从IOC的一些真相谈对其的评价标准.docxVIP

从IOC的一些真相谈对其的评价标准 IOC作为威胁情报最基础也是最直接体现效果的类型，我们有必要理清一下其核心特性和现实状况，同时也谈一下对其的评价标准。 IOC与IDS检测的核心区别在于所覆盖的攻击阶段不同，IOC覆盖洛马模型的后三个阶段：安装植入(Installation)、命令控制(C&C)、达成目标(Actions on Objectives)，在检测防御链上可以与传统IDS检测形成一定的互补。 IOC主要在以下两方面发挥作用：一是定位已经失陷的对象。把IOC部署到检测设备上，将收集到的事件与设备上的IOC进行匹配，产生相应告警引发分析处置；二是对告警进行分类分级，提供IOC相关的多维度信息使用户可以对命中IOC而产生的告警进行分级，指导处置的优先级。 对于IOC数据质量的高低，需要从及时性、准确性、全面性、完整性等四个方面进行评价比较： 及时性：当新的威胁出现时，是否可以第一时间识别并提取相应的IOC。 准确性：对于IOC准确度的判断需要非常强的安全专业能力。 全面性：有效IOC的数量及覆盖威胁类型量。 完整性：用户可以根据自己的运营标准基于上述信息进行人工或自动化地安排处置排序。 IOC作为威胁情报最基础也是最直接体现效果的类型，我们有必要理清一下其核心特性和现实状况，同时也谈一下对其的评价标准。 一、什么是及为什么需要IOC 说起IOC，需要简单说下作为对比的IDS，通过对比分析来介绍IOC的特性能更让人有印象些。IDS经常被人吐槽告警泛滥且误报多，但其最大的问题并不在于检测的准确性，事实上很大部分针对明文协议的IDS规则可以做到接近100%的准确率，要得清净只需把那些有可能误报的规则禁用即可。 可IDS还是有其问题，传统IDS检测点集中在洛马的杀伤链模型七个核心环节中第三个攻击利用（Exploitation）阶段，所以即便它产出的告警都是准确无误的，目击的活动也以攻击企图为主，攻击本身就不一定成功，而且强大的IPS甚至还可以阻断已知的攻击方式。发现攻击企图主要价值在于识别攻击者，而通常没有行政资源的防御方对攻击者本身做不了什么，技术上的后续对抗也仅限于切断攻击来源而已。 现在IDS/IPS这种检测机制或设备很大程度上被认为是失败的，还在于它在攻击发现和阻断这个点上所覆盖的攻击面太小场景太少，仅涉及了ATT&CK框架里的少数技术点，以致于就算在攻击利用这个单点上也根本无法形成全面有效的对抗，比如处理包裹在加密流量和复杂结构文件里的恶意Payload限于性能就没有好的解决方案。 于是，IOC这种东西应运而生，Indicator Of Compromise ，失陷标示。它与IDS检测的核心区别在于所覆盖的攻击阶段，其覆盖洛马模型的后三个阶段：安装植入（Installation）、命令控制（C&C）、达成目标（Actions on Objectives），在检测防御链上可以与传统IDS检测形成一定的互补。更体现重要性的是IOC标示攻击已经得逞所导致的现实威胁，当发现有机器在尝试连接已知C&C IP/域名或机器上出现了Stage 2/3/4的恶意代码，那么不管什么来路，攻击已经突破早些环节的防御取得了阶段性的成功，理论上应该触发最高优先级的应急响应，就是如此地简单粗暴且有效。 这里有必要再贴一下我提出的威胁情报金字塔，塔的下面两层包括的就是通常的IOC： 覆盖上述后三个阶段的IDS规则，比如木马C&C通信流量的检测规则也可以算广义上的IOC，IDS本质上作为一个专家系统依赖知识的输入，这些知识可以是规则也可以是标定过的实体对象。所以，IDS同时也可以简单地被改造为威胁情报消费设备，因为它能观测到网络中的IP连接、DNS请求、URL访问，甚至不顾及性能的话还能还原流量中的文件，接下来只要做匹配就行了。与检测攻击企图不同，对攻击得逞的检测本质识别的是受影响的资产，作为防御方应急响应需要做的事情就多得多。 下表是对IDS规则及IOC总结的一个简单对比： 通过对比澄清了IOC的概念和特点，那用它来能做什么就非常清楚了，无外乎以下两方面： 1、定位已经失陷的对象 把IOC部署到能支持情报消费的检测设备上，收集网络发生的事件，这些事件可以包括DNS访问、网络连接、URL访问、文件交换等等，与设备上的IOC进行实时或离线的匹配，产生对应的告警触发分析处置操作。其实IOC由于其使用的简便性而能很快落地到大量现有的检测类设备也是其核心优势之一，不要说专用的威胁情报消费系统，传统的设备比如防火墙、IDS、SOC/SIEM等经过简单的功能升级就能快速地消费情报数据从而增强自身的检测能力。 2、对告警进行分类分级 基于IOC的匹配定位到了失陷的系统以后，防御方需要执行响应，大多数用户方分析人员的处理能力远不足以做到告警的日清，这就必然涉及到处置