最近“威胁情报”在网络安全界备受关注。什么是威胁情报呢?简单来说,威胁情报就是能够帮助识别安全威胁并作出明智决定的知识。那威胁情报要如何具体实践呢?
发生攻击前,威胁情报能够帮助大家做一些什么防御工作?
在攻击的过程当中,可以利用威胁情报起到真正的防御的作用吗?
它与当前的应急响应到底又有哪些不同?
攻击之后,威胁情报在攻击溯源这个层面上,又能够做一些什么工作呢?
快快搬起小板凳坐到黑板面前,绿盟科技威胁情报专家顾杜娟博士将为大家从线下攻击前准备、线上攻击周期和线下攻击后整理三个方面讲解威胁情报的具体实践。文末还有现场视频!
攻击前:风险可视化——提前感知,防患未然
首先,我们先看一下威胁情报在攻击前如何做到风险可视化。
绿盟网络空间搜索引擎
现在各大企业在公网上面都拥有很多不同的资产,这些资产对于大家来说是非常重要的。我们如何来对这些资产做安全体检呢?这里绿盟科技提供了网络空间搜索引擎,我们不敢说我们的信息有多强,但是我们除了可以提供资产相关的指纹信息的详细信息之外,也可以提供全方位的漏洞信息和多方引擎的文件检测信息,以及业界相关的威胁活动。所有这些都跟你的资产强强绑定,只要资产在公网上线,发生了什么问题,绿盟科技都能实时监测。
现在物联网炒的非常火,Shodan也是以物联网著称。Shodan的结果,可以从IP信息、端口信息到服务的信息等更详细的组件的信息。这些信息给我们的资产稽查带来了很多方便。在这个基础之上,绿盟在这方面不仅提供了风险的预测,同时会对危险做一些安全的标记,更全面的服务客户。
同时,在这个上面还可以提供整体的证据,例如关联的一些恶意样本,在历史的IP进程当中,发生了哪些威胁事件,是什么时候作为一个扫描源被利用了,什么时候被僵尸网络利用了,整个过程我们在威胁情报里面都做出了一些详细的记录。
我们对目前业内物联网上面的数据进行分析以后,可以看到,56.3%的物联网设备会沦为僵尸网络的肉机,可能会发起DDoS的攻击、扫描源、垃圾邮件等威胁攻击,在未来的安全防御上面需要我们更加重视。
资产稽查,预先布防
绿盟在资产稽查和预先布防这块,去年跟日本软银进行了合作,跟他们做了很多安全分析报告。不仅可以帮助软银发现它的一些未登记和未注册资产,同时也会对一些在线的资产提供安全体检报告。另外我们也联合了日本的运营商,对他们所有的IP资源进行了安全护航和导引。
热点漏洞监测:WannaCry监测预警
我们对Wannacry的漏洞也做了全球的监测。涉及到公司的一些资产、家庭网关、PC和笔记本电脑等等。会存在什么样的漏洞,有什么样的风险呢?大家可以在刚才提到的NTI搜索引擎上面直接查看。
行业持续关注
除了资产稽查以外,我们还会提供行业安全的持续关注。我们会产生各种各样的报告,包括DDoS报告等等,以及安全行业的各种分析报告,持续关注各行业安全。
客观情报——趋势分析,安全规划
对于各种各样的数据,客观的数据收集上来之后,转化为我们的情报。我们也会提供一些趋时的分析,来指导各行业的安全规划。这里可以看到2017年上半年勒索软件的数量和新闻热度的一些分析。从整体上来说,勒索软件正在走向产业化、结构化和商业化,这也是Wannacry为什么今年带来了如此巨大的影响。
战略情报
整体来说,在威胁还没有发生之前,威胁情报在很大的层面上是作为战略情报的一部分。我们可以从热点事件、行业报告和趋时分析给大家提供一些威胁的预警和防范于未然的工作。这部分我们更多是提供一些风险评估和安全规划指导,这就是战略情报的运用。
攻击中:防御主动化——把控当前安全态势,线上狙击主动防御
下面我们来看一下当真正的危险发生了以后,威胁情报到底可以做一些什么?是不是威胁情报在这个过程当中只有一大堆的数据和算法呢?我们看一下绿盟科技是如何利用威胁情报进行线上狙击的。
从应急响应到主动防御
2017年4月15号,当我们发现了ShadowBroker方程式工具包被公开之后,我们后台的安全专家对这个工具包做出分析。分析之后,我们会在情报共享里面把这些信息共享出来,通知我们的客户可能存在的安全风险是什么样,关联到你的资产到底有哪些存在这样的风险。
同时我们有应急团队做安全威胁事件的应急响应。最后一步,我们会结合各个企业提供的一些情报,推过到各个企事业绿盟的安全产品当中。这时候会给大家提供一些及时的主动防御。主动防御和应急响应的结果,都会输送到我们的情报里面,然后来做联动的防御。
WannaCry主动防御
从整个应急响应和主动防御过程来说,大家听起来可能还有点虚。那我们从WannaCry这个实际案例看一下,绿盟科技具体是怎么做的?
当我们发现工具包之后,按照往常的惯例,我们会做一些漏洞利用分析。那么对于可能影响到的产品和版本以及对应的危害风险,我们会给出检测和防御的方法。在这之后,我们结合威胁情报会把这些信息转化为我们的机读情报。这里也会给出一些漏洞探测的特征信息,还有攻击的网络监测信息。这些信息下发到我们的设备当中去,然后我们可以做一些网络隔离,入侵检测和防御升级,包括服务器的漏洞加固和扫描。所有这些后续过程,都是自动推送的,不再需要等待人工操作。
TTP(手段、技术、过程)战术
那么这些所谓的机读信息到了我们的设备当中之后,在我们的情报里面到底是什么信息?在业界里面,在情报里面谈得比较多的,就是所谓的TTP信息。那么围绕TTP的信息,我们可以把整个攻击过程进行一些场景的还原。这些信息的结合,使我们由被动的防御转变为主动的防御。
攻击后:溯源自动化——自动溯源取证,重现攻击上下文
溯源一般分为两类:网络侧溯源和样本侧溯源。
那么威胁情报在这一块可以起到什么样的作用呢?
网络溯源
在网络侧,我们要去定位它的主机IP的时候,我们可以结合已有的一些信息来做溯源。例如邮箱信息、域名信息,还有IP信息等等。还包括我们采集到的攻击来源,以及一些样本的信息。
网络侧溯源需要的情报:
- Whois、DNS解析记录
- 网络连接记录
- IP分配
- 注册历史信息
- 网络连接数据
- C2
样本侧溯源
在样本溯源这一块,我们要定位到网络虚拟身份的时候,情报里面提供了各种维度的数据,例如恶意软件的分析,还有一些社会工程学信息。那么在整体的溯源上面,到底怎么去做自动化的溯源和分析呢?这方面实际上还是非常困难的。
WannaCry网络溯源
下面我们结合WannaCry的例子来具体感知一下网络溯源。
网络侧数据可以定位到IP,可以看到TCP 445端口以及SMB协议。
WannaCry暗网识别
对于暗网识别的层面来说,情报采用了深度学习的方式。首先通过流量来做一些应用的识别。当Wannacry发生了之后,我们利用已有的数据报文当中披露的信息来做原有模型的学习。当真正的流量进来了之后,我们可以去分析它实际上是一个TOR的provocation。那么当TOR识别出来了之后,我们后面到底怎么去做呢?
WannaCry TOR通信与溯源
当勒索软件主程序进行网络请求的时候,会发处一些网络包。刚开始发出一些明文的报文,当我们检测到这个报文信息之后,再把它下面的一些信息解析出来。
之后,它的代理会用暗网地址来转发相应的数据。那这些数据真正出去的时候,实际上已经是一些加密的数据。
到了中继结点的时候,实际上我们都知道这个网络中继结点是不断变化的,这也给我们的溯源带来了很大的困难。这里我们监控到两种协议,一种是TCP 9001端口的不加密的数据,还有加密的TLS 443端口链路通信。
在中继节点之后,在最后的回包当中,我们可以看到比特币地址的一些信息。这里我们就要结合区块链的分析,包括比特币客户端自动监控的一些信息。
在绿盟的威胁情报当中,我们可以看到从流量到整个IP的信息展示。这些IP可以关联到域名信息,同时域名又可以关联到恶意样本的信息。同时也可以由域名信息,定位到我们注册邮箱的信息。这些信息在情报里面,我们做了一个整体的关联引擎,可以更好的去做关联分析。而关联分析的结果,也可以帮助大家更好的定位和溯源WannaCry。
WannaCry变种样本分析
前面讲了网络侧的溯源,我们再来看一下样本侧的溯源。对于样本侧的溯源,其实传统的方法也会做一些静态的分析,还有动态分析平台,包括还有养马场的技术。
如何从样本的信息定位到个人和组织呢?
我们可以看到,样本溯源更加注重自动化分析的过程,以及机器学习、人工智能的方法。在整体的过程当中,虽然它并不是万能的,但是他能够帮助我们提高整体工作分析效率,结合我们已有的传统样本分析的方法来提供一些自动化的流程。包括自动捕获样本、自动运行样本、自动识别、自动提取分类、自动跟踪等等。
对于WannaCry这些热门事件监控之后,我们会把所有的信息以及发现的特征,包括前面IP的特征、流量的特征和恶意样本的特征。针对所有的这些危险特征,我们可以做到IOC化。所有的IOT化之后,我们可以按照相应标准把这些信息组织起来,存储到我们的威胁情报里面。
总而言之,威胁情报驱动了新一代智能安全防护体系。
总结
我们可以看到,在攻击前、攻击中和攻击后,不同的情报在各阶段起到了不同的作用。
威胁情报已经在安全防御的各个环节起到了不可或缺的基础性能力。威胁情报可以帮企业做到知己知彼、百战不殆。但是未来在这个方向我们还有更长的路要走,需要大家齐心协力!