SEO外包平台,我们为您提供专业的企业网站SEO整站优化外包服务 SEO设置

SEO外包平台

专注于企业网站SEO整站优化外包服务

*** 次数:51505 已用完,请联系开发者*** [小议seo数据分析]小议安全分析

作者:jcmp      发布时间:2021-05-02      浏览量:0
0x00 前言到写年终总结的时候,总有

0x00 前言

到写年终总结的时候,总有一种忙了一年,却想不起来忙了啥的感觉。算算,从事安全分析已经一年多;漏洞挖掘,漏洞分析到后面的事件追踪都接触过,对安全分析也有了一些浅显的了解。

写一下对安全分析的想法,也算对工作的总结吧。这篇博客有以下两部分:

内容完全是站在个人安全研究的角度,对企业安全建设帮助不大,不喜勿喷。

0x01 何为安全分析

安全分析说白了就是对安全事件的响应;通过一些方法收集信息,经过对信息的处理,产出情报的过程。所以安全分析是以情报为导向,不管是漏洞预警,恶意软件分析、还是攻击事件追踪,都是要产出有助于安全建设决策的情报。因此安全分析有三个核心阶段:

安全分析最后的结果是要到导出情报,情报是有时效的。安全分析做的如何,取决于收集到信息的广度和及时性,以及对信息处理的能力。

0x02 安全分析生命周期

安全分析是对安全事件追踪,分析的活动。往往以确定方向和收集信息为起始,以情报导出,进行传播为终点。

方向

在安全分析的初期,我们必须要确定分析攻击事件的类型;相关攻击事件的消息可以从哪些途径进行收集;分析这些事件需要使用哪些辅助资源.......一般来说,分析不同的事件,方向是不同的;虽然在信息收集、评估、核对上有重叠的部分,但是具体的分析方法,拓展思路以及传播途径会存在差异。

收集

信息收集处于安全分析的早期阶段,其质量要对后面流程影响很大。所以,在信息收集时必须注意以下几点:

所以,信息收集归根结底是一个探索信息获取途径,结构化信息收集数据的问题。

安全分析人员,要基于全源分析,而不是仅局限于易于获取的信息。只有封闭和机密的数据,才包含有效且高度相关的情报,开源数据只是提供额外的可信度,或者触发收集封闭和机密的信息。

不管什么方式,出发点都是获取到想要的信息,目标都是导出决策需要的高质量情报。从成本上看,开源数据收集成本要远远低于部署私密的资产;开源数据获取难度低,但是处理量极大,所以更合理的信息获取结构是,三者互补进行。

研判

通过前五个方面,来研判该信息的可靠性、有效性、准确性。第六条,是为了下面的阶段做准备。

分析

分析阶段是安全分析最重要的环节。不同的安全事件有不同的分析方法,需要不同的技能、资源。

分析是通过现有信息进行深入研究,寻找其中的特征,发展的规律,导致的原因,产出能够帮助决策的情报的过程。

各种安全事件都有不同的分析方法,在此不多谈。

拓展

之前提到,安全事件种类很多,分析策略有差异,同时,分析周期也不同。

周期比较短的,如漏洞分析。在对漏洞详细分析,得到漏洞成因,利用方法,确定影响面后,就可以进入归档和传播环节。往往不需要深入拓展。

周期比较长的,例如 APT 分析、勒索、僵尸网络等。这类安全事件有一个共同的特点:时间复杂度高,多个事件构成,行为分析难度大。

针对这些特点,这种类型的攻击活动往往不能通过单个攻击事件来描述整体的攻击活动。所以需要拓展阶段,对一些安全事件进行长期的跟踪,分析。

典型的就是APT分析。APT时间复杂度高,多个行为,多个指纹身份,有rat有malware,单个攻击事件所携带的信息有限,不能产出有效的TTP,只有经过拓展分析,才能总结出有利于决策的情报。

恶意软件,僵尸网络同理。

整理

整理是将收集的信息,产出的情报进行结构化,存储到计算机系统里面,支持快速访问,查询,引用(甚至交叉引用)。需要明确,这个过程不是简单进行归档,归档的目的是长事件存放有组织的数据集,而在我们安全分析中,网络攻击的方法、特征是在变化的,产出的情报会根据对抗的变化而变化。

我们投入事件,进行分析,产出情报进行整理存储,在之后的某个时间发现再次活跃的同源攻击事件,根据变化来修正产出的情报,形成,“投入--分析--产出--修正”这种分析模式。

情报的循环利用,交叉引用对减少分析时间,提高情报质量十分重要。 所以整理阶段不可或缺。

再强调下,攻击导致安全事件,并且攻击是在不断变化的。安全分析是一个对抗、变化的动态过程。

传播

可以发现,自始至终都在围绕“情报”进行论述。情报是用来支持决策的,那么情报不进行传播,那我们安全分析将毫无意义。

如何传播?

回答这个问题前需要根据安全人员的定位。

0x03 后记

个人观点:非可信源获取的信息,都不能称之为情报。若要产出有用的安全情报,需要走完一个完整的分析周期,根据平时的工作经验,将安全分析分为七个阶段:

七个阶段会根据安全事件的不同稍微进行调整。但是生命周期都是一样的。做安全分析,必须要有一个落脚点,或者称之为IOC,信息收集约等于IOC收集.思科之前开源的IoC收集平台 Gosint 很好的解决了前面三个步骤,可以去了解下。

暂时先写这么多,安全分析是一个很大的概念,并且甲方和乙方的安全人员,分析的着眼点完全不同,在此仅仅是以个人安全研究的立场来看安全分析。

PS: