2同行回答
一般而言企业可以同时在外部防御和内部防控两大维度开展威胁用例建设。
内部威胁用例一般而言参考行内的规范制度、操作规程等,凡事违反的即为威胁,这样可以不断完善内部的技术和风险控制措施,也可以不断优化流程,优化制度。比如,自动发现并报警绕过堡垒机行为(单纯这一块如果做出来,其实前期需要很多技术和日志的积累的)。
外部威胁用例一般结合安全设备事件日志、服务端安全日志进行综合分析,常发现的比如外部扫描攻击行为、攻击探测行为等等,这块如果负责建设、运维的企业人员之前做过攻防会比较容易出用例,如果没做过的话就以外部渗透测试为契机,进行日志全量梳理,匹配规则,迭代2到3轮,基本的用例就已经出来了。
设计威胁用例主要考虑:1. 企业面临的主要威胁是什么。 2. 现有的并接入SIEM系统的日志能帮助发现哪些威胁。3. 通过主体,对象,地点,时间,动作等多个方面定义出违例的场景。
设计完威胁用例后,需要考虑如何在规则引擎中实现。这需要对规则语法很熟悉。之后需要测试所设规则是否能按预期运行。这部分会很费人力。我在实际过程中,采用了模拟日志产生的办法来做快速检测。如果检测通过,基本可以让规则上线运行。往往在实际运行中,也会有意想不到的情况产生,比如原先设定的规则是想检测是否有IP尝试撞库的情况,根据实际告警发现,存在某地员工在某地开会,利用同一终端登录各自账号的情况。和业务确定后发现是正常并常见的现象。为了优化规则,可能就需要加入判断这些账号是否属于同部门,同职能,是否处在正常工作时间段等多个因素来尽量减少误报。
大体上各个企业所面临的信息安全威胁都差不多,主要包括恶意软件,外部入侵者,内部安全违例等。不同企业中,这些威胁的重要性可能会有不同,可以接入更多和该威胁相关的安全设备甚至非安全设备的日志,并针对性得对某类威胁设计更多更细致的威胁用例。对于内部安全违例,如果有原本就有细致的安全规范,就能轻易得根据规范设计出威胁用力发现违例。如果安全规范比较模糊,在逐渐完善制度建设的同时,建议抓大放小,定义出威胁用例后,收集一段时间的违例情况,从中找出最严重的某个人或者事作为告警。