亚博全站APP登录

助力民航网安 安天力推实战化威胁猎杀

时间 :  2019年(nian)08月09日  来源:  安天


       以“坚守网(wang)络(luo)空(kong)(kong)间 护航(hang)民(min)航(hang)强国(guo)(guo)”为主题(ti)的(de)2019民(min)航(hang)网(wang)络(luo)安(an)全(quan)年会于8月(yue)8日至9日在(zai)哈(ha)尔滨举行(xing),年会由中国(guo)(guo)民(min)用航(hang)空(kong)(kong)局人事科(ke)教司指导、中国(guo)(guo)民(min)航(hang)大(da)学主办(ban)、民(min)航(hang)东北地区管理局协办(ban)。来(lai)自行(xing)业内(nei)外的(de)领导、专家、网(wang)络(luo)安(an)全(quan)从业人员等(deng)300余人齐聚一(yi)堂(tang),交流分享民(min)航(hang)网(wang)络(luo)安(an)全(quan)热点问(wen)题(ti)。作为引领威胁检测与防御能力发展的(de)网(wang)络(luo)安(an)全(quan)国(guo)(guo)家队,安(an)天在(zai)大(da)会报告(gao)环节力推实战(zhan)化威胁猎(lie)杀服务。

安(an)天(tian)技术负责人(ren)解读威胁猎杀

        年会(hui)上,安(an)天带来了(le)题为《实战化威胁(xie)猎杀(sha),让威胁(xie)无所遁形》的(de)(de)报告,强调了(le)在(zai)“敌已在(zai)内、敌情(qing)不明”的(de)(de)严峻形势下(xia)开展威胁(xie)猎杀(sha)工作的(de)(de)必须性;解读(du)了(le)威胁(xie)猎杀(sha)的(de)(de)定义与(yu)要素,详(xiang)细介绍了(le)安(an)天正在(zai)规划完善的(de)(de)威胁(xie)猎杀(sha)服务的(de)(de)整体运(yun)行(xing)流程(cheng),并(bing)总结了(le)安(an)天此前在(zai)与(yu)方程(cheng)式、海莲花等(deng)高级网空威胁(xie)行(xing)为体隔空对决的(de)(de)经验教训(xun)。

安天复盘(pan)“方程式组织(zhi)”攻击中东SWIFT服务商(shang)EastNets全过程

敌已在内,敌情不明

        回顾关键(jian)信(xin)息基(ji)(ji)(ji)础(chu)(chu)设施(shi)相(xiang)关的(de)重大安全(quan)事(shi)件(jian):震(zhen)网攻(gong)(gong)击的(de)成功是建立在(zai)火(huo)焰、毒曲恶意代(dai)码(ma)(ma)网络的(de)长(zhang)期运(yun)营、信(xin)息采集的(de)基(ji)(ji)(ji)础(chu)(chu)上;在(zai)发(fa)动网络攻(gong)(gong)击导致乌(wu)克兰电(dian)(dian)网大规模停电(dian)(dian)之前(qian),攻(gong)(gong)击方(fang)也(ye)同样对乌(wu)方(fang)机场、电(dian)(dian)视台等基(ji)(ji)(ji)础(chu)(chu)设施(shi)实现了恶意代(dai)码(ma)(ma)植入;今年(nian)6月,相(xiang)关媒体曝光(guang)美方(fang)从2012年(nian)开始就已(yi)经向俄方(fang)电(dian)(dian)网植入了恶意代(dai)码(ma)(ma)。这些浮(fu)出水面(mian)的(de)事(shi)件(jian)说明全(quan)球(qiu)大量(liang)关键(jian)信(xin)息基(ji)(ji)(ji)础(chu)(chu)设施(shi)已(yi)被高级网空威胁行(xing)为体长(zhang)期潜伏。

        面对严峻的(de)大国(guo)(guo)博弈和复杂的(de)地缘安全形(xing)势,我(wo)国(guo)(guo)信息基础设施需以“敌已在内”作为整个(ge)防御工作的(de)基本敌情设定,亟待全面建设动态(tai)综合防御体系,并展开“威(wei)胁猎杀”行动,从而做(zuo)到(dao)将潜伏(fu)威(wei)胁“找出来”和“赶出去”。

威胁猎杀的概念和要素

        威(wei)(wei)(wei)(wei)(wei)胁猎(lie)(lie)杀(sha)是(shi)深入的(de)(de)、以“人”为(wei)主导的(de)(de)调查过程,是(shi)积极(ji)防(fang)御层面一种(zhong)主动(dong)和迭代的(de)(de)威(wei)(wei)(wei)(wei)(wei)胁检测(ce)方法,旨在发现关(guan)键信息资产中(zhong)潜伏的(de)(de)威(wei)(wei)(wei)(wei)(wei)胁。威(wei)(wei)(wei)(wei)(wei)胁猎(lie)(lie)杀(sha)团(tuan)队(dui)、威(wei)(wei)(wei)(wei)(wei)胁猎(lie)(lie)杀(sha)工具、数(shu)据(ju)(ju)与知识(shi)是(shi)支(zhi)撑威(wei)(wei)(wei)(wei)(wei)胁猎(lie)(lie)杀(sha)的(de)(de)关(guan)键要(yao)素,三个要(yao)素之间相互协(xie)同配合。其中(zhong),高(gao)水(shui)平(ping)的(de)(de)威(wei)(wei)(wei)(wei)(wei)胁猎(lie)(lie)杀(sha)团(tuan)队(dui)是(shi)威(wei)(wei)(wei)(wei)(wei)胁猎(lie)(lie)杀(sha)工作的(de)(de)灵魂。威(wei)(wei)(wei)(wei)(wei)胁猎(lie)(lie)杀(sha)团(tuan)队(dui)需要(yao)自动(dong)化(hua)威(wei)(wei)(wei)(wei)(wei)胁猎(lie)(lie)杀(sha)工具的(de)(de)支(zhi)撑,而猎(lie)(lie)杀(sha)工具的(de)(de)有(you)效性(xing)取决于猎(lie)(lie)杀(sha)团(tuan)队(dui)的(de)(de)水(shui)平(ping);威(wei)(wei)(wei)(wei)(wei)胁猎(lie)(lie)杀(sha)工具以数(shu)据(ju)(ju)为(wei)采集和处(chu)理对象,实现知识(shi)与情报驱(qu)动(dong)的(de)(de)自动(dong)化(hua)关(guan)联(lian)分(fen)(fen)析;猎(lie)(lie)杀(sha)团(tuan)队(dui)分(fen)(fen)析数(shu)据(ju)(ju)产生知识(shi),数(shu)据(ju)(ju)与知识(shi)又能够为(wei)猎(lie)(lie)杀(sha)团(tuan)队(dui)提供威(wei)(wei)(wei)(wei)(wei)胁线索。。

威胁猎杀的支撑(cheng)三要素

安天威胁猎杀服务的整体运行流程

        威胁猎杀是(shi)一种协同(tong)(tong)(tong)配合的工作(zuo)(zuo)方法,基(ji)于工作(zuo)(zuo)性质、工作(zuo)(zuo)重(zhong)点部位(wei)与参与人(ren)员组(zu)织(zhi),安(an)天将威胁猎杀划(hua)分(fen)为威胁猎杀分(fen)析、现场协同(tong)(tong)(tong)与后(hou)台支撑服务、现场排查三个(ge)层(ceng)(ceng)(ceng)面。这三个(ge)层(ceng)(ceng)(ceng)面相应(ying)人(ren)员在负责各自工作(zuo)(zuo)的同(tong)(tong)(tong)时,也会(hui)根据其他层(ceng)(ceng)(ceng)次(ci)的输入信息进(jin)行工作(zuo)(zuo),并生成相应(ying)的输出信息给(ji)予(yu)不同(tong)(tong)(tong)的层(ceng)(ceng)(ceng)面,实现三个(ge)层(ceng)(ceng)(ceng)次(ci)相互之间的协同(tong)(tong)(tong)联动进(jin)而展开威胁猎杀工作(zuo)(zuo)。

        威胁猎杀分析层面

        由威(wei)胁(xie)猎杀分(fen)(fen)(fen)析师完成(cheng)此(ci)部分(fen)(fen)(fen)工作。威(wei)胁(xie)猎杀初(chu)期(qi),准备信(xin)(xin)(xin)息(xi)(xi)采集需求和部署方案,并向(xiang)(xiang)(xiang)现场下(xia)发观(guan)(guan)测(ce)(ce)信(xin)(xin)(xin)息(xi)(xi)采集节点部署需求。威(wei)胁(xie)猎杀分(fen)(fen)(fen)析师对观(guan)(guan)测(ce)(ce)信(xin)(xin)(xin)息(xi)(xi)库、报告库中的信(xin)(xin)(xin)息(xi)(xi)进(jin)(jin)(jin)行(xing)观(guan)(guan)测(ce)(ce)调(diao)查(cha),并结(jie)合威(wei)胁(xie)知(zhi)识,产生(sheng)初(chu)步的异常(chang),汇(hui)总(zong)调(diao)查(cha)观(guan)(guan)测(ce)(ce)信(xin)(xin)(xin)息(xi)(xi)形成(cheng)威(wei)胁(xie)线(xian)索(suo)。对威(wei)胁(xie)线(xian)索(suo)进(jin)(jin)(jin)行(xing)综合分(fen)(fen)(fen)析并结(jie)合威(wei)胁(xie)知(zhi)识提出/更新假设,确(que)定调(diao)查(cha)观(guan)(guan)测(ce)(ce)方向(xiang)(xiang)(xiang),进(jin)(jin)(jin)而开展(zhan)定向(xiang)(xiang)(xiang)观(guan)(guan)测(ce)(ce)调(diao)查(cha),汇(hui)总(zong)定向(xiang)(xiang)(xiang)调(diao)查(cha)观(guan)(guan)测(ce)(ce)信(xin)(xin)(xin)息(xi)(xi)形成(cheng)新威(wei)胁(xie)线(xian)索(suo),进(jin)(jin)(jin)行(xing)下(xia)一(yi)个周期(qi)。为了保(bao)证信(xin)(xin)(xin)息(xi)(xi)量(liang)充足,需定期(qi)启(qi)动对全量(liang)信(xin)(xin)(xin)息(xi)(xi)的观(guan)(guan)测(ce)(ce)调(diao)查(cha)。

威胁猎杀(sha)分析

        现场协同与后台支撑服务层面

        现(xian)场(chang)(chang)(chang)工(gong)(gong)(gong)程(cheng)师协(xie)同客户系(xi)统管(guan)(guan)理员(yuan)、控制工(gong)(gong)(gong)程(cheng)师、安(an)全(quan)管(guan)(guan)理员(yuan)完(wan)成(cheng)现(xian)场(chang)(chang)(chang)协(xie)同,逆向分析工(gong)(gong)(gong)程(cheng)师为现(xian)场(chang)(chang)(chang)协(xie)同提(ti)(ti)供后(hou)台(tai)支撑(cheng)服务。具体来说,现(xian)场(chang)(chang)(chang)相(xiang)关(guan)(guan)人(ren)员(yuan)根据下发的(de)增(zeng)补清单(dan)(dan)增(zeng)补部(bu)署观测(ce)信息采集点,基(ji)于现(xian)场(chang)(chang)(chang)取证(zheng)节点清单(dan)(dan)进行(xing)(xing)取证(zheng)调查(cha),并(bing)向后(hou)台(tai)提(ti)(ti)交(jiao)(jiao)样本和(he)相(xiang)关(guan)(guan)信息。逆向分析工(gong)(gong)(gong)程(cheng)师在(zai)后(hou)台(tai)对样本进行(xing)(xing)一(yi)系(xi)列分析之(zhi)后(hou),为现(xian)场(chang)(chang)(chang)输出样本分析报(bao)告(gao),并(bing)提(ti)(ti)供专查(cha)工(gong)(gong)(gong)具和(he)特征包。现(xian)场(chang)(chang)(chang)相(xiang)关(guan)(guan)人(ren)员(yuan)基(ji)于专查(cha)工(gong)(gong)(gong)具和(he)特征包指(zhi)导现(xian)场(chang)(chang)(chang)排(pai)查(cha)工(gong)(gong)(gong)作,并(bing)基(ji)于现(xian)场(chang)(chang)(chang)排(pai)查(cha)上报(bao)的(de)感染(ran)清单(dan)(dan),协(xie)同配合完(wan)成(cheng)处置工(gong)(gong)(gong)作。同时,现(xian)场(chang)(chang)(chang)相(xiang)关(guan)(guan)人(ren)员(yuan)会向报(bao)告(gao)库提(ti)(ti)交(jiao)(jiao)取证(zheng)、样本与感染(ran)报(bao)告(gao)。

现场(chang)协同与后台支撑

        现场排查层面

        基于(yu)下发的(de)特征包及(ji)其加载指南、专查(cha)(cha)(cha)工具(ju)及(ji)其使用(yong)手(shou)册,指挥协调员协同(tong)客户系统管理(li)员、安全管理(li)员、控制工程(cheng)师(shi)以(yi)及(ji)厂商维护工程(cheng)师(shi)完成现场排(pai)(pai)(pai)(pai)查(cha)(cha)(cha)工作。根据(ju)网络信(xin)息系统中不同(tong)业(ye)务场景,现场排(pai)(pai)(pai)(pai)查(cha)(cha)(cha)可(ke)分为自动(dong)化和手(shou)工排(pai)(pai)(pai)(pai)查(cha)(cha)(cha)两种。对于(yu)包含EDR/NDR等安全防御(yu)措(cuo)施(shi)的(de)业(ye)务场景,基于(yu)特征包及(ji)其加载指南进行自动(dong)化排(pai)(pai)(pai)(pai)查(cha)(cha)(cha);对于(yu)无法进行自动(dong)化排(pai)(pai)(pai)(pai)查(cha)(cha)(cha)的(de)业(ye)务场景,则基于(yu)专查(cha)(cha)(cha)工具(ju)及(ji)其使用(yong)手(shou)册开展手(shou)工排(pai)(pai)(pai)(pai)查(cha)(cha)(cha)。

现场(chang)排查

实战化威胁猎杀

        安天从2010年起,将整个威胁响应分析工作的重心切换到应对高级网空威胁当中,协助主管部门和客户,对“方程式”、“白象”、“海莲花”、“绿斑”等几十个高级网空威胁行为体及其攻击行动,进行持续监测和深度解析。但回看此前的工作,依然有比较浓重的以发现和深度分析恶意样本为导向的色彩。在不断总结经验教训的过程中,逐步理解了威胁猎杀工作的重要意义,开始不断完善相关流程和支撑能力。报告复盘了安天以异常加密通讯为线索,发现、分析、处置APT-TOCS(海莲花)组织活动,和以威胁情报驱动对方程式组织活动进行深入分析的相关工作。分别从APT-TOCS的威胁猎杀分析、现场工作、后端支撑、情报拓线分析、全网追溯等角度,以及方程式组织的外部情报和后端分析、定制提取和比对

       发和环境模(mo)拟、现场分析和排查(cha)处置、全网追溯等角度,总结了这些工(gong)(gong)作(zuo)中的(de)经验教(jiao)训,对比(bi)了安天传统(tong)工(gong)(gong)作(zuo)模(mo)式与威胁猎(lie)杀的(de)流程体系的(de)差距。

通过安天威(wei)胁情(qing)报(bao)(bao)综合分(fen)析平台 对APT-TOCS(海莲花)攻击的情(qing)报(bao)(bao)拓线

       安(an)天威(wei)(wei)胁(xie)情(qing)报综合分析(xi)(xi)(xi)平台(tai)依托(tuo)于(yu)安(an)天海量(liang)威(wei)(wei)胁(xie)动(dong)静态分析(xi)(xi)(xi)数据(ju)、黑(hei)客组织信息库、知识库和情(qing)报数据(ju),将零散线索通过拓线分析(xi)(xi)(xi)、关联分析(xi)(xi)(xi)、同(tong)源分析(xi)(xi)(xi)、协同(tong)人工分析(xi)(xi)(xi)输出更为丰富连贯(guan)的信息,可(ke)全面了解(jie)攻(gong)击(ji)者的攻(gong)击(ji)技(ji)术,同(tong)时可(ke)以生产用于(yu)防(fang)御威(wei)(wei)胁(xie)和攻(gong)击(ji)者追(zhui)踪溯源的向量(liang)级威(wei)(wei)胁(xie)情(qing)报。安(an)天为战(zhan)略客户提(ti)供私有(you)化(hua)的威(wei)(wei)胁(xie)情(qing)报分析(xi)(xi)(xi)中心建设方案。

安天(tian)产品通过高级威胁追(zhui)溯包服(fu)务协助客户完成全网追(zhui)溯

       安天高级威胁追溯包服务针对高级威胁行为体,建立包括通讯、文件、注册表、内存等的复合规则和检测脚本,安天智甲(EDR类产品)探海(NDR类产品)追影拓痕等产品和工具,均可更新或导入追溯包。客户订阅后,即可对高级威胁进行全网追溯。专业客户可以根据自身掌控的线索,定制“私有化”的追溯包。

       报告最后强调威(wei)(wei)胁猎(lie)(lie)(lie)(lie)杀(sha)(sha)是针对重要信息资产场景的(de)一种高投入服务。做好基(ji)础(chu)结构安(an)全(quan)和纵深防(fang)御(yu)(yu)层面(mian)的(de)工(gong)作,全(quan)面(mian)增(zeng)强网(wang)(wang)络的(de)可(ke)管理性(xing)(xing),并(bing)进(jin)一步(bu)改善可(ke)防(fang)御(yu)(yu)性(xing)(xing)将为威(wei)(wei)胁猎(lie)(lie)(lie)(lie)杀(sha)(sha)工(gong)作形成(cheng)良好的(de)基(ji)础(chu)支撑条件,全(quan)面(mian)降低威(wei)(wei)胁猎(lie)(lie)(lie)(lie)杀(sha)(sha)的(de)成(cheng)本。通过战术型态势感(gan)知平台(tai)指(zhi)挥控制(zhi)威(wei)(wei)胁猎(lie)(lie)(lie)(lie)杀(sha)(sha)的(de)积(ji)极防(fang)御(yu)(yu)层面(mian)的(de)安(an)全(quan)工(gong)作,可(ke)以进(jin)一步(bu)形成(cheng)一个高效的(de)围绕网(wang)(wang)空防(fang)御(yu)(yu)人员的(de)闭(bi)环体(ti)系(xi)(xi)。依托态势感(gan)知与积(ji)极防(fang)御(yu)(yu)体(ti)系(xi)(xi)支撑威(wei)(wei)胁猎(lie)(lie)(lie)(lie)杀(sha)(sha)工(gong)作,并(bing)通过常态化威(wei)(wei)胁猎(lie)(lie)(lie)(lie)杀(sha)(sha)驱(qu)动网(wang)(wang)空安(an)全(quan)防(fang)御(yu)(yu)体(ti)系(xi)(xi)持续完善和优化。




       民航(hang)(hang)业是我国(guo)经(jing)济(ji)社会发展重要(yao)的(de)战略(lve)产业,为(wei)我国(guo)改(gai)革开放和社会主义现代化(hua)建设作出了突出贡献。在信(xin)息(xi)(xi)化(hua)高(gao)新技术广泛应用(yong)于各个行业的(de)大形势下,民航(hang)(hang)业发展越来越多的(de)依(yi)赖于信(xin)息(xi)(xi)化(hua)的(de)发展。世(shi)界各国(guo)民航(hang)(hang)业都(dou)把加(jia)快信(xin)息(xi)(xi)化(hua)建设作为(wei)民航(hang)(hang)发展的(de)重要(yao)战略(lve)。在民航(hang)(hang)领(ling)域,一旦出现信(xin)息(xi)(xi)系统被攻(gong)击、无线电(dian)通信(xin)系统受到干扰、重要(yao)飞(fei)行信(xin)息(xi)(xi)被泄露、信(xin)息(xi)(xi)系统出现各种故障等情(qing)况,会使飞(fei)行安(an)全(quan)受到严重威(wei)胁,轻(qing)者会造成(cheng)航(hang)(hang)班正常运作中断(duan),重者会危(wei)及飞(fei)行安(an)全(quan)甚至国(guo)家安(an)全(quan)。

       安(an)(an)(an)(an)(an)天(tian)(tian)(tian)近年(nian)来承(cheng)(cheng)建(jian)民(min)(min)航网络(luo)(luo)与信息安(an)(an)(an)(an)(an)全(quan)(quan)管理平(ping)台,多方面保(bao)(bao)障(zhang)(zhang)(zhang)民(min)(min)航安(an)(an)(an)(an)(an)全(quan)(quan),及(ji)时(shi)提供应(ying)急(ji)服(fu)务支(zhi)撑。在(zai)中(zhong)国C919大(da)飞(fei)机首(shou)飞(fei)、中(zhong)国商飞(fei)、北京市交通(tong)(tong)(tong)委网络(luo)(luo)安(an)(an)(an)(an)(an)全(quan)(quan)管理体(ti)(ti)系建(jian)设等(deng)重大(da)项目中(zhong)安(an)(an)(an)(an)(an)天(tian)(tian)(tian)承(cheng)(cheng)担(dan)了(le)(le)(le)重要角(jiao)色,并获(huo)得了(le)(le)(le)客户的(de)(de)一(yi)致好评(ping)。为保(bao)(bao)障(zhang)(zhang)(zhang)首(shou)都(dou)机场各系统网络(luo)(luo)安(an)(an)(an)(an)(an)全(quan)(quan)运(yun)行(xing),安(an)(an)(an)(an)(an)天(tian)(tian)(tian)提供了(le)(le)(le)网络(luo)(luo)安(an)(an)(an)(an)(an)全(quan)(quan)综合保(bao)(bao)障(zhang)(zhang)(zhang)服(fu)务。在(zai)中(zhong)航信各产(chan)品(pin)线的(de)(de)威胁(xie)(xie)建(jian)模(mo)(mo)中(zhong),安(an)(an)(an)(an)(an)天(tian)(tian)(tian)提出并运(yun)用(yong)了(le)(le)(le)改(gai)进型的(de)(de)STRIDE模(mo)(mo)型,突破了(le)(le)(le)传统STRIDE模(mo)(mo)型所具(ju)有的(de)(de)局限(xian)性(xing)。安(an)(an)(an)(an)(an)天(tian)(tian)(tian)的(de)(de)探(tan)海(hai)流量威胁(xie)(xie)检测(ce)系统和追影高(gao)级威胁(xie)(xie)分析系统,基于安(an)(an)(an)(an)(an)天(tian)(tian)(tian)下一(yi)代(dai)威胁(xie)(xie)检测(ce)引擎(qing),为交通(tong)(tong)(tong)运(yun)输网络(luo)(luo)安(an)(an)(an)(an)(an)全(quan)(quan)评(ping)估及(ji)监测(ce)预警信息平(ping)台感知真实(shi)态(tai)势提供了(le)(le)(le)有效的(de)(de)数据(ju)支(zhi)撑。当前(qian)我国民(min)(min)航业仍面临着基础(chu)保(bao)(bao)障(zhang)(zhang)(zhang)能力不足、资(zi)源(yuan)环境约(yue)束增大(da)、发展不平(ping)衡等(deng)问题。面对新(xin)(xin)时(shi)代(dai)的(de)(de)新(xin)(xin)形(xing)势、新(xin)(xin)要求、新(xin)(xin)挑战(zhan)(zhan),通(tong)(tong)(tong)过参与此次民(min)(min)航网络(luo)(luo)安(an)(an)(an)(an)(an)全(quan)(quan)年(nian)会(hui),安(an)(an)(an)(an)(an)天(tian)(tian)(tian)期待(dai)与更多的(de)(de)民(min)(min)航业客户进行(xing)深入(ru)探(tan)讨交流,以新(xin)(xin)时(shi)代(dai)民(min)(min)航强国建(jian)设为指引,凭借自身成立19年(nian)来不断积累的(de)(de)网络(luo)(luo)安(an)(an)(an)(an)(an)全(quan)(quan)实(shi)战(zhan)(zhan)能力,为民(min)(min)航业的(de)(de)网络(luo)(luo)安(an)(an)(an)(an)(an)全(quan)(quan)能力体(ti)(ti)系建(jian)设作出贡(gong)献。