[[346484]]

 引 言

隨著互聯(lián)網(wǎng)的不斷發(fā)展，越來越多的企業(yè)把信息存儲(chǔ)到與互聯(lián)網(wǎng)連接的設(shè)備上。一些不法分子企圖利用網(wǎng)絡(luò)漏洞竊取企業(yè)的重要信息和機(jī)密文件，攻擊者通過向目標(biāo)主機(jī)發(fā)送特定的攻擊數(shù)據(jù)包執(zhí)行惡意行為。如何追蹤這些攻擊數(shù)據(jù)的來源，定位背后的攻擊者，成為了業(yè)內(nèi)人員重點(diǎn)關(guān)注的問題。

網(wǎng)絡(luò)攻擊溯源技術(shù)通過綜合利用各種手段主動(dòng)地追蹤網(wǎng)絡(luò)攻擊發(fā)起者、定位攻擊源，結(jié)合網(wǎng)絡(luò)取證和威脅情報(bào)，有針對(duì)性地減緩或反制網(wǎng)絡(luò)攻擊，爭(zhēng)取在造成破壞之前消除隱患，在網(wǎng)絡(luò)安全領(lǐng)域具有非常重要的現(xiàn)實(shí)意義。

本文將分為上、下篇為讀者深度解讀，本周主要介紹網(wǎng)絡(luò)攻擊溯源技術(shù)背景及攻擊溯源過程。

背景介紹

近年來，網(wǎng)絡(luò)攻擊的攻擊者和防御者進(jìn)行著類似于“貓捉老鼠”的動(dòng)態(tài)游戲，攻擊者不斷地尋找新的受害者、攻擊載體和漏洞，防御者必須不斷地研發(fā)安全技術(shù)以抵御攻擊者。微軟公司的研究表明[1]，攻擊者暴露前在目標(biāo)組織中潛伏的平均時(shí)間長(zhǎng)達(dá)146天，在這段時(shí)間內(nèi)，駐留在網(wǎng)絡(luò)上的攻擊者可以秘密地竊取和泄露機(jī)密信息，或者對(duì)完整性資源進(jìn)行破壞，圖1展示了攻擊者實(shí)施攻擊的殺傷鏈模型[2]。為了先發(fā)制人，網(wǎng)絡(luò)防御者需要在殺傷鏈的早期階段阻止攻擊者前進(jìn)。目前信息安全行業(yè)已經(jīng)建立了集研究、分析和響應(yīng)高級(jí)持續(xù)威脅[3](Advanced Persistent Threats，APTs)于一體的方法論。

攻擊溯源技術(shù)，國外又被稱為“Threat Hunting”，是為了應(yīng)對(duì)外部APT攻擊者和內(nèi)部利益驅(qū)動(dòng)的員工威脅而提出的一種解決方案。威脅狩獵[4]技術(shù)不被動(dòng)地等待與響應(yīng)，而是通過持續(xù)性監(jiān)測(cè)技術(shù)，更早、更快地檢測(cè)和發(fā)現(xiàn)威脅，并追蹤威脅的源頭。威脅狩獵技術(shù)強(qiáng)調(diào)用攻擊者的視角來檢測(cè)攻擊，減少攻擊者駐留時(shí)間，從而顯著地改善組織的安全狀況。放眼世界，包括FireEye等為代表的廠商以及越來越多的大型組織也開始進(jìn)行威脅狩獵。

圖1 殺傷鏈模型

攻擊溯源過程

為了提高攻擊溯源效率，建立完整的攻擊溯源過程非常重要。Sqrrl[5]安全公司開發(fā)了一個(gè)威脅狩獵典型模式，如圖2所示共包含產(chǎn)生假設(shè)、數(shù)據(jù)調(diào)查、識(shí)別溯源和自動(dòng)化分析四個(gè)迭代循環(huán)的步驟。迭代的效率越高，越能自動(dòng)化新流程，盡早發(fā)現(xiàn)新的威脅。

圖2 威脅狩獵典型模式

1. 產(chǎn)生假設(shè)

攻擊溯源從某種活動(dòng)假設(shè)開始，高層次上可以通過風(fēng)險(xiǎn)算法自動(dòng)生成假設(shè)。例如，風(fēng)險(xiǎn)評(píng)估算法可以得到基于APT生命周期[6]的行為分析(如建立立足點(diǎn)、升級(jí)特權(quán)、橫向移動(dòng)行為等)，并將其量化為風(fēng)險(xiǎn)評(píng)分，為溯源分析提供開端。圖3展示了安全公司Mandiant提出的APT攻擊生命周期模型。

圖3 APT生命周期

2. 通過工具和技術(shù)進(jìn)行數(shù)據(jù)調(diào)查

當(dāng)前的追蹤溯源技術(shù)主要分為兩種：被動(dòng)[7]和主動(dòng)[8][9]技術(shù)。被動(dòng)性技術(shù)包括針對(duì)潛在惡意行為警報(bào)進(jìn)行取證調(diào)查和攻擊假設(shè)測(cè)試。主動(dòng)溯源追蹤技術(shù)依靠網(wǎng)絡(luò)威脅情報(bào)[10][11](Cyber Threat Intelligence, CTI)產(chǎn)生攻擊假設(shè)，主動(dòng)搜索潛在的惡意行為。在這兩種情況下都可以使用安全信息及事件管理(security information and event management, SIEM)中存儲(chǔ)的數(shù)據(jù)進(jìn)行調(diào)查，幫助安全分析師更好地調(diào)整假設(shè)用來發(fā)現(xiàn)正在進(jìn)行的APT攻擊。

不論采用哪種方式，都需要通過各種各樣的工具和技術(shù)研究假設(shè)。有效的工具將利用關(guān)聯(lián)分析技術(shù)如可視化、統(tǒng)計(jì)分析或機(jī)器學(xué)習(xí)等融合不同的網(wǎng)絡(luò)安全數(shù)據(jù)。

3. 識(shí)別溯源

識(shí)別溯源的過程也是新的模式和TTP(Tactics, Techniques, and Procedures)發(fā)現(xiàn)的過程。工具和技術(shù)揭示了新的惡意行為模式和對(duì)手的TTP，這是溯源周期的關(guān)鍵部分。MITRE開發(fā)了如圖4所示的ATT&CK框架[12]，ATT&CK是一個(gè)基于現(xiàn)實(shí)世界的觀察攻擊者戰(zhàn)術(shù)和技術(shù)的全球可訪問的知識(shí)庫，包含11種戰(zhàn)術(shù)，每一種又包含數(shù)十種技術(shù)，將攻擊者行為轉(zhuǎn)化為結(jié)構(gòu)化列表進(jìn)行表示。

圖4 ATT&CK框架

4. 自動(dòng)化分析

SANS[13]認(rèn)為自動(dòng)化是發(fā)現(xiàn)威脅的關(guān)鍵。傳統(tǒng)上溯源分析是一個(gè)手動(dòng)過程，安全分析師運(yùn)用相關(guān)知識(shí)對(duì)各種來源的數(shù)據(jù)驗(yàn)證假設(shè)。為了更加高效地進(jìn)行攻擊溯源分析，可以部分自動(dòng)化或由機(jī)器輔助。在這種情況下，分析師利用相關(guān)分析軟件得知潛在風(fēng)險(xiǎn)，再對(duì)這些潛在風(fēng)險(xiǎn)分析調(diào)查，跟蹤網(wǎng)絡(luò)中的可疑行為。因此攻擊溯源是一個(gè)反復(fù)的過程，從假設(shè)開始以循環(huán)的形式連續(xù)進(jìn)行。

參考文獻(xiàn)

[1]Microsoft. Azure Advanced Threat Protection[OL]. https://www.microsoft.com/en-us/microsoft-365/identity/advance-threat-protection

[2]Killheed Martin. The Cyber Kill Chain[OL]. https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html

[3]U.S. National Institute of Standards and Technology (NIST)[OL]. https://csrc.nist.gov/topics/security-and-privacy/risk-management/threats/advanced-persistent-threat

[4]RSA. Hypothesis in Threat Hunting[OL]. https://www.rsa.com/en-us/blog/2017-07/hypothesis-in-threat-hunting

[5]H. Rasheed, A. Hadi, and M. Khader. Threat hunting using grr rapid response[C]//New Trends in Computing Sciences (ICTCS), 2017: 155–160.

[6]Mandiant, Cyber Attack Lifecycle[OL]. https://www.iacpcybercenter.org/resource-center/what-is-cyber-crime/cyber-attack-lifecycle/

[7]Thomas B, Scott D, Brott F, et al. Dynamic adaptive defense for cyber-security threats[P]. U.S. Patent 10,129,290.S.

[8]I. Sqrrl Data. (2016) A framework for cyber threat hunting[OL]. https://sqrrl.com/media/Framework-for-Threat-Hunting-Whitepaper.pdf,https://www.threathunting.net/files/framework-for-threat-hunting-whitepaper.pdf

[9]I. Tyler Technologies. (2018) A guide to cyber threat hunting[OL]. https://www.tylertech.com/services/ndiscovery/nDiscovery-Threat-Hunting.pdf

[10]H. Rasheed, A. Hadi, and M. Khader. Threat hunting using grr rapid response[C]//New Trends in Computing Sciences (ICTCS), 2017: 155–160.

[11]S. Samtani, R. Chinn, H. Chen, et al. Exploring emerging hacker assets and key hackers for proactive cyber threat intelligence[J]. Journal of Management Information Systems. 2017,4(34):1023-1053.

[12]Miter. ATT&CK Matrix for Enterprise[OL]. https://attack.mitre.org/

[13]Lee, Robert M, and Rob T. Lee. SANS 2018 threat hunting survey results. SANS Institute Reading Room, 2018.

【本文為51CTO專欄作者“中國保密協(xié)會(huì)科學(xué)技術(shù)分會(huì)”原創(chuàng)稿件，轉(zhuǎn)載請(qǐng)聯(lián)系原作者】

戳這里，看該作者更多好文