亚博全站APP登录

态势感知的支撑和价值落地

时间: 2017年7月26日 作者:肖新光 来源:安天

一、 现状反思与回归本源

当前正在实施的较大比例的态势感知工程项目是基于大规模扫描探测或开源威胁情报向可视化效果的粗浅叠加,即“地图炮”,这就是态势感知当前的普遍实践。在这种庸俗化的倾向下,态势感知没有走向“鹰的眼睛、狼的耳朵(复合感知)、熊的力量(支撑体系)、豹的速度(响应)、人的大脑(决策)”,而是变成了一只“孔雀”,一种被美丽尾羽所负累的飞鸟。原本它应该是一个有效地进行观察、思考、决策的体系,但是现在其整体价值都被这种表现力所干扰。

安(an)天(tian)本(ben)身也(ye)是(shi)(shi)可视化技术的(de)先行探索者之一,这种(zhong)实践更告诉我们,单纯的(de)可视化改善(shan)不带来(lai)能(neng)力提升。2010年通过(guo)样本(ben)分(fen)析(xi)流水线仪(yi)表(biao)盘的(de)可视化,我们的(de)运维人员可以对整个(ge)后(hou)端样本(ben)自动化分(fen)析(xi)的(de)运行情况进(jin)(jin)行有效的(de)检(jian)测和干预。在后(hou)续整个(ge)处(chu)理(li)平台的(de)改进(jin)(jin)中,开发小组曾经尝试(shi)使用3D漫游(you)的(de)方式进(jin)(jin)行展(zhan)示,尽管机(ji)理(li)的(de)揭示更加(jia)直观,但是(shi)(shi)其(qi)实际价(jia)(jia)值(zhi)、运维价(jia)(jia)值(zhi)明显弱于2D界(jie)面。可见(jian),单纯表(biao)现力的(de)改善(shan)并(bing)没(mei)有带来(lai)生产(chan)力,甚至(zhi)会导致生产(chan)力的(de)后(hou)退。

在网络空间陷于“乱花渐欲迷人眼”之时,也许我们要回到传统空间去寻找一些启示和答案。正如我们多次强调的那样,网络空间并不是一个完全独立于传统空间的特异性场景。比如,在传统政经领域中,对于威胁的经典认知是“威胁是能力和意图的乘积”,而在网络空间的APT(高级持续性威胁)中,“A”(高级性)就是其能力,“P”(持续性)就是其意图,“T”就是威胁, “A”、“P”、“T”三者之间的关系是,“T”是“A”和“P”的乘积,这是符合传统的对于威胁的认知规律的。

网络空间的威胁之所以被逐渐重视,首先,不在于其特殊性,而在于其达成了传统空间攻击作业的等效性,并且逐步具有更高的效费比。这一点我们在之前的报告中通过对比“凋零利刃计划”、“巴比伦”行动(美国、以色列对伊拉克核反应堆的空中打击)与“震网”事件已经进行了阐述;其次,如果进一步去对比“震网”事件、“乌克兰停电事件”和伪装成“必加(Petya)”的攻击事件,我们可以看到,网络攻击关键信息基础设施的成本正在不断降低。

 

“震网”事件

“乌克兰停电事件“

伪装“必加(PETYA)“事件

主要攻击目标

伊朗核离心设(she)施

乌克(ke)兰(lan)电力系统

乌克(ke)兰系(xi)列关键信息基(ji)础(chu)设施

关联被攻击目标

Foolad Technic Engineering Co(该公司为伊朗工业设施生产自动化系统)
Behpajooh Co.Elec & Comp.Engineering(开发工业自动化系统)
Neda Industrial Group(该公司为工控领域提供自动化服务)
Control-Gostar Jahed Company(工业自动化公司)
Kala Electric(该公司是铀浓缩离心机设备主要供应商)

乌克兰最大机场基辅鲍里斯波尔机场
乌克兰矿业公司
乌克兰铁路运营商
乌克兰国有电力公司UKrenergo
乌克兰TBS电视台

乌(wu)克兰(副总理Pavlo Rozenko、国(guo)(guo)家(jia)储(chu)蓄银行(Oschadbank)、Privatbank等(deng)银行、国(guo)(guo)家(jia)邮政(UkrPoshta)、国(guo)(guo)家(jia)电信、市政地铁、乌(wu)克兰首都基(ji)辅的鲍里斯波(bo)尔机场(chang)、电力公司KyivEnergo),连带影(ying)响了部分周边国(guo)(guo)家(jia)。

作用目标

上位(wei)机(Windows、WinCC)、PLC控制系统、PLC

办公(gong)机(Windows)、上位机(Windows)、以太网-串口控制(zhi)器

办公(gong)机(ji)(Windows)、上位(wei)机(ji)(Windows)

造成后果

大大延迟了伊朗的(de)核计(ji)划

乌克兰(lan)伊万诺-弗兰(lan)科夫(fu)斯克地区(qu)大面积停电(dian)

乌克兰多个关键信息基础设施瘫痪

核心攻击原理

修改离心机压力参数、修改离心机转(zhuan)子转(zhuan)速(su)参数

通(tong)过(guo)控(kong)制(zhi)SCADA系统直接下达断电指(zhi)令

对文件进(jin)行加密(mi)并影响系统引导

使用漏洞

MS08-067(RPC远程执行(xing)漏洞)

未发现

MS17-010(1DAY)

MS10-046(快(kuai)捷方式文(wen)件解析漏洞)

MS10-061(打印机(ji)后台(tai)程(cheng)序服(fu)务漏洞)

MS10-07(内核模式驱动(dong)程序漏(lou)洞)

MS10-092(任务计划程序漏洞)

WINCC口令(ling)硬编码

攻击入口

USB摆渡

邮件发送(song)带有恶(e)意代码宏的文档

入侵(qin)软件升级

人员植(zhi)入(猜测)

前置信息采集和环境预置

可能(neng)与(yu)DUQU、FLAME相关

BlackEnergy采集打击一体(ti)

不详

通讯与控制

高度严密的加(jia)密通讯、控制体系

相对比较简单

TOR(暗网(wang))

恶意代码模块情况

庞大严密的(de)(de)模块体(ti)系(xi),具(ju)有(you)高度的(de)(de)复用性

模块体系(xi),具有(you)复用性

模块简单,具有复用性

抗分析能力

高强(qiang)度(du)的(de)本地加密,复杂的(de)调用机(ji)制

相(xiang)对比(bi)较简(jian)单,易于分析

相对比较简单,易(yi)于(yu)分析

数字签名

盗用三个主(zhu)流厂商数字签(qian)名

未使用数字签名(ming)

无效的微(wei)软数(shu)字签名

攻击成本

超高(gao)开发(fa)成本(ben)

相对较低

成本极低

超(chao)高维护(hu)成本

表 1 “震(zhen)网”事(shi)件(jian)、“乌克兰停(ting)电(dian)事(shi)件(jian)”、“必加(jia)”事(shi)件(jian)对(dui)比

在这(zhei)样的(de)(de)一(yi)(yi)(yi)个认知下(xia),网络(luo)空间(jian)领(ling)域与传统(tong)空间(jian)的(de)(de)特殊性、差异性,是(shi)建立在共性基础上的(de)(de)。下(xia)表是(shi)从安天公益翻译(yi)组正在翻译(yi)的(de)(de)《Cyber Defense and Situational Awareness》一(yi)(yi)(yi)书中所提炼出的(de)(de)一(yi)(yi)(yi)个图(tu)表。

 

传统战

网络战

领域

在很大程(cheng)度上是不变(bian)的(de)物理世(shi)界

虚拟世界是(shi)高(gao)度可(ke)塑的,容(rong)易被欺骗(pian)

军事政策

防御者(zhe)具(ju)有优势

攻击(ji)者(zhe)具有优势

数学定义

兰(lan)切斯特(te)方程(cheng)1定义(yi)的实(shi)兵(bing)对(dui)抗“交战”

网(wang)络活动(dong)是潜在的无规(gui)模的

必要资源

资源密集型,需要具有综合能力的组织(zhi)(即后勤保障(zhang))

资源非密集型:规模可小(xiao)到(dao)具有很少先(xian)决条件能力(li)的个人(ren)

威胁特征

物理上可观(guan)察

隐藏在网络中,可(ke)以(yi)采取多种形式

军队规模

依赖空(kong)间和时(shi)间,存在提前(qian)预警可(ke)能

不受约束,几乎没有提前告警

检测

通过(guo)多个可能性“命中点”分布,从(cong)ISR3资产传感(gan)器到巡逻(luo)单位

取(qu)决于(yu)自动化和基于(yu)规则(ze)的入侵(qin)检测系统(IDS);分析师梳(shu)理大量(liang)日志文件并(bing)创(chuang)建新的攻击签名

大数据挑战

管(guan)理数据收集、情(qing)报分析

检(jian)测(攻(gong)击(ji)相关(guan))取证分析

分析挑战

在(zai)民众(网(wang)(wang)络)中寻找(zhao)叛乱(luan)分子(zi)网(wang)(wang)络

寻找新(xin)的威胁/开发签(qian)名

攻击特征

在(zai)空间(jian)和(he)时间(jian)范围内(nei)展开(kai)

瞬间大量并行(xing)

影响

线(xian)性效应(ying)影(ying)响即时已知,可归因于对手

非(fei)线性(潜在(zai)级联)效应,其影响(xiang)可能(neng)隐藏、未(wei)(wei)知且(qie)长时间未(wei)(wei)被发现,不可归因(yin)于对手

战斗损伤评估(BAD)

可观测、可量化

一些具有许(xu)多潜在(zai)复杂(za)高阶效(xiao)应的可观察对象(xiang);需要取证,且可能(neng)需要数(shu)月

可视化

通用(yong)作战图(tu);反叛乱行(xing)动需(xu)要网络分析和(he)依赖图(tu)

攻击图、依(yi)赖图和网络地形

欺骗

主要体现在战略层面,需(xu)要大量的计(ji)划(hua),且资(zi)源密集型(xing)

主要(yao)体现在(zai)战术层面,计(ji)划需(xu)求少,非资源密集型

表 2传统战(zhan)争和网络战(zhan)争的(de)对比

因此,我们在看待态势感知时,要回归到其本源的要求。习近平总书记在4.19网信工作座谈会上要求我们实现“全天候、全方位感知网络安全态势”,结合态势感知的经典定义 “在一定时间和空间内观察环境中的元素,理解这些元素的意义,并预测这些元素在近期未来的状态”,那么态势感知的要求和定义之间的映射关系是,“全天候”是一个“时间”和“条件”的概念;“全方位”是一个“空间”的概念;“感”对应“观察”;“知”对应“理解”;“网络安全”意味着对应的认知域;“态”对应“元素的意义”;“势”对应“近期未来的状态”。这是对整个态势感知的一个有效理解。而观察、理解和预测,构成了态势感知工作的三个核心环节。

我们今天的网络态(tai)(tai)势(shi)感(gan)知(zhi)(zhi)(zhi)是需要从传统的态(tai)(tai)势(shi)感(gan)知(zhi)(zhi)(zhi)中汲取相(xiang)应的经验和(he)营养的,因为传统的态(tai)(tai)势(shi)感(gan)知(zhi)(zhi)(zhi)相(xiang)对(dui)更成(cheng)(cheng)熟(shu),其在军(jun)事对(dui)抗中由更大成(cheng)(cheng)本(ben)所支撑。传统态(tai)(tai)势(shi)感(gan)知(zhi)(zhi)(zhi)和(he)网络态(tai)(tai)势(shi)感(gan)知(zhi)(zhi)(zhi)可以(yi)从任(ren)务输出成(cheng)(cheng)果、相(xiang)应的表达(da)、信息(xi)的搜(sou)集和(he)组织(zhi)共(gong)(gong)享(xiang)、认(ren)知(zhi)(zhi)(zhi)偏(pian)差以(yi)及协作和(he)感(gan)知(zhi)(zhi)(zhi)共(gong)(gong)享(xiang)几个方面(mian)进行比(bi)较,通过(guo)比(bi)较可以(yi)发现,网络空间(jian)还面(mian)对(dui)很多尚未有(you)效(xiao)解决(jue)的问(wen)题。

 

传统态势感知

网络态势感知

研究导向

任务输出结果

其特点在于定量、有形的指标(例如(ru),敌方目标的位(wei)置和(he)数量)

任务(wu)定义(yi)指标尚未明了

制定与任(ren)(ren)务(wu)及任(ren)(ren)务(wu)结果相(xiang)关的网络态势(shi)感知(zhi)指(zhi)标

表达

倾向于使(shi)用(yong)普遍接受、广泛使(shi)用(yong)的组织(zhi)范例(li)——战(zhan)场的物理地形(例(li)如地图)

无地图式共同参照

共享(xiang)非物理网络“地图”研发

信息收集,组织与共享

及(ji)时处理(li)(li)关(guan)于当前战斗状态(tai)的(de)大量(liang)数据(例(li)如管理(li)(li)动(dong)态(tai)、移动(dong)和相对稀缺的(de)传感器)所带(dai)来(lai)的(de)挑战

需要对来自(zi)自(zi)动化传感器(qi)、入侵检测(ce)系统(tong)及相关分(fen)析报告的(de)异(yi)构信息(xi)进行组织、协(xie)调和(he)及时的(de)分(fen)析,上述问题构成了(le)严峻(jun)的(de)挑战。

能够有(you)效代表并融合抽象最佳层次(ci)信息(xi)的(de)方(fang)法

认知偏差

确认偏差和(he)可用(yong)性启发的(de)影响较大

风险规避、认知(zhi)偏差以及可用性启发式的(de)相关证据(ju)

关于认知(zhi)偏差(cha)的(de)形成及机制的(de)附加(jia)研究

协作/态势感知共享

必须控制、激励并同步协(xie)作(zuo),以减(jian)轻潜在的工作(zuo)人(ren)员认(ren)知(zhi)偏差(cha)和对(dui)宝(bao)贵认(ren)知(zhi)资源的误(wu)导

任(ren)务责任(ren)在个人层面进行管理(通常不共享)

鉴于(yu)网络领(ling)域的可塑(su)性,一套普适的概念、术语和边(bian)界对(dui)(dui)象对(dui)(dui)于(yu)网络态(tai)势(shi)感知开(kai)发至关重要,应成为研究的重中(zhong)之重

表 3 传统态势感知(zhi)和网络态势感知(zhi)的相似性与区别

想要达成一个有效的态势感知,也需要像OODA模型、学习战机飞行员“狗斗”一样,最后形成一系列可拆解的规定动作。这种规定动作就可以转化为人借助相应的工具所能达成的手工流程,再随着整个手工流程的实践逐渐转化为一个有效的、可以由专家经验和知识学习共同推动的过程。

态势感知第一层需求

态势感知第二层需求

态势感知第三层需求

时间

记录内容对告(gao)警(jing)评估的影响

预测的(de)来自已知(zhi)攻(gong)击(ji)事件的(de)攻(gong)击(ji)利用方(fang)式

识别特(te)征/数(shu)据包/协议

目的(de)端口活(huo)动对告(gao)警评估的(de)影响

预测的新威(wei)胁的攻击利用方式

内部IP地址(目的地址)

目的(de)节点对(dui)告警评估的(de)影响

预(yu)测的网络漏洞

外部节点(dian)IP地(di)址(zhi)(zhi)(源地(di)址(zhi)(zhi))

源IP对(期待中(zhong)的)告警评估(gu)的影响

预测(ce)的已(yi)知攻击(ji)者的活动

攻击事(shi)件的报告

近期攻击事件(jian)对(dui)报告的影响

预测的潜在攻击事(shi)件对(dui)网络的影响(xiang)

受控活(huo)动的流量行为

与预(yu)期目的(de)(de)(地址或端口)行(xing)为的(de)(de)偏(pian)差对告警评(ping)估的(de)(de)影(ying)响

预测(ce)的潜在攻(gong)击事件对任(ren)务的影响

来(lai)自外(wai)部(bu)来(lai)源的信(xin)息(xi)

端口和协(xie)议之(zhi)间关系对告警评估的影响(xiang)

告警评估

 

数据包载荷比对(dui)对(dui)告警评估(gu) 的(de)影响(xiang)

预(yu)测(ce)新的网络(luo)防御应对措施

 

恶意活(huo)动结(jie)果对现(xian)有应(ying)对措施和(he)防护(hu)方案的影响

预测(ce)的(de)可逃逸实时(shi)检测(ce)的(de)恶意(yi)活动(dong)类型

 

目的IP对确定真(zhen)实源IP的影响

预测(ce)的用于通(tong)信(xin)的信(xin)息水平

 

取证分析对行(xing)动方案(COA)的影响(xiang)

预测的相关(guan)攻击(ji)的更(geng)广(guang)泛牵涉范围

 

新(xin)的攻击利用方(fang)式(shi)对任务资产的影响

 

 

资产对进行(xing)中的任务的影响

 

 

攻(gong)击向(xiang)量(liang)对(dui)资产的影响(xiang)

 

 

通信(xin)历史记录(lu)对破坏评估(gu)的影响

 

 

时(shi)间对误报频率的影响

 

 

报告(gao)对告(gao)警评(ping)估的(de)影响

 

 

关联攻(gong)击事件对告警(jing)评估的影响(xiang)

 

 

异常(chang)行为(wei)对告(gao)警评估的影响(xiang)

 

 

受损节点对网(wang)络健康状态的影响

 

 

开放随机端口对网络漏洞的影响

 

 

红队(dui)(译者注:Red Forces,指网络(luo)安全对抗(kang)演练中负责进攻的团队(dui))对未来攻击(ji)的影响

 

 

系(xi)统漏洞利(li)用对未来(lai)攻击事件(jian)的影响

 

 

已(yi)知(zhi)攻击事(shi)件对潜(qian)在攻击利(li)用方(fang)式的影响

 

 

潜在攻击(ji)利用方式对威胁评估的影响

 

 

攻击(ji)向(xiang)量对攻击(ji)者身份的影响(xiang)

 

 

数据(ju)载荷大小对告警评估(gu)的影(ying)响

 

 

数据(ju)包载(zai)荷比对对告警评估的影(ying)响

 

表 4 网空行动操作员态(tai)势感知需(xu)求示例

所以,从工程意义上来看,态势感知注定是一套业务系统,而不是“展示系统”。

二、 改善我们的采集和对象处理

对于态(tai)势感知而言,应该是有“感”才能有“知”,那么当前“感”的能力是否足(zu)够(gou)(gou),是否能够(gou)(gou)有效支(zhi)撑价值?

2.1 SOC/SIEM与态势感知系统的差异

粗糙的(de)(de)(de)(de)(de)态(tai)(tai)势感知把大规模(mo)的(de)(de)(de)(de)(de)扫(sao)描器或者开(kai)源(yuan)(yuan)的(de)(de)(de)(de)(de)威(wei)胁(xie)情(qing)报叠加(jia)到可(ke)视化手(shou)段上;而业务化的(de)(de)(de)(de)(de)部分态(tai)(tai)势感知实(shi)践,则(ze)是(shi)在传(chuan)统(tong)SOC/SIEM的(de)(de)(de)(de)(de)基础(chu)上进一步做一些可(ke)视化展示能(neng)(neng)(neng)力的(de)(de)(de)(de)(de)加(jia)强(qiang)。这就带(dai)来了一个很有趣的(de)(de)(de)(de)(de)问题,从一个平台(tai)系(xi)(xi)统(tong)的(de)(de)(de)(de)(de)角度来看,态(tai)(tai)势感知是(shi)SIEM/SOC的(de)(de)(de)(de)(de)整(zheng)容版吗? SOC源(yuan)(yuan)自,有大量的(de)(de)(de)(de)(de)离散(san)的(de)(de)(de)(de)(de)安(an)全环(huan)(huan)(huan)节没(mei)有形(xing)成整(zheng)体能(neng)(neng)(neng)力,为达成对这些安(an)全环(huan)(huan)(huan)节的(de)(de)(de)(de)(de)有效组织(zhi),使之(zhi)成为一个相对协调(diao)的(de)(de)(de)(de)(de)整(zheng)体;SIEM源(yuan)(yuan)自,由于(yu)没(mei)有任何一种单一环(huan)(huan)(huan)节能(neng)(neng)(neng)采集所有信息,所以将(jiang)设备、应用系(xi)(xi)统(tong)和(he)产品(pin)的(de)(de)(de)(de)(de)日志,以及端点侧、流量侧不同的(de)(de)(de)(de)(de)安(an)全产品(pin)的(de)(de)(de)(de)(de)日志汇聚起(qi)来,基于(yu)整(zheng)个安(an)全事件(jian)与事故的(de)(de)(de)(de)(de)数据提交形(xing)成分析能(neng)(neng)(neng)力。

SOC和(he)SIEM都有(you)其历史价(jia)值(zhi)(zhi),但(dan)SIEM/SOC所面(mian)临(lin)的(de)(de)一个(ge)情况是,它们(men)都是晚于成熟的(de)(de)安(an)全产(chan)(chan)品(pin)(pin)品(pin)(pin)类(lei)产(chan)(chan)生的(de)(de),这(zhei)就带来了(le)一个(ge)问(wen)题(ti),这(zhei)些传(chuan)统产(chan)(chan)品(pin)(pin)自身的(de)(de)能(neng)力和(he)采集的(de)(de)覆(fu)盖(gai)面(mian)积,是否能(neng)够(gou)支(zhi)持当前全面(mian)性的(de)(de)威胁对(dui)抗场(chang)景(jing)下的(de)(de)要(yao)求?而(er)态势(shi)感知(zhi)则是要(yao)求我(wo)们(men)传(chuan)统的(de)(de)有(you)探(tan)针(zhen)价(jia)值(zhi)(zhi)的(de)(de)安(an)全产(chan)(chan)品(pin)(pin),逐渐转化为有(you)效的(de)(de)感知(zhi)探(tan)针(zhen)。

2.2 流量侧感知

以(yi)经典的(de)(de)(de)开源IDS Snort为例,总体(ti)上(shang)来看(kan),其是(shi)(shi)由被规(gui)则匹配(pei)到的(de)(de)(de)事(shi)件的(de)(de)(de)五(wu)元组和(he)相应的(de)(de)(de)规(gui)则名称构成相应的(de)(de)(de)基础(chu)日志,当然其也带有(you)一(yi)些局(ju)部的(de)(de)(de)扩展能力,但依然十分薄弱(ruo)。这(zhei)也意味(wei)着所有(you)不(bu)能够被规(gui)则匹配(pei)的(de)(de)(de)流(liu)量(liang)(liang)是(shi)(shi)不(bu)会(hui)被记(ji)录的(de)(de)(de),这(zhei)就使得传(chuan)统的(de)(de)(de)IDS先(xian)天(tian)不(bu)会(hui)是(shi)(shi)一(yi)个完整(zheng)的(de)(de)(de)流(liu)量(liang)(liang)分析和(he)记(ji)录的(de)(de)(de)工具,而流(liu)量(liang)(liang)分析和(he)记(ji)录工具往往又没有(you)相应的(de)(de)(de)威胁识别和(he)检测能力,因(yin)此,两者都很难(nan)完整(zheng)地服(fu)务于态(tai)势感知体(ti)系。

规则匹配记录异常、五元组解析对于流量侧的态势感知是不够的,需要在不同的协议分支上,展开更多的采集点和基础数据,使其无论是否匹配到威胁,都会进行符合工作配置要求的持续性数据积累。基于我们根据全数据解析设计的新版探海威胁检测系统,我们可以对传统IDS的采集能力和探海的全要素采集能力进行对比,可以看到,两者之间在采集要素方面具有较大的数量差异。

图 1传统IDS的采(cai)集能力与探海的全要素采(cai)集能力对比

可见,只有形成(cheng)非(fei)常细粒度(du)的(de)(de)流量侧的(de)(de)采集能力,同时在实际场景中(zhong),根(gen)据安全(quan)需求和(he)资源进行按需采集,并且根(gen)据专家经验渐进达到(dao)一种(zhong)自适应采集的(de)(de)程度(du),才有可能在当前安全(quan)威胁日趋高级(ji)和(he)隐蔽的(de)(de)情况下,在第一攻击波往往会(hui)(hui)注(zhu)定性地(di)穿透防线(xian)的(de)(de)情况下,达成(cheng)即使(shi)威胁未被检出(chu),但同样(yang)会(hui)(hui)形成(cheng)雁过留痕的(de)(de)可追溯数据的(de)(de)能力,从而(er)改变威胁对抗(kang)的(de)(de)时空。

2.3 文件对象处理

如果我们对流量侧和端点侧的数据进行相应的细腻解析,我们会捕获到大量的未知文件,那么对于这些文件,我们应该如何处理?作为国内最早探索沙箱技术并将其广泛应用到产品和工程实践中的团队,我们同样需要指出一种值得忧虑的倾向——正在把沙箱转化为一种合规性的环节,把沙箱视为一种鉴定器,把相应的对象丢入沙箱等候结果视为样本型对象处理的全部,却忘记了沙箱的更有效价值不是威胁鉴定,而是漏洞触发、行为揭示和威胁情报生产。沙箱是基于内部环境条件对样本进行执行分析,因此,沙箱带来的一定是样本要素的一个结果子集,不可能带来样本更全面的威胁覆盖。

实际上,大量样本在沙箱中是很难形成分析结果的,其中不乏很多经典事件的样本。例如,WannaCry(魔窟)的灭活域名机制,因很多沙箱有模拟对所有域名请求进行应答的机制,这将导致其第一时间被穿透;类似“震网”的USB摆渡行为,是基于复杂的逻辑定义的,类似于“方程式”的主机作业模块积木,每个积木块都难以单独执行运行,也难以触发对恶意行为的加权判断。因此,简单地把沙箱当作是“放之四海而皆准”的、有效的分析环节是完全不够的,仅仅依靠动态所形成的向量拆解也是不够的。更何况,当前大量的沙箱并没有作为一种向量拆解器被使用,而是作为一种简单的动态判定器被使用。

2.4 载荷检测引擎:从检测器到检测分析器

除了动态分析,一个有效的对象处理还需要进行深度的静态格式解析,这就必须改造传统的反病毒引擎。对于可检出的对象,传统检测引擎仅仅能够赋予一个相应的名称,从名称的角度来看,其提供了简单的分类、环境、家族和变种等信息,但是不能提供更多的信息。安天倡导下一代威胁检测引擎的意义是,其不仅仅是一个静态的鉴定器,更是具备全对象识别和解析能力的鉴定分析器。下一代威胁检测引擎可以针对任意对象输出包括检测结果和向量拆解结果的结构体,不仅仅具有检测功能,还能进行大量的向量提取,而利用这些提取出的向量,并经过相应的计算和标签化,就可以绘制出样本的行为,整个过程是不依赖于动态分析的。

对于传(chuan)统引(yin)擎和下(xia)一(yi)代引(yin)擎均无法检出的(de)(de)(de)对象(xiang),传(chuan)统引(yin)擎只给出了“这个(ge)文(wen)件(jian)是(shi)OK的(de)(de)(de)”的(de)(de)(de)结(jie)果(guo),但是(shi)下(xia)一(yi)代威胁检测引(yin)擎依然可以在无检出的(de)(de)(de)情况(kuang)下(xia)输出整个(ge)向量解析结(jie)果(guo),基于这些(xie)解析结(jie)果(guo),上层就可以通过决策来得出其具有反(fan)调试行为(wei)、键盘记录行为(wei)和获取系统信息行为(wei)等判断,从(cong)而实现向向量提(ti)取、知识(shi)标签的(de)(de)(de)转(zhuan)化(hua)。

图 2 传统检测引擎(qing)(左)和下一代引擎(qing)(右)的输出(chu)对比

从传统的威胁检测引擎和对象的鉴定器来看,其存在着一种有条件的分析,即是否能够告警决定了整个威胁的价值。而对于下一代威胁检测引擎而言,不存在单纯的有毒对象和无毒对象的概念,只存在分析对象的概念,将实现对一切对象的识别和拆解,并基于拆解结果构成一个分析大数据的空间。

图 3安(an)天(tian)下一(yi)代引擎(qing)的格式(shi)解析能力

2.5 端点侧全要素采集和全向量分析

假定这(zhei)种作业场(chang)(chang)景(jing)不是(shi)(shi)在网络侧,而(er)是(shi)(shi)在主机(ji)侧。主机(ji)上(shang)的(de)(de)对(dui)(dui)(dui)象(xiang),一(yi)方面(mian)(mian)具有基于(yu)下(xia)一(yi)代引擎针对(dui)(dui)(dui)每一(yi)个(ge)对(dui)(dui)(dui)象(xiang)的(de)(de)拆解(jie)结果;另一(yi)方面(mian)(mian)又具有主机(ji)上(shang)环境场(chang)(chang)景(jing)的(de)(de)向量化,以及对(dui)(dui)(dui)主机(ji)上(shang)所有对(dui)(dui)(dui)象(xiang)形成的(de)(de)向量集合,最后这(zhei)些内容将构成一(yi)个(ge)整体的(de)(de)向量大数据场(chang)(chang)景(jing)。在一(yi)定程(cheng)度上(shang),这(zhei)种基础能力也(ye)是(shi)(shi)对(dui)(dui)(dui)如今非常(chang)热(re)门的(de)(de)EDR模型的(de)(de)有效支持(chi)。

三、 有效防护和价值落地

今天是安天态(tai)势感知系列报告的(de)(de)第一(yi)篇,因此我希(xi)望(wang)不(bu)在(zai)决(jue)策方面做展开,而来谈一(yi)谈态(tai)势感知系统和有(you)效防护的(de)(de)关(guan)联(lian)以及(ji)价值落地的(de)(de)问题。

3.1 预见力未必能有效转化

态势感知系统首先一定是依赖于专家经验的,从安天自身的角度来看,我们曾做出了很多获得业内好评的预测。2015年5月27日 以及2016年11月4日 ,我们先后在两篇报告中明确指出了网络军火失控和外溢所带来的安全问题;在2016年的威胁年报 和其他文献中,我们对“勒索病毒采用更多方式进行投放”以及“蠕虫回潮”也做出了相应的预见。但是这些预见除了带动我们自身的产品和能力升级之外,是否带动了有效的社会能力提升?我们自身是持有反思态度的,其中很大的问题是,一个安全企业向公众、主管部门释放安全信息本身也存在着最佳成本时点问题。尽管我们在2017年3月对微软针对相关SMB服务的补丁提出关注,对4月14日的网络军火泄漏的大规模利用也提供了预警,但是从4月14日到5月12日之间,在发现了使用“永恒之蓝”漏洞的地下黑产程序后,我们反而没有特别明确地去强化这一漏洞可能会被大规模使用的观点。如果相关的安全资源在这一时间点有效地、密集地投放,那么针对可能出现的WannaCry式的威胁的防护就会变得相对更前期和有效,就将不再是一种预言家式的过前判断,而会有效地转化为行动能力。

3.2 从WANNACRY巨大响应成本看有效防护价值

如果对从3月发布相应补丁,到4月14日的漏洞利用,再到后续出现的黑产工具形成一个有效的分析链,我们将发现,这不是一个简单的规则匹配问题,其实是一个知识体系支撑的问题。针对WannaCry事件,我们的观点是,这次“应急处理”总体上是成功的,但是从整个社会机体响应WannaCry的情况来看,我国当前所面临的核心问题不是应急问题,而是一个无效防护的问题。

图(tu) 4 安天(tian)响(xiang)应“魔窟”蠕虫的时间表(biao)

勒索软件不应该是一种依靠应急响应去做普遍性应对的威胁形式。通过针对乌克兰的模仿成“必加”的攻击可以看到,这种攻击本身就是以破坏数据为目的的,那么我们应该如何进行相应的有效响应?只有通过有效防护去收窄最终的响应面,整个的社会应急成本才是收敛的。如果我们不能够普遍性地建立全社会的基础的有效防护能力,完全把相关责任抛给应急,就必然会呈现出需要处置的威胁不收敛的情况。

回退到具体的(de)(de)(de)(de)态势感(gan)知(zhi)(zhi)(zhi)系(xi)统来看,假(jia)如在一个(ge)态势感(gan)知(zhi)(zhi)(zhi)系(xi)统所防(fang)御的(de)(de)(de)(de)范围内,没有(you)基础的(de)(de)(de)(de)有(you)效(xiao)的(de)(de)(de)(de)防(fang)御能(neng)力,就势必要(yao)把大量的(de)(de)(de)(de)低级化的(de)(de)(de)(de)安全(quan)事(shi)件推送到态势感(gan)知(zhi)(zhi)(zhi)系(xi)统中,并进行相(xiang)应的(de)(de)(de)(de)决策和(he)处理,这就使得(de)需要(yao)态势感(gan)知(zhi)(zhi)(zhi)系(xi)统做(zuo)出判(pan)断和(he)人力研判(pan)的(de)(de)(de)(de)事(shi)件全(quan)面增加,所驱动的(de)(de)(de)(de)响应面呈(cheng)现出扩(kuo)散形势,导致整个(ge)态势感(gan)知(zhi)(zhi)(zhi)变成(cheng)了一个(ge)无法用来指导最(zui)终价(jia)值落(luo)地的(de)(de)(de)(de)环(huan)节(jie),因为整个(ge)事(shi)件是不收(shou)敛(lian)的(de)(de)(de)(de)。

勒索(suo)软件如果是(shi)基于文件加密的(de)(de)(de),必然会(hui)出(chu)现批量地读取文档文件,并进行(xing)大规模读写(xie)操作的(de)(de)(de)情况,一旦一种威胁的(de)(de)(de)形态(tai)具有一种可(ke)概(gai)括的(de)(de)(de)整体(ti)属性(xing),就可(ke)以形成(cheng)整体(ti)防御点。安天(tian)2016年10月之后的(de)(de)(de)“智甲”客户端版本都可(ke)以对这些(xie)行(xing)为进行(xing)拦(lan)截,但如果没有这些(xie)环节,那么后续(xu)就会(hui)更多的(de)(de)(de)依赖(lai)于大量手工工具的(de)(de)(de)持续(xu)处理,整个成(cheng)本将是(shi)不收敛的(de)(de)(de)。

而从之前非常(chang)流(liu)行(xing)的“暗云”木马的角度来看,假定(ding)一个(ge)安全(quan)产品并不具(ju)备对(dui)非常(chang)不正常(chang)的行(xing)为进行(xing)拦(lan)截(比如,对(dui)MBR的写入行(xing)为进行(xing)有效拦(lan)截)的功能,当这个(ge)木马写入MBR中,具(ju)备了(le)先(xian)发(fa)优势,而且在具(ju)有驱动且对(dui)检测(ce)和处置(zhi)MBR具(ju)有“保护机制”的情况下,整(zheng)个(ge)处理成(cheng)本(ben)将是非常(chang)高昂的。

图 5 安天“智甲”对(dui)“暗云”木马和(he)勒(le)索病毒的行为拦截

当然(ran),我们(men)并不能(neng)指望着(zhe)防御能(neng)处理所(suo)有(you)的问(wen)题(ti),如果单点防御能(neng)够处理所(suo)有(you)问(wen)题(ti),那么态(tai)(tai)势(shi)感知(zhi)就(jiu)将是(shi)无(wu)价(jia)值的,但是(shi)如果没(mei)有(you)基础(chu)的有(you)效(xiao)的防御能(neng)力,态(tai)(tai)势(shi)感知(zhi)将是(shi)无(wu)意义的。

四、 态势感知的视角与支撑

4.1 视角:从以事件为中心到以资产为中心

态势感知的一个合理视角应该是什么?当我们把大规模轻载扫描的漏洞探测结果叠加到地图上,并认定这是一种态势感知时,这实际上是一种节点脆弱性视角;当我们把流量侧数据简单地叠加到可视化上时,这实际上是一种检测事件维度的视角。如果从一个偏哲学意义的角度去认识态势感知,实际上,网络威胁态势感知是一个对网络空间中的主体、客体和关系进行认识和表达的过程,主体、客体和关系是认知论中的核心要素。无论是攻击组织、用户,还是安全厂商、机构或者其中的个体,都是主体;无论是攻击者所使用的计算机网络设备和工具,还是防御方所拥有的安全资产,都是客体。就客体而言,既包括有型的服务器、设备,也包括无形的数据资产;主体和主体之间存在着相应的关系,一个主体如果想要对另一个主体进行攻击,就是相应的意图,而攻击从攻击方的客体设施到达防御方的客体资产,就构成了关系。因此,安全事件是一个关系表达。

4.2 从威胁检测到威胁认知的提升

从这个角度来看,态势感知在很大程度上并不是一个威胁检测环节,它带来了威胁认知模式上的演进。从安天的威胁认知来看,我们将重要性的威胁拆解为几个维度:载荷(其中所使用的恶意代码和其他的软件工具)、行为(在主机上和网络上做了什么)、攻击方所使用的资源体系、攻击方所承载的攻击装备(攻击平台、载荷载具等)、攻击者是谁、攻击者的目的是什么、谁被攻击了、哪些资产被攻击了,以及对于相应的后果应该如何评价。这就是把传统的载荷检测、行为检测、信标检测转化为一个整体性的有依托的威胁认知。

用户的本质目的实际上就是通过相应的检测与防御最后阻断攻击者的意图,达成保护自身资产的可用性、可靠性、完整性和保密性的目的。安天认为态势感知是围绕资产(即客体)展开的,其对资产的信誉、风险进行评估,对资产与威胁的关系进行揭示,对主体进行画像,对主体与客体进行关联。

安天提出把(ba)威(wei)(wei)胁(xie)检测转化为威(wei)(wei)胁(xie)认(ren)知,并从九个维(wei)度来认(ren)知威(wei)(wei)胁(xie)。在(zai)相关(guan)的(de)(de)事件(jian)分析(xi)中(zhong),我(wo)们都在(zai)维(wei)护(hu)威(wei)(wei)胁(xie)认(ren)知图谱(pu)。我(wo)们可以看到(dao),传统的(de)(de)检测和防(fang)御都是在(zai)一个层面上,但(dan)是在(zai)当(dang)前的(de)(de)场景(jing)下,我(wo)们要把(ba)整个能力扩(kuo)展到(dao)一个更加宽阔的(de)(de)背景(jing)中(zhong),这就对相应(ying)的(de)(de)组织提出了更高(gao)的(de)(de)要求(qiu)。

图(tu)(tu) 6 来自南(nan)亚(ya)次大(da)陆(lu)的(de)部(bu)分APT攻击(ji)的(de)威胁认知图(tu)(tu)谱

4.3 支撑:“冰山”还是“大黄鸭”这是个问题

我们经常讲,一个优秀的网络安全企业应该是一个“冰山”,产品能力、服务能力都是水面上的部分,但是只有水面下的部分越庞大,也就是后端所拥有的支撑体系、数据体系和相应的人员组织体系越庞大,才能有效地支撑上面的部分。相对而言,当我们看到一个组织的全部能力都在水面之上时,我们相信其是一个“大黄鸭”型的厂商,这是一个不合理的结构,尽管看起来在水面上也有很多内容,但却是“风吹了就会被吹跑、针扎了就会被扎漏”的体系。

从我们自(zi)身(shen)的(de)(de)实践来看,安天在客户侧的(de)(de)引(yin)擎、产品体系、相关的(de)(de)服务所构成的(de)(de)有(you)效防护、事件响应、资(zi)(zi)产监(jian)测和威胁情(qing)报的(de)(de)价值链(lian)其(qi)实是(shi)受(shou)到后(hou)面(mian)一个庞(pang)大资(zi)(zi)源体系的(de)(de)支(zhi)撑(cheng)的(de)(de)。仅(jin)仅(jin)通过地面(mian)部队的(de)(de)冲锋是(shi)很难有(you)效冲破防线(xian)的(de)(de),必须有(you)后(hou)方强(qiang)大的(de)(de)包括侦查(cha)、火力打击(ji)在内的(de)(de)全套支(zhi)持(chi)。

4.4 建立应对安全问题的有效“敌情想定”

在(zai)(zai)当(dang)前(qian)整(zheng)个网(wang)络安(an)全(quan)实(shi)践(jian)中,之所以部(bu)分(fen)态势(shi)感(gan)知(zhi)(zhi)(zhi)(zhi)实(shi)践(jian)会流于(yu)表(biao)观化,会流于(yu)通过大规模互联网(wang)的(de)(de)(de)(de)(de)(de)手段进(jin)行一些(xie)威胁感(gan)知(zhi)(zhi)(zhi)(zhi)以及(ji)进(jin)行可视(shi)化,一定(ding)(ding)(ding)程度上(shang)是(shi)(shi)(shi)因为(wei)我(wo)们(men)当(dang)前(qian)的(de)(de)(de)(de)(de)(de)感(gan)知(zhi)(zhi)(zhi)(zhi)能(neng)力是(shi)(shi)(shi)不(bu)(bu)抵达关(guan)键(jian)目标内部(bu)的(de)(de)(de)(de)(de)(de),或(huo)者(zhe)说这种能(neng)力的(de)(de)(de)(de)(de)(de)抵达是(shi)(shi)(shi)不(bu)(bu)与后端的(de)(de)(de)(de)(de)(de)有(you)效分(fen)析(xi)感(gan)知(zhi)(zhi)(zhi)(zhi)环节联动的(de)(de)(de)(de)(de)(de),使得部(bu)署在(zai)(zai)真(zhen)正的(de)(de)(de)(de)(de)(de)关(guan)键(jian)场景中的(de)(de)(de)(de)(de)(de)安(an)全(quan)产(chan)(chan)品或(huo)者(zhe)感(gan)知(zhi)(zhi)(zhi)(zhi)手段变成(cheng)(cheng)了(le)一种无支援的(de)(de)(de)(de)(de)(de)能(neng)力。这说明我(wo)们(men)的(de)(de)(de)(de)(de)(de)网(wang)络安(an)全(quan)实(shi)际上(shang)是(shi)(shi)(shi)缺少“敌情想(xiang)定(ding)(ding)(ding)”的(de)(de)(de)(de)(de)(de),当(dang)前(qian)所采用的(de)(de)(de)(de)(de)(de)“物理(li)(li)隔离+好人(ren)假(jia)定(ding)(ding)(ding)+规定(ding)(ding)(ding)推演(yan)”,构(gou)成(cheng)(cheng)了(le)最(zui)大的(de)(de)(de)(de)(de)(de)自我(wo)麻(ma)痹。物理(li)(li)隔离本身是(shi)(shi)(shi)一种重要(yao)的(de)(de)(de)(de)(de)(de)安(an)全(quan)手段,但它不(bu)(bu)是(shi)(shi)(shi)安(an)全(quan)的(de)(de)(de)(de)(de)(de)目的(de)(de)(de)(de)(de)(de)。物理(li)(li)隔离的(de)(de)(de)(de)(de)(de)当(dang)下实(shi)践(jian),在(zai)(zai)一定(ding)(ding)(ding)程度上(shang),是(shi)(shi)(shi)把安(an)全(quan)能(neng)力的(de)(de)(de)(de)(de)(de)支援挡在(zai)(zai)了(le)物理(li)(li)域(yu)的(de)(de)(de)(de)(de)(de)外(wai)面,却把对手放(fang)进(jin)来肆意为(wei)之,再加上(shang)假(jia)定(ding)(ding)(ding)内部(bu)都是(shi)(shi)(shi)好人(ren),以及(ji)假(jia)定(ding)(ding)(ding)安(an)全(quan)规定(ding)(ding)(ding)是(shi)(shi)(shi)完备的(de)(de)(de)(de)(de)(de),使得人(ren)们(men)认为(wei)对互联网(wang)开(kai)放(fang)资产(chan)(chan)的(de)(de)(de)(de)(de)(de)探测和可视(shi)化的(de)(de)(de)(de)(de)(de)叠加就是(shi)(shi)(shi)有(you)效的(de)(de)(de)(de)(de)(de)态势(shi)感(gan)知(zhi)(zhi)(zhi)(zhi)。

总书记在4.19讲话中曾指出“物理隔离防线可被跨网入侵”。只有建立有效的“敌情想定”,才能使整个感知能力环节有效地向关键目标抵近,并建立起与整体态势感知平台的有效联系,才能最大化地降低隔离所带来的安全影响,发挥安全的支撑价值。一个合理的大系统安全规划应该基于:内网已经被渗透,供应链被上游控制,运营商网络的关键路由节点被控制,物流仓储被渗透劫持,关键人员和周边人员被从互联网侧进行定位摸底,内部人员中有敌特的人员派驻或被发展;要立足于战时高烈度对抗、平时持续性对抗,以及在平战中皆为无底线对抗和高成本对抗。

4.5 警告:态势感知不只是一种防御能力

最后,我们还是想做一个小小的提醒——态势感知不只是防御侧的能力,强大的攻击方也一直在建立相应的态势感知能力。比如,NSA的CamberDaDa计划,是在NSA通过渗透他国运营商体系已经形成的前出监测能力中去挖掘其攻击目标与安全厂商之间的通讯,检查其中是否有相应的信息求助和样本发送,从而判断自身攻击是否暴露。对于攻防双方而言,无论是态势感知,还是人工智能,包括威胁情报,各种技术其实都是攻防双方的公共地带,从来都不是防御方所独有的垄断方法。

4.6 结束语

我们需要警惕的是,我们在万花筒里自以为看尽了世界,而对手却在阴影里用望远镜详细看着我们。安天人距离自身所追求的态势愿景依然有很大的差距,但是我们将不遗余力地去感知真实态势,做真态势感知。