John是一位五人SOC團隊中的二級威脅分析師。他所在的SOC團隊位於隸屬於公部門組織,他們每天使用RiskIQ PassiveTotal調查入侵指標(Indicators of Compromise,IOC),並幫助他們在資安事件回報時大幅降低誤報率。
PassiveTotal中擁有大量RiskIQ所收集的資料,並建立各式獨特的資料集,利用這些高度關聯資料能有效幫助調查的進行,勾勒出新的連結、對類似的攻擊活動做分群、並佐證對IOC的假設。
過去John的團隊本來沒有使用PassiveTotal。早期他們混合各式不同的工具來解決問題,因此在作業上需要花時間去手動整合、且整個工作流程是被切割的。以下John展示在未使用PassiveTotal前,一個標準的資安事件回報的工作範例,以Lazarus Group攻擊波蘭銀行業事件中的IP作為案例,這是透過IDS(入侵偵測系統)標識出的IP: 109.164.247.169。
1. John會先開啟網域工具對該IP的WHOIS做查找,獲得諸多WHOIS相關訊息,包含IP解析出的HOST、WHOIS紀錄、註冊人及其email…等。
2. 同時他會開啟另一個分頁,開啟Mnemonic對此IP的被動DNS紀錄做查找,這幫助他了解有哪些Domain可以解析出此可疑IP。
3. 為了瞭解此IP上是否有任何來自公開來源情報(OSINT)的資訊,他會開啟多個分頁從多方做查找,來源像是Phishtank、FireEye blog、Facebook、threat exchange等。
4. 接下來,他會再開啟下一個分頁,用VirusTotal對剛剛從Mnemonic找到的domain做hash值比對。
透過上述步驟,John可以掌握相當程度關於此IP的訊息-WHOIS資訊、被動DNS紀錄、OSINT、Hash。在對上述各類別訊息做調查時,若有任何可疑的事情被察覺,他會花更多在時間對該來源做更深入的研究。這樣的調查流程,每個訊息來源至少要花他10到15分鐘的時間,而往往需要進行到多次交叉比對。
現在我們來看看,John及他的團隊導入RiskIQ PassiveTotal後,同樣的調查是如何進行的。
透過IDS標識出的IP 109.164.247.169。
1. John將IP直接輸入進RiskIQ PassiveTotal平台進行查找,馬上他就可以看到WHOIS和被動DNS資料被呈現在視覺化的熱圖上(heatmap)。
2. 基於熱圖上不同時期的變化,John可以針對並縮限調查範圍。所有歷來解析的IP/Domain都在Resolutions分頁被列表呈現,讓John可以在一個畫面就快速瀏覽所有的歷史紀錄。
3. John直接點擊‘resolutions’分頁上解析出的結果,第一筆‘sap.misapor.ch’,即會自動執行對該Domain的查詢如下圖。
RiskIQ PassiveTotal的介面提供豐富的關聯資訊,像是OSINT、RiskIQ獨家的黑名單、Malware…等,這讓John於單一平台即可建構完整且全面的調查研究,收集資訊並整理的過程變得順暢,最終,僅需數分鐘即可完成整個調查流程。
使用RiskIQ PassiveTotal進行調查花費的時間被節省了不只一半。效果顯著的原因,便是PassiveTotal結合了各種不同的的資料來源,整合於單一平台甚至畫面,幫助像是John的威脅分析師不再需要四處瀏覽或訂閱多種資訊來源。