论