看见到洞见之楔子(二)Vectra知其所以然

《看见到洞见》系列文章汇聚、分享的是绿盟科技创新中心对于数据分析在安全领域应用的技战术思考与经验,力求由浅入深层次递进,实战到方法论双线剖析。此文为系列文章之楔子第二篇,继续以Vectra公司的方案做进一步的方法论剖析,讲述数据分析在自动化威胁管理中的应用方法与应用方向。

Vectra之分析三板斧

上篇《看见到洞见之楔子(一)——Vectra知其然》在第四章技术亮点中,笔者已罗列了Vectra Network的核心三板斧:

  1. 攻击可视化和梳理体系
  2. Vectra威胁量化指标体系(Vectra Threat Certainty Index™)
  3. 细分攻击场景行为分析检测(Security that thinks™)

具体功效不再赘述,三者相辅相成。攻击梳理体系能够将安全数据分级分类,首先提升了数据整洁性和结果可理解性,进而能够建立具有明确排序意义的指标体系;细分、可比较的指标体系,又指导着自动化监测和基于整体优先级的告警推送,促进管理员的高效处理。根据攻击场景的细分机器学习方法,能够扩充指标体系的细节覆盖范围(攻击类型),使得指标体系在结果形式统一的基础上可更新、可迭代。下面介绍笔者对三板斧的可达性臆测,论述其可能的实现路线。

三板斧之攻击可视化和梳理体系

意义

Vectra的攻击阶段分类

Vectra的攻击阶段分类

攻击可视化和攻击梳理体系从根本意义上可分为两个方面:

  1. 机器能理解
  2. 内网渗透方式多样,但万变不离其宗的是攻击的目的。类kill-chain的各种攻击顶层分类描绘的是人,而不是攻击;描绘的是人的攻击目标在时间线上的变动,而不是攻击的细节。因而无论从攻击概括性,事件时间线的覆盖性,还是从实现的清晰性,基于攻击意图/攻击阶段都是可取的选择。
  3. 小白也能懂
  4. Vectra的x-ray分析平台能够提升安全运维和应急响应的效率与投入产出比,依赖的是可视化攻击意图,攻击活动与网络活动,进而能从资产关系,攻击者意图,历史网络行为等多方面可视化溯源调查流程;量化事件序列与资产的威胁与可信度,通过聚合网络行为异常和众多低置信度告警,形成排序明确的威胁事件集合,逐渐让攻击者的内网横向移动行为和主机/资产/用户的异常网络行为浮出水面,小白管理员也能知道事件的轻重缓急。

攻击分类梳理体系

按照攻击技术大类的分类方法

  1. Snort的攻击分类体系[1]
Classtype Description Priority
attempted-admin Attempted Administrator Privilege Gain high
attempted-user Attempted User Privilege Gain high
inappropriate-content Inappropriate Content was Detected high
policy-violation Potential Corporate Privacy Violation high
shellcode-detect Executable code was detected high
successful-admin Successful Administrator Privilege Gain high
successful-user Successful User Privilege Gain high
trojan-activity A Network Trojan was detected high
unsuccessful-user Unsuccessful User Privilege Gain high
web-application-attack Web Application Attack high
attempted-dos Attempted Denial of Service medium
attempted-recon Attempted Information Leak medium
bad-unknown Potentially Bad Traffic medium
default-login-attempt Attempt to login by a default username and password medium
denial-of-service Detection of a Denial of Service Attack medium
misc-attack Misc Attack medium
non-standard-protocol Detection of a non-standard protocol or event medium
rpc-portmap-decode Decode of an RPC Query medium
successful-dos Denial of Service medium
successful-recon-largescale Large Scale Information Leak medium
successful-recon-limited Information Leak medium
suspicious-filename-detect A suspicious filename was detected medium
suspicious-login An attempted login using a suspicious username was detected medium
system-call-detect A system call was detected medium
unusual-client-port-connection A client was using an unusual port medium
web-application-activity Access to a potentially vulnerable web application medium
icmp-event Generic ICMP event low
misc-activity Misc activity low
network-scan Detection of a Network Scan low
not-suspicious Not Suspicious Traffic low
protocol-command-decode Generic Protocol Command Decode low
string-detect A suspicious string was detected low
unknown Unknown Traffic low
tcp-connection A TCP connection was detected very low

类Kill-chain攻击分类方法

  1. AT&T安全研究员提出的多平面互关联金攻击字塔模型[2]

vectra1

CERT-UK提出的攻击阶段模型[3]‘’

CERT-UK的攻击阶段分类图

CERT-UK的攻击阶段分类图

Trend Micro的攻击阶段[4]

Trend Micro的攻击阶段分类图

Trend Micro的攻击阶段分类图

小结

从分类梳理体系来看,安全厂商/机构更倾向于使用类kill-chain的攻击梳理体系,应是基于产品实现的便捷性和基于攻击意图的划分无需频繁更新,而基于攻击技术的分类,则显得不够有条理性,难以作为攻击顶层分类应用。安全厂商/机构在整理自己的攻击分类体系时,均会根据自己的产品能力、特点和面对场景,做一定的裁剪和改变。对比kill-chain和Vectra的攻击体系,Vectra把kill-chain中的自己产品难以检测的步骤做出精简,同时将自己能够从网络流量中检测出来的异常定位到攻击阶段,不管日后攻击方式如何改变,用户对于攻击认知的学习成本不会持续增加,前端呈现和逻辑能够保持一致。Vectra的攻击阶段划分更多体现的是其产品的能力定位。

图7 Vectra攻击阶段分类和kill chain对比

图7 Vectra攻击阶段分类和kill chain对比

需要思考的问题:网络异常和攻击阶段的映射如何更智能地建立?

三板斧之Vectra Threat Certainty Index™

攻击评估从学术意义上是找到一种描述攻击行为的模型或找到一种描述攻击效果的指标体系,去衡量攻击的严重程度。从攻击发生的“事前-事中-事后”三个角度来看,安全风险评估基于“事前”的评估手段对信息系统的面临的威胁进行定性、定量的分析,而威胁态势评估则是在“事中”阶段,针对安全态势的一系列威胁评估方法,并能够进行合理的态势预测。威胁态势评估的数据源于态势感知(Situation Awareness),结合实时和历史的态势数据,对当前系统受到的威胁做出整体的评估判定,并运用推理手段对未来N个时间段的态势走势进行合理预测,形成态势分析报告和网络综合态势图,为网络管理员和主管部门提供辅助决策信息。

意义

其一,因为机器学习。首先要明确的是Vectra的产品不是万能的,它的差异化优势只是提供了对流量(尤其是内网东西向流量)中的横向移动异常的检测能力。它是基于网络行为的,号称是no signature,通过各种的行为维度去判断异常,然后通过其异常和攻击阶段的映射(不是“signature”的signature),相当于anomaly的enrichment。笔者一贯的观点是现有的机器学习方案都难以做到精确定位和全自动,机器学习只是一种高阶的自动化方式。难以精确的评价不能够只显示为可疑,那就和IPS被吐槽的海量日志一样了。SANS的研究报告中,也称“Vectra requires tuning. For example, if Vectra shows a detection and the analyst assesses that it is the result of a corporate anti-virus server reaching out to Sophos servers on the Internet using a port associated with Sophos, then Vectra can be configured or “tuned” to ignore future similar detections”。Vectra之所以对威胁有threat和certainty这两个评价指标,其实是基于行为学习的产品化的妥协方案,因为机器学习做不到全自动识别,那就给用户筛选的依据;因为做不到精准定位,那就改善安全管理员的应急响应工作体验,即所谓的actionability。

其二,因为人类注意力有限。一个良好的评价指标,尤其是面向小白管理员用户的评价,其实没有人在意指标的数值大小,重要的是指标的排序性。排序性带来的是人/机应急响应工作流有依据、能及时、能优化TOP N处理事件的质量。

评估方法

疑似Vectra的评估方法

疑似Vectra的评估方法

由上图可以看出,Vectra的评估指标包括两个,威胁度(Threat)和可信度(Certainty),从SANS[5]披露的文档中看见,威胁度来自于网络连接传输的数据量和连接的持续时长。可信度来自于客户端发送的数据量/持续时长与服务端接收的数据量/持续时长的比例。由于无法获得Vectra的用户文档,但从直觉上看该说法应是不全面的。据说威胁度和可信度应存在专家验证的浮动范围,Vectra的行为异常不仅仅是底层的网络行为异常,而是通过某种规则对底层异常进行聚合,形成高层行为异常。笔者所理解的威胁度概念应是威胁上下文(Threat Context,资产,服务,用户,攻击阶段等)和异常本身的某种加权组合。可信度也应该考虑威胁上下文。

评估指标体系

评估指标体系

三板斧之Security that thinks™

“安全”的思考能力,其实更为准确的中文说法是,人自动化其洞见安全本质的能力。机器学习/数据科学的方法纷繁复杂,笔者不在这赘述具体的实现原理,而是希望给出对其全局架构和实现能力的思考。

“思考”的目标,是辅助性自动化安全运维。从Vectra的指标体系来看,Vectra很难做到一劳永逸的自动化防护;从机器学习在安全数据上的应用来看,行为分析暂时也不可能成为killer app。人脸识别都难做到精确,遑论攻击面在变,攻击技术在变,连正常用户都会变的安全检测领域了。但Vectra的机器学习和行为分析目标很明确,即不是任何其他检测类产品的替代品,而是辅助性手段。管不了绝对安全,也不吹嘘APT能力,但能解放管理员的天性和双手,帮助管理员看到更有价值的告警。美国的一众创业公司基本上都是这个思路,比如说Bay dynamics。

“思考”的方法,主要来自于几个方面:一是时间线上的对比,二是行为的统计性对比,三是时间线上的异常事件的关联,四是异常程度的比较性指标,五是异常事件和攻击阶段的对应。这五个能力是其行为检测能力和整套体系能够在东西向流量中玩得转的核心,而其提到的云端学习、脱密上传行为数据和异常算法快速更新,充其量只能说是“思考”能力的传输渠道,加速云、端交互,加速应急响应。

安全的思考能力

安全的思考能力

敬请期待

Vectra的知其然和知其所以然到本篇就结束了,这两篇文章汇聚了笔者通过公开渠道对Vectra的了解,肯定存在主观臆测和错误判断。后续仍会选择靠谱的新兴安全公司进行方案剖析,作为整个系列文章的楔子。欢迎直接发信公众号一起探讨、交流数据科学在安全领域的应用。下一篇是系列文章的引子,会以图、文、例子的方式展示笔者团队对数据分析算法的思考。

参考文献

[1]     Manual S U. 2.9. 5,“Snort Default Classifications,”[EB/OL]. (2013-01-01)http://manual-snort-org.s3-website-us-east-1.amazonaws.com/node31.html#SECTION00446000000000000000.

[2]     Giura P, Wang W. Using large scale distributed computing to unveil advanced persistent threats[EB/OL]. [3].

[3]     Cert-UK. G. Common Cyber Attacks: Reducing The Impact[EB/OL]. https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/400106/Common_Cyber_Attacks-Reducing_The_Impact.pdf.

[4]     Micro T. LATERAL MOVEMENT: How Do Threat Actors Move Deeper Into Your Network?[EB/OL]. http://about-threats.trendmicro.com/cloud-content/us/ent-primers/pdf/tlp_lateral_movement.pdf.

[5]     Room S I I R. Investigative Forensic Workflow-based Case Study for Vectra and Cyphort[EB/OL]. https://www.sans.org/reading-room/whitepapers/forensics/investigative-forensic-workflow-based-case-study-vectra-cyphort-36522.

如果您需要了解更多内容,可以
加入QQ群:570982169、486207500
直接询问:010-68438880-8669

Spread the word. Share this post!

Meet The Author

Leave Comment