引 言
伴随着移动互联网的飞速发展,愈来愈多的公司把信息储存到与互联网技术接入的设施上。一些犯罪分子妄图充分利用网络系统漏洞盗取公司的关键信息和绝密文件,攻击者根据向总体目标服务器推送特殊的攻击数据实行故意个人行为。怎样跟踪这种攻击数据信息的由来,精准定位身后的攻击者,变成了业界工作人员重点关注的问题。
互联网攻击溯源技术性根据开发利用多种方式积极地跟踪互联网攻击发动者、精准定位攻击源,融合互联网调查取证和威胁情报,有目的性地缓解或精准打击互联网攻击,争得在导致影响以前防患未然,在互联网安全行业具备特别关键的实际意义。
文中将分成上、续篇为阅读者深度解析,这周关键详细介绍互联网攻击溯源技术性环境及攻击溯源全过程。
环境详细介绍
近些年,互联网攻击的攻击者和防御者开展着类似“猫抓老鼠”的信息手机游戏,攻击者不断找寻新的受害人、攻击媒介和系统漏洞,防御者务必不断产品研发安全生产技术以抵挡攻击者。微软中国的研究表明[1],攻击者曝露前在总体目标结构中埋伏的均值时间长达146天,在这段时间内,停留在互联网上的攻击者可以密秘地盗取和泄露秘密信息,或是对一致性資源开展毁坏,图1展现了攻击者执行攻击的破坏力链实体模型[2]。为了更好地先发制人,互联网防御者必须在破坏力链的前期环节阻拦攻击者前行。现阶段信息安全性领域现已创建了集科学研究、剖析和回应高級不断危害[3](Advanced Persistent Threats,APTs)于一体的科学方法论。
攻击溯源技术性,海外又被称作“Threat Hunting”,是因为应对外界APT攻击者和内部结构利益的职工危害而提起的一种解决方法。危害捕猎[4]技术性不处于被动地等候与回应,反而是根据延续性监测系统,更早、迅速地检验和发觉危害,并跟踪危害的根源。危害捕猎技术性注重用攻击者的角度来检验攻击,降低攻击者停留時间,进而明显地改进机构的安全防护情况。放眼全球,包含FireEye等为意味着的生产商及其愈来愈多的大中型机构也逐渐开展危害捕猎。
图1 破坏力链实体模型
攻击溯源全过程
为了更好地提升攻击溯源高效率,创建完善的攻击溯源全过程特别关键。Sqrrl[5]安全性企业开发设计了一个危害捕猎典型性方式,如下图2所显示共包括造成假定、数据信息调研、鉴别溯源和自动化技术剖析四个梯度下降法循环系统的流程。梯度下降法的效果越高,越能自动化技术新步骤,尽快发觉新的危害。
图2 威胁捕猎典型性方式
1. 造成假定
攻击溯源从某类主题活动假定逐渐,高端上可以根据风险性优化算法自动生成假定。例如,风险评价优化算法可以获得根据APT生命期[6]的行为分析(如创建出发点、更新权利、横着挪动个人行为等),并将其量化分析为风险性得分,为溯源剖析给予开始。图3展现了安全性企业Mandiant明确提出的APT攻击生命期实体模型。
图3 APT生命期
2. 根据软件和工艺实现信息调研
现阶段的跟踪溯源技术性具体分成二种:处于被动[7]和积极[8][9]技术性。被动型技术性包含对于潜在性故意个人行为报警开展查证调研和攻击假定检测。积极溯源跟踪技术性借助互联网威胁情报[10][11](Cyber Threat Intelligence, CTI)造成攻击假定,积极检索潜在性的故意个人行为。在这里2种状况下都可以应用安全性信息及事情管理方法(security information and event management, SIEM)中存放的信息展开调研,协助安全性投资分析师能够更好地调节假定用于发觉已经开展的APT攻击。
无论使用哪一种方法,都必须根据各式各样的专用工具和技术性研究假设。合理的专用工具将运用相关性分析技术性如数据可视化、数据分析或人工神经网络等结合不一样的网络信息安全数据信息。
3. 鉴别溯源
识别溯源的历程也是新的玩法和TTP(Tactics, Techniques, and Procedures)发觉的全过程。专用工具和技术性揭露了新的故意行为模式和敌人的TTP,这也是溯源周期时间的核心一部分。MITRE开发设计了如下图4所显示的ATT&CK架构[12],ATT&CK是一个根据现实世界的观查攻击者战略和技术性的全世界可浏览的知识库系统,包括11种战略,每一种又包括数十种技术性,将攻击者个人行为转换为结构型目录开展表明。
图4 ATT&CK架构
4. 自动化技术剖析
SANS[13]觉得自动化技术是发觉危害的重要。传统式上溯源剖析是一个手动式全过程,安全性投资分析师应用有关专业知识对各种各样來源的数据验证假定。为了更好地更为高效率地开展攻击溯源剖析,可以一部分自动化技术或由设备輔助。在这样的情况下,投资分析师运用有关分析系统获知潜在性风险性,再对这种潜在性风险评估调研,追踪互联网中的异常个人行为。因而攻击溯源是一个不断的全过程,从假定逐渐以循环系统的方式持续开展。
论文参考文献
[1]Microsoft. Azure Advanced Threat Protection[OL]. https://www.microsoft.com/en-us/microsoft-365/identity/advance-threat-protection
[2]Killheed Martin. The Cyber Kill Chain[OL]. https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html
[3]U.S. National Institute of Standards and Technology (NIST)[OL]. https://csrc.nist.gov/topics/security-and-privacy/risk-management/threats/advanced-persistent-threat
[4]RSA. Hypothesis in Threat Hunting[OL]. https://www.rsa.com/en-us/blog/2017-07/hypothesis-in-threat-hunting
[5]H. Rasheed, A. Hadi, and M. Khader. Threat hunting using grr rapid response[C]//New Trends in Computing Sciences (ICTCS), 2017: 155–160.
[6]Mandiant, Cyber Attack Lifecycle[OL]. https://www.iacpcybercenter.org/resource-center/what-is-cyber-crime/cyber-attack-lifecycle/
[7]Thomas B, Scott D, Brott F, et al. Dynamic adaptive defense for cyber-security threats[P]. U.S. Patent 10,129,290.S.
[8]I. Sqrrl Data. (2016) A framework for cyber threat hunting[OL]. https://sqrrl.com/media/Framework-for-Threat-Hunting-Whitepaper.pdf,https://www.threathunting.net/files/framework-for-threat-hunting-whitepaper.pdf
[9]I. Tyler Technologies. (2018) A guide to cyber threat hunting[OL]. https://www.tylertech.com/services/ndiscovery/nDiscovery-Threat-Hunting.pdf
[10]H. Rasheed, A. Hadi, and M. Khader. Threat hunting using grr rapid response[C]//New Trends in Computing Sciences (ICTCS), 2017: 155–160.
[11]S. Samtani, R. Chinn, H. Chen, et al. Exploring emerging hacker assets and key hackers for proactive cyber threat intelligence[J]. Journal of Management Information Systems. 2017,4(34):1023-1053.
[12]Miter. ATT&CK Matrix for Enterprise[OL]. https://attack.mitre.org/
[13]Lee, Robert M, and Rob T. Lee. SANS 2018 threat hunting survey results. SANS Institute Reading Room, 2018.
【文中为51CTO栏目创作者“我国信息保密研究会科技进步联合会”原创设计文稿,转截请联络创作者】
戳这儿,看该作者大量好文