[[346484]]

 引 言

隨著互聯(lián)網(wǎng)的不斷發(fā)展，越來越多的企業(yè)把信息存儲到與互聯(lián)網(wǎng)連接的設(shè)備上。一些不法分子企圖利用網(wǎng)絡(luò)漏洞竊取企業(yè)的重要信息和機密文件，攻擊者通過向目標主機發(fā)送特定的攻擊數(shù)據(jù)包執(zhí)行惡意行為。如何追蹤這些攻擊數(shù)據(jù)的來源，定位背后的攻擊者，成為了業(yè)內(nèi)人員重點關(guān)注的問題。

網(wǎng)絡(luò)攻擊溯源技術(shù)通過綜合利用各種手段主動地追蹤網(wǎng)絡(luò)攻擊發(fā)起者、定位攻擊源，結(jié)合網(wǎng)絡(luò)取證和威脅情報，有針對性地減緩或反制網(wǎng)絡(luò)攻擊，爭取在造成破壞之前消除隱患，在網(wǎng)絡(luò)安全領(lǐng)域具有非常重要的現(xiàn)實意義。

本文將分為上、下篇為讀者深度解讀，本周主要介紹網(wǎng)絡(luò)攻擊溯源技術(shù)背景及攻擊溯源過程。

背景介紹

近年來，網(wǎng)絡(luò)攻擊的攻擊者和防御者進行著類似于“貓捉老鼠”的動態(tài)游戲，攻擊者不斷地尋找新的受害者、攻擊載體和漏洞，防御者必須不斷地研發(fā)安全技術(shù)以抵御攻擊者。微軟公司的研究表明[1]，攻擊者暴露前在目標組織中潛伏的平均時間長達146天，在這段時間內(nèi)，駐留在網(wǎng)絡(luò)上的攻擊者可以秘密地竊取和泄露機密信息，或者對完整性資源進行破壞，圖1展示了攻擊者實施攻擊的殺傷鏈模型[2]。為了先發(fā)制人，網(wǎng)絡(luò)防御者需要在殺傷鏈的早期階段阻止攻擊者前進。目前信息安全行業(yè)已經(jīng)建立了集研究、分析和響應(yīng)高級持續(xù)威脅[3](Advanced Persistent Threats，APTs)于一體的方法論。

攻擊溯源技術(shù)，國外又被稱為“Threat Hunting”，是為了應(yīng)對外部APT攻擊者和內(nèi)部利益驅(qū)動的員工威脅而提出的一種解決方案。威脅狩獵[4]技術(shù)不被動地等待與響應(yīng)，而是通過持續(xù)性監(jiān)測技術(shù)，更早、更快地檢測和發(fā)現(xiàn)威脅，并追蹤威脅的源頭。威脅狩獵技術(shù)強調(diào)用攻擊者的視角來檢測攻擊，減少攻擊者駐留時間，從而顯著地改善組織的安全狀況。放眼世界，包括FireEye等為代表的廠商以及越來越多的大型組織也開始進行威脅狩獵。

圖1 殺傷鏈模型

攻擊溯源過程

為了提高攻擊溯源效率，建立完整的攻擊溯源過程非常重要。Sqrrl[5]安全公司開發(fā)了一個威脅狩獵典型模式，如圖2所示共包含產(chǎn)生假設(shè)、數(shù)據(jù)調(diào)查、識別溯源和自動化分析四個迭代循環(huán)的步驟。迭代的效率越高，越能自動化新流程，盡早發(fā)現(xiàn)新的威脅。

圖2 威脅狩獵典型模式

1. 產(chǎn)生假設(shè)

攻擊溯源從某種活動假設(shè)開始，高層次上可以通過風險算法自動生成假設(shè)。例如，風險評估算法可以得到基于APT生命周期[6]的行為分析(如建立立足點、升級特權(quán)、橫向移動行為等)，并將其量化為風險評分，為溯源分析提供開端。圖3展示了安全公司Mandiant提出的APT攻擊生命周期模型。

圖3 APT生命周期

2. 通過工具和技術(shù)進行數(shù)據(jù)調(diào)查

當前的追蹤溯源技術(shù)主要分為兩種：被動[7]和主動[8][9]技術(shù)。被動性技術(shù)包括針對潛在惡意行為警報進行取證調(diào)查和攻擊假設(shè)測試。主動溯源追蹤技術(shù)依靠網(wǎng)絡(luò)威脅情報[10][11](Cyber Threat Intelligence, CTI)產(chǎn)生攻擊假設(shè)，主動搜索潛在的惡意行為。在這兩種情況下都可以使用安全信息及事件管理(security information and event management, SIEM)中存儲的數(shù)據(jù)進行調(diào)查，幫助安全分析師更好地調(diào)整假設(shè)用來發(fā)現(xiàn)正在進行的APT攻擊。

不論采用哪種方式，都需要通過各種各樣的工具和技術(shù)研究假設(shè)。有效的工具將利用關(guān)聯(lián)分析技術(shù)如可視化、統(tǒng)計分析或機器學習等融合不同的網(wǎng)絡(luò)安全數(shù)據(jù)。

3. 識別溯源

識別溯源的過程也是新的模式和TTP(Tactics, Techniques, and Procedures)發(fā)現(xiàn)的過程。工具和技術(shù)揭示了新的惡意行為模式和對手的TTP，這是溯源周期的關(guān)鍵部分。MITRE開發(fā)了如圖4所示的ATT&CK框架[12]，ATT&CK是一個基于現(xiàn)實世界的觀察攻擊者戰(zhàn)術(shù)和技術(shù)的全球可訪問的知識庫，包含11種戰(zhàn)術(shù)，每一種又包含數(shù)十種技術(shù)，將攻擊者行為轉(zhuǎn)化為結(jié)構(gòu)化列表進行表示。

圖4 ATT&CK框架

4. 自動化分析

SANS[13]認為自動化是發(fā)現(xiàn)威脅的關(guān)鍵。傳統(tǒng)上溯源分析是一個手動過程，安全分析師運用相關(guān)知識對各種來源的數(shù)據(jù)驗證假設(shè)。為了更加高效地進行攻擊溯源分析，可以部分自動化或由機器輔助。在這種情況下，分析師利用相關(guān)分析軟件得知潛在風險，再對這些潛在風險分析調(diào)查，跟蹤網(wǎng)絡(luò)中的可疑行為。因此攻擊溯源是一個反復(fù)的過程，從假設(shè)開始以循環(huán)的形式連續(xù)進行。

參考文獻

[1]Microsoft. Azure Advanced Threat Protection[OL]. https://www.microsoft.com/en-us/microsoft-365/identity/advance-threat-protection

[2]Killheed Martin. The Cyber Kill Chain[OL]. https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html

[3]U.S. National Institute of Standards and Technology (NIST)[OL]. https://csrc.nist.gov/topics/security-and-privacy/risk-management/threats/advanced-persistent-threat

[4]RSA. Hypothesis in Threat Hunting[OL]. https://www.rsa.com/en-us/blog/2017-07/hypothesis-in-threat-hunting

[5]H. Rasheed, A. Hadi, and M. Khader. Threat hunting using grr rapid response[C]//New Trends in Computing Sciences (ICTCS), 2017: 155–160.

[6]Mandiant, Cyber Attack Lifecycle[OL]. https://www.iacpcybercenter.org/resource-center/what-is-cyber-crime/cyber-attack-lifecycle/

[7]Thomas B, Scott D, Brott F, et al. Dynamic adaptive defense for cyber-security threats[P]. U.S. Patent 10,129,290.S.

[8]I. Sqrrl Data. (2016) A framework for cyber threat hunting[OL]. https://sqrrl.com/media/Framework-for-Threat-Hunting-Whitepaper.pdf,https://www.threathunting.net/files/framework-for-threat-hunting-whitepaper.pdf

[9]I. Tyler Technologies. (2018) A guide to cyber threat hunting[OL]. https://www.tylertech.com/services/ndiscovery/nDiscovery-Threat-Hunting.pdf

[10]H. Rasheed, A. Hadi, and M. Khader. Threat hunting using grr rapid response[C]//New Trends in Computing Sciences (ICTCS), 2017: 155–160.

[11]S. Samtani, R. Chinn, H. Chen, et al. Exploring emerging hacker assets and key hackers for proactive cyber threat intelligence[J]. Journal of Management Information Systems. 2017,4(34):1023-1053.

[12]Miter. ATT&CK Matrix for Enterprise[OL]. https://attack.mitre.org/

[13]Lee, Robert M, and Rob T. Lee. SANS 2018 threat hunting survey results. SANS Institute Reading Room, 2018.

【本文為51CTO專欄作者“中國保密協(xié)會科學技術(shù)分會”原創(chuàng)稿件，轉(zhuǎn)載請聯(lián)系原作者】

戳這里，看該作者更多好文