前言
享誉全球的安全大会RSAC 2021 已经落下帷幕,RSA公司每年都会根据网络形式为RSAC确定一个主题,今年的主题是“弹性(Resilience)”。
根据NIST.SP 800-160(卷2),弹性定义为“预防、抵御、恢复、适应那些施加于含有网络资源的系统的不利条件、压力、攻击或损害的能力”。网络安全弹性要求企业更加快速地发现攻击痕迹、降低事件响应时间、抑制攻击者对企业的损害并进行恢复。
威胁狩猎是主动发现关键信息基础设施中是否存在恶意行为以及时进行应急响应的过程,其作为一种主动防御行为,有效扩展网络弹性的主动的防御能力、恢复能力;威胁情报体系则是弹性应对千变万化网络安全环境,进行有效预防、抵御的钥匙。
在SANS的网络安全滑动标尺中,威胁狩猎处于滑动标尺的主动防御阶段,是组织安全架构、被动防御、主动监控较为成熟的条件下进行的主动发现潜藏威胁的行为,通常被描述为无事件的事件响应;同时,企业构建自身网络威胁情报、参与到外部情报协同(例如作为威胁情报的使用者、双向威胁信息共享、协同合作以应对威胁),形成更加成熟的网络威胁情报体系,能补充现有监测服务的监测能力,为威胁狩猎增加更多可能以及行动价值。
威胁狩猎
威胁狩猎分为结构化狩猎和非结构化狩猎。结构化狩猎主要是基于IoA(攻击信标)以及TTPs进行,而非结构化狩猎则基于情报的数据驱动狩猎相对于结构化狩猎宽松得多,即使是低置信度的IoC也可以作为一个狩猎规则。
Tim Bandos在Hunt and Gather: Developing Effective Threat Hunting Techniques分享中提到结构化狩猎的流程,是一个基于ATT&CK威胁模型的假设型搜寻(当然猎人也可以混合情报,甚至结合行业态势以及基线异常进行狩猎),包括模型的选择、攻击特征识别、狩猎规则建立,然后在进行规则部署以及从基线数据中发现威胁。
其整个步骤基本匹配了建立假设、印证假设、调查事件、事件分析四个主要流程。下面是一个扩展型的狩猎流程,将四个基础流程附加细节进行更好地展现,包括建立假设所需情报、警告输入、事件调查的中进行漏洞管理、SoC数据分析的操作、输出到应急响应团队(CIRT)的流程。
面对海量网络威胁情报以及安全日志/设备信息以及重复性的威胁狩猎流程工作,IBM的研究员在The Game of Cyber Threat Hunting: The Return of the Fun中提出开源的威胁狩猎语言——Kestrel-lang,将资深威胁猎人描述的狩猎步骤转化成为Huntflow(猎流),将Huntflow适配多种语言,同时进行共享以及便于重新执行,最后提供逻辑数据表示。看到这里,Huntflow可能会让你想起SOAR编排脚本,其实它们目都是减少人力,提高效率,一个针对发现一个针对处置。
威胁猎人的使用Kestrel-lang进行狩猎的过程,就是将其狩猎思路表达成Kestrel-lang中的匹配语句(展示猎人希望看到的元信息或者关系内容)以及分析逻辑(引入外部的情报或者其他计算逻辑进行数据分析),匹配语句以及分析逻辑聚合成为Huntflow。形成的Huntflow将能够被用于运行,完成自动狩猎。
自动化能够切实解决例如狩猎复用、多平台、人力依赖的问题,这也是组织迈向更高成熟度威胁狩猎的必要条件。自动化不应该单用在狩猎脚本上,甚至可以用于在情报整合与消费,用于情报生成与共享以及自动化处置上,并且逐渐向人工智能的威胁狩猎过渡。
威胁情报
前面提到完整的威胁情报体系包括构建自身网络威胁情报、参与到外部情报协同,其能够补充监测能力,为威胁狩猎提供更多可能。但是美国国土安全部发布的报告DHS Made Limited Progress to Improve Information Sharing under the Cybersecurity Act in Calendar Years 2017 and 2018中指出,在美国政府组织的信息共享活动中:
- 信息并未包含充分缓解潜在威胁的足够细节:共享内容不包含充足的上下文(IP、协议、域名等)或者背景资料;
- 共享网络威胁信息的参与者数量有限:2017年,88名参与者中只有2人(1%)与共享网络指标,而在2018年,252名参与者中只有9人(3%)共享指标。
针对普遍存在的威胁情报共享不如理想。非盈利情报共享机构Cyber Threat Alliance的CEO——Michael Daniel在Faulty Assumptions: Why Intelligence Sharing Fails中提出了三个信息共享时候的错误假设(如下),并随后纠正了大家的错误认知。
- 认为所有的威胁情报(CTI)都是技术数据
- 所有的组织都应该进行相关技术数据分享
- 一旦进行共享渠道,那么分享就是一件非常容易的事情
【误解一:认为所有的CTI都是技术数据】
Michael将网络威胁情报(CTI)分为4类,包括:技术、战术、运营、战略,涵盖了技术以及非技术的CTI。根据Threat Intelligence Sharing: State of the Art and Requirements,这是英国国家基础设施保护中心提出的CTI分类,区别于Gartner的三层模型,其添加了技术层分类旨在归纳更加短期使用的哈希、IP地址等信息,其他分类的情报内容也进行了一定调整。
每个类别CTI在情报内容、情报来源、消费人员、消费途径、情报时效都有所不同,这样的分类有助于解决更多问题或者进行决策——领导者应该更专注于战略情报(如某政府被认为入侵了拥有直接竞争关系的外国公司)以调整安全资金投入预算,而威胁猎人则更加关注于技战术内容(如TTPs)以发现恶意攻击行为。
【误解二:所有的组织都应该进行相关技术数据分享】
不同类型的大量CTI分享带来一个问题——”如果每个组织都分享CTI,那么大家都会被CTI淹没”。Michael认为需要了解组织情报分享两个驱动力:业务模式相关 和 比较优势。
业务相关性表现在获取的情报以及产生的情报,例如教育行业就无法产出和消费制造业产生的工控相关情报,工控相关情报对于教育组织来说就是业务不相关情报。因为各个组织产出的CTI不一致,因此也需要想清楚是否需要进行协同共享。同时每个组织都应该想清楚自己需要什么情报,什么情报有利于你的业务或者是防守策略,像演练期间大家都会需要各种攻击方IP、工具哈希等IoC。
只有关注相关威胁信息才能够有效进行威胁信息降噪,并且看到威胁信息带来的明显价值所在。
比较优势驱动则是强调需要符合企业自身资金以及技术能力,例如作为一个软件供应商可能没法像互联网大厂一样能够招聘专门的人员进行CTI的运营,更多是消费大厂的CTI;另外就是需要符合自己属性能力,例如政府就合适发布国家范围的威胁情报。
【误解三:一旦进行共享渠道,那么分享就是一件非常容易的事情】
Michael认为,高效高质量情报共享需要4要素:信任——建立充分信任才能不保留地共享情报,金钱——用于购买更多情报,时间——投入人员进行情报运营,关注——企业组织由上而下对于情报的关注让共享可持续。
除了建立信任以及持续投入,Michael提出了一些提高效率的假定以及如何落地,例如:
- 减少共享的组织以降低CTI的噪音;
- 标准的分享形式可以提高情报分享的效率,往往能够提供更好的情报;
需要让威胁情报体系落地,需要组织中不同的消费者共同努力。组织领导者可以统计事件之间的时间或者检测事件的时间,然后检查他们随着时间变化的情况,可以适当地安排情报分享行为活动,以将这些活动变得更合理;而网络团队则可以决定决策相关CTI需求,根据需求进行CTI收集和应用;对于第三方CTI提供者,供应商应该更加聚焦,而政府则需要更广的CTI(如上下文)以及激励带领CTI共享项目。
实战运营
随着国际形势的变化,并且在网络安全攻防实战演习的推动下,国内攻防对抗态势逐步升级,激烈强度愈发贴近真实对抗。
攻击组织在0day数量上、储备上、针对性上优势明显,并随着开源攻击工具的成熟和完善,武器化、自动化成本大幅度下降,钓鱼攻击专业化、专职化,结合0day储备进行利用,攻击更加难以防护。另外,随着免杀、伪装、隐匿技术的发展,相关技术得到更加广泛的应用,攻击组织的活动,更加难以监测及捕获。
为应对当前的现状,作为企业、作为关键信息基础设施的运营单位,“孤军奋战”已不再适应当前的攻防趋势,相较下,“情报驱动,主动狩猎,基于实战,归于常态”更能适应当下,甚至未来的态势。
【情报驱动,主动狩猎】
“实战对抗瞬息万变,基于情报的联防联控机制,主动狩猎,提前防控,是应对规模化、武器化、自动化的攻击集团及境外势力的有效手段”
面对国内当前的攻防态势,各关键信息基础设施运营单位及各大企业,在境外攻击组织频繁活动,以及趋向常态化、实战化的各项网络攻防演习及检查之下,以往常规的应对方案已无法彻底解决当前所面临的威胁及挑战,并常年处于疲于奔命的状态下,更难以推动新方案的实践和落地,陷入了恶性循环。
绿盟科技通过多年在安全产品的研发投入、在威胁情报领域的持续积累与沉淀,以及实战攻防中积累的经验以及培养的专家人才,为威胁狩猎能力的落地提供了夯实的基础。
威胁狩猎能力的落地,是通过溯源前置方案、全网流量监控、本地安全运营等方式,主动获取情报、事件、诱捕信息进行驱动,以专家人才与威胁情报库、威胁图谱为大脑,攻防对抗类安全产品作为载体,本地安全运营人员作为桥梁,共同完成,实现威胁狩猎的常态化运转。
根据来源的不同,我们可将威胁狩猎实战中的路径归类为以下三条来进行运营:
(以下具体实现过程本次不在本文做深入探讨。)
- 互联网威胁捕获驱动
关键在于三点,一是建立完善威胁情报捕获方式与可靠的情报渠道;二是以智能平台为基础结合专家经验对威胁情报分级分类与分析;三是基于行业信息、企业资产信息进行威胁情报降噪。
- 溯源前置诱捕驱动
关键在于两点,一是溯源前置技术创新避免攻击者识别并形成安全产品侧可落地的方案;二是攻击诱捕中结合企业实际环境实现诱饵合理部署及日常运营增加诱饵的成功诱捕几率。
- 本地安全事件驱动
关键在于两点,一是建立合理的运营流程,关注内部安全事件的监测与处置;二是合纵连横,建立企业本身威胁情报体系以及情报运营能力,深度利用情报发挥情报价值。
【基于实战,归于常态】
“通过运营实现对抗能力的常态化,在实战当中不断推动能力优化”
绿盟科技在过去20年众多的重大网络安全保障实战以及网络安全攻防演习对抗中,积累了丰富的对抗经验。在每一次的大型网络安全保障及对抗当中,我们需要同时确保全国数以千计单位的网络安全,涉及关键信息基础设施以及重要资产不计其数。
随着对抗的逐步升级,我们孵化并落地了“常态化保障中台”,基于情报驱动联防联控机制,主动进行威胁狩猎,并实现提前防控,以确保在对抗中占据更有利地位。
绿盟科技常态化保障中台,以情报驱动为核心,协同研判分析、应急响应、溯源反制、威胁狩猎、产品支持五大能力模块,通过中台一体化平台实现一体化作战体系,以点带面,实现“一点发现,全国闭环”的联防联控。
保障中台通过研判、应急、溯源,从事件中提取攻击手法、特征、行为等,结合产品规则、补丁、方案全国统一下发,完成防护能力闭环。
与此同时,对非法攻击者或攻击组织进行画像,并与威胁情报库及图谱进行关联,通过中台一体化平台向全国下发回溯脚本,以流量回溯、特征回溯、行为回溯等多种方式,完成威胁狩猎,实现全面防护和精准打击。
另外,绿盟科技常态化保障中台通过对对抗中所产生的大数据进行分析与提炼,可形成适应实战的解决方案,结合中台所提供的能力,全面推动企业安全建设工作。
团队介绍
安全运维保障部,是绿盟科技负责统筹完成国内重要时期、重大会议、大型运动会等网络安全保障工作,以及全国网络安全实战攻防演习保障工作的专业部门。安全运维保障部连结公司各个方向的优势力量,致力于构建覆盖绿盟科技全国项目群的实战化中台能力、打造公司样板间级保障防御标杆案例。
梅花K战队,是一支以在攻防对抗视角下助力绿盟科技核心产品能力优化与企业实战防御能力提升为主要目标、专注实战的专业攻防团队。战队成员均具有丰富的攻防对抗领域经验,在各级实战攻防演练与攻防竞赛中披荆斩棘、屡获佳绩;同时是绿盟科技在国家甚至国际级重大安全保障中实现“零”事故及“零”失分的核心力量。
参考资料
- Hunt and Gather Developing Effective Threat Hunting Techniques
- The Game of Cyber Threat Hunting The Return of the Fun
- Faulty Assumptions Why Intelligence Sharing Fails
- Hunting Threat Actors with Attack Surface Management
- DHS Made Limited Progress to Improve Information Sharing under the Cybersecurity Act in Calendar Years 2017 and 2018
- Detecting the Unknown: A Guide to Threat Hunting
- Threat Intelligence Sharing: State of the Art and Requirements
- Threat Intelligence: Collecting, Analysing, Evaluating
版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。