二代身份证识别系统引⾔
随着互联⽹的不断发展,越来越多的企业把信息存储到与互联⽹连接的设备上。⼀些不法分⼦企图利⽤⽹络漏洞窃取企业的重要信息和机密⽂件,攻击者通过向⽬标主机发送特定的攻击数据包执⾏恶意⾏为。如何追踪这些攻击数据的来源,定位背后的攻击者,成为了业内⼈员重点关注的问题。 ⽹络攻击溯源技术通过综合利⽤各种⼿段主动地追踪⽹络攻击发起者、定位攻击源,结合⽹络取证和威胁情报,有针对性地减缓或反制⽹络攻击,争取在造成破坏之前消除隐患,在⽹络安全领域具有⾮常重要的现实意义。 本⽂将分为上、下篇为读者深度解读,本周主要介绍⽹络攻击溯源技术背景及攻击溯源过程。
背景介绍
近年来,⽹络攻击的攻击者和防御者进⾏着类似于“猫捉⽼⿏”的动态游戏,攻击者不断地寻新的受害者、攻击载体和漏洞,防御者必须不断地研发安全技术以抵御攻击者。微软公司的研究表明[1] ,攻击者暴露前在⽬标组织中潜伏的平均时间长达146天,在这段时间内,驻留在⽹络上的攻击者可以秘密地窃取和泄露机密信息,或者对完整性资源进⾏破坏,图1展⽰了攻击者实施攻击的杀伤链模型[2] 。为了先
发制⼈,⽹络防御者需要在杀伤链的早期阶段阻⽌攻击者前进。⽬前信息安全⾏业已经建⽴了集研究、分析和响应⾼级持续威胁[3] (Advanced Persistent Threats,APTs)于⼀体的⽅法论。
攻击溯源技术,国外⼜被称为“Threat Hunting”,是为了应对外部APT攻击者和内部利益驱动的员⼯威胁⽽提出的⼀种解决⽅案。威胁狩猎 [4] 技术不被动地等待与响应,⽽是通过持续性监测技术,更早、更快地检测和发现威胁,并追踪威胁的源头。威胁狩猎技术强调⽤攻击者的视⾓来检测攻击,减少攻击者驻留时间,从⽽显著地改善组织的安全状况。放眼世界,包括FireEye等为代表的⼚商以及越来越多的⼤型组织也开始进⾏威胁狩猎。
图1 杀伤链模型
攻击溯源过程
双人雨披
图2 威胁狩猎典型模式
1. 产⽣假设
攻击溯源从某种活动假设开始,⾼层次上可以通过风险算法⾃动⽣成假设。例如,风险评估算法可以得到基于APT⽣命周期 [6] 的⾏为分析(如建⽴⽴⾜点、升级特权、横向移动⾏为等),并将其量化为风险评分,为溯源分析提供开端。图3展⽰了安全公司Mandiant提出的APT攻击⽣命周期模型。
识别腕带
图3 APT⽣命周期
2. 通过⼯具和技术进⾏数据调查
当前的追踪溯源技术主要分为两种:被动 [7] 和主动 [8] [9] 技术。被动性技术包括针对潜在恶意⾏为警报进⾏取证调查和攻击假设测试。主动溯源追踪技术依靠⽹络威胁情报 [10] [11] (Cyber Threat Intelligence, CTI)产⽣攻击假设,主动搜索潜在的恶意⾏为。在这两种情况下都可以使⽤安全信息及事件管理(security information and event management, SIEM)中存储的数据进⾏调查,帮助安全分析师更好地调整假设⽤来发现正在进⾏的APT攻击。
护坡钢丝网
不论采⽤哪种⽅式,都需要通过各种各样的⼯具和技术研究假设。有效的⼯具将利⽤关联分析技术如可视化、统计分析或机器学习等融合不同的⽹络安全数据。
图4 ATT&CK框架
模具特氟龙图4 ATT&CK框架
4. ⾃动化分析
SANS [13] 认为⾃动化是发现威胁的关键。传统上溯源分析是⼀个⼿动过程,安全分析师运⽤相关知
卷圆机识对各种来源的数据验证假设。为了更加⾼效地进⾏攻击溯源分析,可以部分⾃动化或由机器辅助。在这种情况下,分析师利⽤相关分析软件得知潜在风险,再对这些潜在风险分析调查,跟踪⽹络中的可疑⾏为。因此攻击溯源是⼀个反复的过程,从假设开始以循环的形式连续进⾏。
参考⽂献
[5]H. Rasheed, A. Hadi, and M. Khader. Threat hunting using grr rapid response[C]//New Trends in Computing Sciences (ICTCS), 2017: 155–160.
[7]Thomas B, Scott D, Brott F, et al. Dynamic adaptive defense for cyber-security threats[P]. U.S. Patent 10,129,290.S.
[10]H. Rasheed, A. Hadi, and M. Khader. Threat hunting using grr rapid response[C]//New Trends in Computing Sciences (ICTCS), 2017: 155–160.
[11]S. Samtani, R. Chinn, H. Chen, et al. Exploring emerging hacker assets and key hackers for proactive cyber threat intelligence[J]. Journal of Management Information Systems. 2017,4(34):1023-1053.
[13]Lee, Robert M, and Rob T. Lee. SANS 2018 threat hunting survey results. SANS Institute Readin
g Room, 2018.作者:马秀吕遒健
责编:眼界
