简介随着互联网的不断发展,越来越多的企业将信息存储在连接到互联网的设备上。一些不法分子企图利用网络漏洞窃取企业的重要信息和机密文件,攻击者通过向目标主机发送特定的攻击数据包进行恶意操作。如何追溯这些攻击数据的来源,定位背后的攻击者,成为业界关注的重点。网络攻击溯源技术采用多种手段,主动跟踪网络攻击始作俑者,定位攻击源头,结合网络取证和威胁情报,有针对性地减缓或反击网络攻击,努力消除隐患在造成损坏之前。安全领域具有非常重要的现实意义。本文将分为第一、二部分供读者深入解读。本周主要介绍网络攻击溯源的技术背景和攻击溯源的过程。背景技术近年来,网络攻击的攻击者和防御者展开了一场类似于“猫捉老鼠”的动态游戏。攻击者不断寻找新的受害者、攻击向量和漏洞。防御者必须不断开发安全技术来抵御攻击者。微软公司的研究表明[1],攻击者在暴露之前驻留在目标组织中的平均时间长达146天,在此期间驻留在网络上的攻击者可以偷偷窃取和泄露机密信息,或破坏完整性资源,图1显示了攻击链模型[2]。为了先发制人,网络防御者需要在杀伤链的早期阶段阻止攻击者。目前,信息安全行业已经建立了一套集研究、分析和应对高级持续性威胁[3](AdvancedPersistentThreats,APTs)于一体的方法论。攻击溯源技术,在国外也被称为“威胁狩猎”,是为应对外部APT攻击者和内部利益驱动的员工威胁而提出的解决方案。威胁狩猎[4]技术不是被动等待和响应,而是通过持续监测技术更早、更快地检测和发现威胁,追溯威胁源头。威胁狩猎技术强调从攻击者的角度检测攻击,减少攻击者的驻留时间,从而显着改善组织的安全态势。放眼全球,包括FireEye在内的厂商以及越来越多的大型组织也开始了威胁狩猎。图1杀伤链模型攻击溯源流程为了提高攻击溯源的效率,建立完整的攻击溯源流程非常重要。Sqrrl[5]安全公司开发了一个典型的威胁狩猎模型,如图2所示,包括生成假设、数据调查、识别和可追溯以及自动分析四个迭代周期。它越高效,您就越能自动化新流程并更早地发现新威胁。图2威胁狩猎的典型模式1.生成假设攻击溯源从一些活动假设开始,这些假设可以通过高层次的风险算法自动生成。例如,风险评估算法可以获取基于APT生命周期的行为分析[6](如建立立足点、提权、横向移动行为等),并将其量化为风险评分,为溯源分析。图3为安全公司Mandiant提出的APT攻击生命周期模型。图3APT生命周期2.通过工具和技术进行数据调查目前的溯源技术主要分为被动[7]和主动[8][9]两种技术。反应性技术包括取证调查和针对潜在恶意行为警报的攻击假设测试。主动溯源技术依靠网络威胁情报[10][11](Cyber??ThreatIntelligence,CTI)生成攻击假设,主动搜索潜在的恶意行为。在这两种情况下,存储在安全信息和事件管理(SIEM)中的数据都可用于调查,帮助安全分析师更好地微调用于检测正在进行的APT攻击的假设。无论哪种方式,都需要通过各种工具和技术来研究假设。有效的工具将使用可视化、统计分析或机器学习等相关技术融合不同的网络安全数据。3.识别与溯源识别与溯源的过程也是发现新模式和TTP(Tactics,Techniques,andProcedures)的过程。工具和技术揭示了恶意行为和对手TTP的新模式,这是归因周期的关键部分。MITRE开发了如图4所示的ATT&CK框架[12],ATT&CK是一个全球可访问的知识库,它基于对攻击者策略和技术的真实观察,包含11种策略,每种策略包含数十种技术,将攻击者的行为转化为用于表示的结构化列表。图4ATT&CK框架4.自动化分析SANS[13]认为自动化是发现威胁的关键。传统上,来源分析一直是一个手动过程,安全分析师在这个过程中应用知识来验证对来自各种来源的数据的假设。为了更高效地进行攻击溯源分析,可以采用部分自动化或机器辅助的方式。在这种情况下,分析人员使用相关分析软件了解潜在风险,然后分析和调查这些潜在风险以跟踪网络中的可疑行为。因此,攻击溯源是一个迭代的过程,从假设出发,循环往复。参考文献[1]微软。Azure高级威胁防护[OL]。https://www.microsoft.com/en-us/microsoft-365/identity/advance-threat-protection[2]KillheedMartin。网络杀伤链[OL].https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html[3]美国美国国家标准与技术研究院(NIST)[OL]。https://csrc.nist.gov/topics/security-and-privacy/risk-management/threats/advanced-persistent-threat[4]RSA。威胁狩猎中的假设[OL]。https://www.rsa.com/en-us/blog/2017-07/hypothesis-in-threat-hunting[5]H。拉希德、A.Hadi和M.Khader。Threathuntingusinggrrrapidresponse[C]//计算科学新趋势(ICTCS),2017:155–160.[6]Mandiant,Cyber??AttackLifecycle[OL].https://www.iacpcybercenter.org/resource-center/what-is-cyber-crime/cyber-attack-lifecycle/[7]ThomasB、ScottD、BrottF等。网络安全威胁的动态自适应防御[P].美国专利10,129,290.S.[8]I。Sqrrl数据。(2016)网络威胁搜寻框架[OL]。https://sqrrl.com/media/Framework-for-Threat-Hunting-Whitepaper.pdf,https://www.threathunting.net/files/framework-for-threat-hunting-whitepaper.pdf[9]泰勒技术。(2018)网络威胁狩猎指南[OL].https://www.tylertech.com/services/ndiscovery/nDiscovery-Threat-Hunting.pdf[10]H.Rasheed、A.Hadi和M.Khader。使用grr快速响应的威胁狩猎[C]//计算科学新趋势(ICTCS),2017:155–160.[11]S.Samtani、R.Chinn、H.Chen等人。探索新兴黑客资产和关键黑客以获取主动网络威胁情报[J].管理信息系统杂志。2017,4(34):1023-1053.[12]斜接。企业的ATT&CK矩阵[OL]。https://attack.mitre.org/[13]Lee、RobertM和RobT.Lee。SANS2018威胁狩猎调查结果。SANS研究所阅览室,2018.保密协会科技分会原稿,转载请联系原作者】点此查看作者更多好文章
