本文是此次 2017 ISC 大会同名演讲的文字版,对当时因为时间限制没有展开的内容做了着重阐述。
态势感知是一个大数据分析问题
态势感知是一种安全能力建设,这种能力侧重于威胁的检测、分析。恰好适应了当前单纯在防御上进行投入,已经无法有效应对当前威胁的现状。因此在4.19讲话催化下,迅速成为了最重要的安全热点。
态势感知的基础是对报警和元数据的收集,需要在流量、内容、终端三个方面,利用实时数据和历史数据进行检测。但单纯报警的可视化展示并不是真正的“态”。要呈现当前的“态”,需要针对报警或者异常,进行误报甄别、定性分析(识别定向型攻击或是随机性攻击)、了解攻击的影响范围和危害、确定缓解或清除的方法及难度等等。在这个前提下,再对组织面临安全事件全面呈现才能够称为“态”。而“势”则是未来可能的安全事件或状态,这种预测可以基于对已知攻击者的意图、技战术特点以及Killchain分析得出,如果能够获得相关行业或者组织的情报共享,无疑可以更全面的掌握“势”。因此我们可以认为,态势感知在某种意义上是一个大数据安全分析的问题(现今任何安全话题好像都可以这么说)。
提到大数据分析,最直接联系到的另一个词汇应该就是机器学习了。但现阶段机器学习或者人工智能在安全中的作用没有一般想象的大。著名的大数据分析公司Palantir认为:如果数据源自许多不同来源、难以保证数据完备性、或者对手有意识对抗检测等条件下,难以完全依赖机器学习,更多还是需要安全分析师的介入。另一方面讲,机器学习发现的异常是没有上下文的,如果对这种异常要进行处置,也需要分析人员的介入,就以机器学习最成熟的发现DGA域名为例,它不能告诉安全运营者,这个DGA域名对应着一个勒索软件、蠕虫木马,还是一个APT攻击,是否是DNS传输隧道等?没有这些信息就无法对事件进行有效处置。最后,机器学习的误报率还是不能得到很好的控制,根据趋势公司今年给出的资料,机器学习的误报率相对于传统的规则检测要高100倍以上。总之,随着机器学习技术的发展,我们可以依靠它来提供分析人员的效率,但并不能完全替代。安全分析师依然是最重要的资源。
安全分析能力需要逐步建设
成熟的安全分析师对大多数组织来说,可遇不可求。在这种条件下,如何建设态势感知能力呢?下面提供一种逐步渐进的发展路径供参考:
1. 基于可机读威胁情报起步:以IOC为例,及时发现失陷主机是防范重大损失实际发生的关键,IOC情报依赖DNS日志或者上网行为日志就可以进行检测分析。并且提供攻击类型、团伙、攻击方式、危害以及处置建议等上下文信息。对内部数据、外部情报以及对人的要求都较简单,作为起步非常适合,让安全人员对检测、分析、研判、处置整个过程能够有实际的操作和理解。
2. 由现有产品提供的已有分析模型进阶:好的大数据分析类产品(开源或商用)都会提供一些典型的安全分析场景,如何发现异常、如何通过情报快速排查、如何利用内部数据深度调查分析。利用这些现有产品完成更多内部数据的收集、掌握进一步的安全分析技能,无疑是最方便、可行的途径。
3. 通过TTP情报(攻击者的战术、技术和攻击过程),进一步增强异常分析能力:如果经过前两个阶段,组织在数据采集能力、情报收集能力和安全分析师的个人能力上都有比较稳固的基础了,那么可以在着重收集和自己行业、组织相关的TTP类型的威胁情报,了解攻击者的技战术特点,尝试在数据分析平台中查找相对应的线索并进行研判。
4. 通过自动化工具固化成熟的分析模式:最终组织内的内部数据、外部情报相对稳定,分析的模式和过程相对固化和清晰,这时候就需要将其中可以自动化完成的部分通过不同方式实现。以达到高效运维、避免安全分析师过多陷入简单重复劳动的目的。
整个过程,无疑是以威胁情报为中心的。其中涉及到多种不同的威胁情报,下面一一为大家介绍。
可机读威胁情报MRTI
可机读情报更多的是为安全产品赋能,让它们可以检测发现更多的关键性威胁,同时为报警提供优先级、上下文等事件响应必要的内容,让设备更聪明,人也更容易响应处置。最常见的可机读情报分3类:
1. 失陷检测IOC情报:用以发现内部被APT团伙、木马后门、僵尸网络控制的失陷主机,类型上往往是域名、URL等,从趋势上看通过攻击一些合法网站部署CnC架构的比例在上升,因此URL类型的检测必要性在增加。
2. 文件信誉:单一病毒引擎对文件的检测能力难以满足现实的需要,基于云端大量样本库,通过多引擎、沙箱、yara规则等检测分析方式,可以更全面准确的得到恶意文件的类型、家族以及其它信息。通过文件HASH方式查询文件信誉,是在不影响本地系统稳定性和性能条件下,对AV或者沙箱检测的有效增强模式。
3. IP情报:IP情报是互联网业务服务器防护场景下的情报数据,利用IP情报数据可以拦截已知的黑IP,对Web攻击报警进行优先级判断(甄别网络中大量存在的自动化攻击)并增加攻击相关的上下文信息。
威胁情报分析平台
一旦出现需要处理的报警,安全分析师需要有相应的工具进行误报识别、攻击类型判别并能够对攻击意图、团伙背景等做进一步分析。威胁情报分析平台就是以此为目的提供的专用工具。
以360威胁情报分析平台(ti.360.net)为例,针对一个域名可以提供下列的信息:
不同安全情报源对域名的判别信息;
域名关联的样本及恶意链接信息;
域名本身的访问量和最早存在时间、最近访问时间等;
已知和域名相关的攻击家族或者攻击团伙,以及对应的详情;
曾经提到这个域名的安全blog或分析报告;
域名曾经指向哪些IP;
域名的注册者信息;
……
利用这些信息可以掌握全球范围内主要情报源对查询域名的信息,判断域名是黑是白,被什么样的攻击者使用,使用的时间段和影响,并可以通过关联分析挖掘更多的内容。
提到关联分析大家往往会和攻击者溯源划上等号,但实际还有很多实用的场景,比如在一次攻击中发现的IP,我们希望了解是否会是定向性攻击,通过平台查询发现这些IP近期曾被黑产使用来做SPAM攻击,这样可以初步排除定向攻击的可能性。同样希望知道一次攻击中的几个IP是否属于同一团伙,可以参照通过情报平台的攻击历史信息外,还可以注意IP的地理位置、主机类型(网关、IDC主机、终端等)、操作系统等信息,这些都是做快速判断的有力依据。
关联分析需要一定的知识和经验基础,可视化是有效降低分析门槛的方式,特别是内置自动化分析模型的可视化分析,可以自动化展现查询对象相关的其它元素,并且对特殊对象通过一定方式标识出来。就象下面这个Fortinet 最近公布的某个IOC,虽然通过域名本身没有特别多上下文信息,但在可视化分析中,关联的攻击资源和虚拟身份可以一眼看清楚。
TTP情报(战术、技术、过程)
TTP情报是提供给安全分析师及安全管理者使用的人读情报,它关注于恶意软件、漏洞、攻击事件或者攻击团队,着重分析其目的、危害、机制、影响范围以及检测防范机制。这些情报可以让企业面向针对自己组织或行业的攻击,提前预防威胁的发生、或者获取威胁发生时的处理方法,同时分析师还能通过TTP情报扩展、积累安全狩猎的手段和方法。
还有一些特殊目的的TTP情报报告,在这里以360威胁情报中心发布过的试举两例:
1. 纠正外部错漏信息:2017年8月7日,Xshell软件厂商发布公告说在卡巴斯基的配合下解决了一个软件版本的安全问题,但没有公布技术细节和危害,因而未受到重视。而360威胁情报中心跟踪发现其组件含有后门代码,并且现网中有大量失陷主机信息被收集并可能被植入更多恶意组件,因此于8月14日率先发布分析报告,其它安全厂商也陆续确认此问题。最终引起大多数企业的重视开始处理相关风险。(参考链接:https://ti.360.net/blog/articles/analysis-of-xshell-ghost/ )
2. 综合类的分析报告:360威胁情报中心9月10日发布了《软件供应链来源攻击分析报告》,就是针对事件频发、影响极大且危害严重的供应链攻击方式,从攻击方式、典型案例、防护建议等多个方面,给用户提供详尽的情报信息。(参考链接:https://ti.360.net/blog/articles/supply-chain-attacks-of-software/ )
小结
威胁情报在国内还属于比较新的安全技术,但却是现阶段帮助组织快速提升检测、分析、预防预测能力的最佳选择,尤其是在态势感知这种综合能力建设过程中必须考虑到威胁情报。同时依托不同类型的情报产品,提高分析人员效率,让分析人员能力逐步成长,也是解决人才缺口行之有效的方法。