淺談網絡攻擊溯源技術之一
引 言
隨著互聯網的不斷發展,越來越多的企業把信息存儲到與互聯網連接的設備上。一些不法分子企圖利用網絡漏洞竊取企業的重要信息和機密文件,攻擊者通過向目標主機發送特定的攻擊數據包執行惡意行為。如何追蹤這些攻擊數據的來源,定位背后的攻擊者,成為了業內人員重點關注的問題。
網絡攻擊溯源技術通過綜合利用各種手段主動地追蹤網絡攻擊發起者、定位攻擊源,結合網絡取證和威脅情報,有針對性地減緩或反制網絡攻擊,爭取在造成破壞之前消除隱患,在網絡安全領域具有非常重要的現實意義。
本文將分為上、下篇為讀者深度解讀,本周主要介紹網絡攻擊溯源技術背景及攻擊溯源過程。
背景介紹
近年來,網絡攻擊的攻擊者和防御者進行著類似于“貓捉老鼠”的動態游戲,攻擊者不斷地尋找新的受害者、攻擊載體和漏洞,防御者必須不斷地研發安全技術以抵御攻擊者。微軟公司的研究表明[1],攻擊者暴露前在目標組織中潛伏的平均時間長達146天,在這段時間內,駐留在網絡上的攻擊者可以秘密地竊取和泄露機密信息,或者對完整性資源進行破壞,圖1展示了攻擊者實施攻擊的殺傷鏈模型[2]。為了先發制人,網絡防御者需要在殺傷鏈的早期階段阻止攻擊者前進。目前信息安全行業已經建立了集研究、分析和響應高級持續威脅[3](Advanced Persistent Threats,APTs)于一體的方法論。
攻擊溯源技術,國外又被稱為“Threat Hunting”,是為了應對外部APT攻擊者和內部利益驅動的員工威脅而提出的一種解決方案。威脅狩獵[4]技術不被動地等待與響應,而是通過持續性監測技術,更早、更快地檢測和發現威脅,并追蹤威脅的源頭。威脅狩獵技術強調用攻擊者的視角來檢測攻擊,減少攻擊者駐留時間,從而顯著地改善組織的安全狀況。放眼世界,包括FireEye等為代表的廠商以及越來越多的大型組織也開始進行威脅狩獵。
圖1 殺傷鏈模型
攻擊溯源過程
為了提高攻擊溯源效率,建立完整的攻擊溯源過程非常重要。Sqrrl[5]安全公司開發了一個威脅狩獵典型模式,如圖2所示共包含產生假設、數據調查、識別溯源和自動化分析四個迭代循環的步驟。迭代的效率越高,越能自動化新流程,盡早發現新的威脅。
圖2 威脅狩獵典型模式
1. 產生假設
攻擊溯源從某種活動假設開始,高層次上可以通過風險算法自動生成假設。例如,風險評估算法可以得到基于APT生命周期[6]的行為分析(如建立立足點、升級特權、橫向移動行為等),并將其量化為風險評分,為溯源分析提供開端。圖3展示了安全公司Mandiant提出的APT攻擊生命周期模型。
圖3 APT生命周期
2. 通過工具和技術進行數據調查
當前的追蹤溯源技術主要分為兩種:被動[7]和主動[8][9]技術。被動性技術包括針對潛在惡意行為警報進行取證調查和攻擊假設測試。主動溯源追蹤技術依靠網絡威脅情報[10][11](Cyber Threat Intelligence, CTI)產生攻擊假設,主動搜索潛在的惡意行為。在這兩種情況下都可以使用安全信息及事件管理(security information and event management, SIEM)中存儲的數據進行調查,幫助安全分析師更好地調整假設用來發現正在進行的APT攻擊。
不論采用哪種方式,都需要通過各種各樣的工具和技術研究假設。有效的工具將利用關聯分析技術如可視化、統計分析或機器學習等融合不同的網絡安全數據。
3. 識別溯源
識別溯源的過程也是新的模式和TTP(Tactics, Techniques, and Procedures)發現的過程。工具和技術揭示了新的惡意行為模式和對手的TTP,這是溯源周期的關鍵部分。MITRE開發了如圖4所示的ATT&CK框架[12],ATT&CK是一個基于現實世界的觀察攻擊者戰術和技術的全球可訪問的知識庫,包含11種戰術,每一種又包含數十種技術,將攻擊者行為轉化為結構化列表進行表示。
圖4 ATT&CK框架
4. 自動化分析
SANS[13]認為自動化是發現威脅的關鍵。傳統上溯源分析是一個手動過程,安全分析師運用相關知識對各種來源的數據驗證假設。為了更加高效地進行攻擊溯源分析,可以部分自動化或由機器輔助。在這種情況下,分析師利用相關分析軟件得知潛在風險,再對這些潛在風險分析調查,跟蹤網絡中的可疑行為。因此攻擊溯源是一個反復的過程,從假設開始以循環的形式連續進行。
參考文獻
[1]Microsoft. Azure Advanced Threat Protection[OL]. https://www.microsoft.com/en-us/microsoft-365/identity/advance-threat-protection
[2]Killheed Martin. The Cyber Kill Chain[OL]. https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html
[3]U.S. National Institute of Standards and Technology (NIST)[OL]. https://csrc.nist.gov/topics/security-and-privacy/risk-management/threats/advanced-persistent-threat
[4]RSA. Hypothesis in Threat Hunting[OL]. https://www.rsa.com/en-us/blog/2017-07/hypothesis-in-threat-hunting
[5]H. Rasheed, A. Hadi, and M. Khader. Threat hunting using grr rapid response[C]//New Trends in Computing Sciences (ICTCS), 2017: 155–160.
[6]Mandiant, Cyber Attack Lifecycle[OL]. https://www.iacpcybercenter.org/resource-center/what-is-cyber-crime/cyber-attack-lifecycle/
[7]Thomas B, Scott D, Brott F, et al. Dynamic adaptive defense for cyber-security threats[P]. U.S. Patent 10,129,290.S.
[8]I. Sqrrl Data. (2016) A framework for cyber threat hunting[OL]. https://sqrrl.com/media/Framework-for-Threat-Hunting-Whitepaper.pdf,https://www.threathunting.net/files/framework-for-threat-hunting-whitepaper.pdf
[9]I. Tyler Technologies. (2018) A guide to cyber threat hunting[OL]. https://www.tylertech.com/services/ndiscovery/nDiscovery-Threat-Hunting.pdf
[10]H. Rasheed, A. Hadi, and M. Khader. Threat hunting using grr rapid response[C]//New Trends in Computing Sciences (ICTCS), 2017: 155–160.
[11]S. Samtani, R. Chinn, H. Chen, et al. Exploring emerging hacker assets and key hackers for proactive cyber threat intelligence[J]. Journal of Management Information Systems. 2017,4(34):1023-1053.
[12]Miter. ATT&CK Matrix for Enterprise[OL]. https://attack.mitre.org/
[13]Lee, Robert M, and Rob T. Lee. SANS 2018 threat hunting survey results. SANS Institute Reading Room, 2018.
【本文為51CTO專欄作者“中國保密協會科學技術分會”原創稿件,轉載請聯系原作者】
