亚博全站APP登录

智者伐道—感知空间中的新威胁

时间: 2018年1月19日 作者:关墨辰 来源:安天

【题记】

2018年1月(yue)11-12日,第五届安天网络(luo)(luo)安全冬训营(ying)在(zai)哈尔滨启幕(mu),安天网络(luo)(luo)监(jian)(jian)测(ce)(ce)(ce)产(chan)品中(zhong)心的(de)(de)(de)(de)同事发表(biao)了题为《智者伐道—感知空(kong)间(jian)中(zhong)的(de)(de)(de)(de)新(xin)威(wei)(wei)胁(xie)》的(de)(de)(de)(de)演(yan)讲。他指出网络(luo)(luo)威(wei)(wei)胁(xie)监(jian)(jian)测(ce)(ce)(ce)能力是“叠加演(yan)进(jin)安全模型”中(zhong)“积极防御(yu)”的(de)(de)(de)(de)驱动力之一(yi),也是 OODA 循环的(de)(de)(de)(de)关键一(yi)环。在(zai)本次分(fen)享中(zhong),他以(yi)实(shi)战(zhan)化的(de)(de)(de)(de)三个例子,介绍了如何(he)通过人机(ji)结(jie)合充分(fen)利用网络(luo)(luo)威(wei)(wei)胁(xie)监(jian)(jian)测(ce)(ce)(ce)能力、实(shi)现(xian)感知网络(luo)(luo)空(kong)间(jian)中(zhong)的(de)(de)(de)(de)新(xin)威(wei)(wei)胁(xie)。

2018年(nian)1月11-12日(ri),第五届(jie)安(an)(an)天网络(luo)安(an)(an)全冬训营在哈(ha)尔滨启幕,安(an)(an)天网络(luo)监测(ce)(ce)产品中(zhong)(zhong)心的同(tong)事发表(biao)了题为《智者伐道—感知空(kong)间中(zhong)(zhong)的新威(wei)胁(xie)(xie)》的演讲。他(ta)指出网络(luo)威(wei)胁(xie)(xie)监测(ce)(ce)能(neng)(neng)力是“叠加演进安(an)(an)全模型(xing)”中(zhong)(zhong)“积极防御”的驱动力之一(yi)(yi),也是 OODA 循(xun)环的关键一(yi)(yi)环。在本次分享中(zhong)(zhong),他(ta)以实(shi)战(zhan)化的三个(ge)例子(zi),介绍(shao)了如(ru)何通过人机(ji)结合充分利用网络(luo)威(wei)胁(xie)(xie)监测(ce)(ce)能(neng)(neng)力、实(shi)现感知网络(luo)空(kong)间中(zhong)(zhong)的新威(wei)胁(xie)(xie)。

以下(xia)为(wei)报告全文:

各(ge)位专家(jia)、老师,下午好。今天(tian)我(wo)给大家(jia)分(fen)享的(de)题(ti)目是“智者伐(fa)道(dao)——感知网(wang)络(luo)空间中的(de)新威胁”。主(zhu)要分(fen)为以(yi)下几个(ge)部分(fen):首先,让我(wo)们(men)回顾一下“叠加演进安全模型与(yu)OODA 循环”以(yi)及(ji)在其中作为驱动力(li)的(de)网(wang)络(luo)监(jian)测(ce)设备;然后,一起(qi)通过(guo)3个(ge)实例,来看在实战中如何更好的(de)使(shi)用(yong)网(wang)络(luo)监(jian)测(ce)设备;最后,我(wo)们(men)希望可以(yi)通过(guo)协同联动建立实战化的(de)防护体系(xi)。

网络监测在叠加演进安全模型与OODA的作用

在(zai)本届冬训营,安(an)(an)天(tian)的多(duo)位讲师都提到了(le)“叠加演(yan)进(jin)安(an)(an)全(quan)(quan)模型”,该模型从五个层次描(miao)述(shu)了(le)防(fang)(fang)护体系(xi)建(jian)设需(xu)要考(kao)虑(lv)的因(yin)素,主要包括:基(ji)础结(jie)构安(an)(an)全(quan)(quan)、被(bei)动(dong)防(fang)(fang)御(yu)(yu)(yu)、积极防(fang)(fang)御(yu)(yu)(yu)、情报、进(jin)攻性防(fang)(fang)御(yu)(yu)(yu)。而(er)如果要部(bu)(bu)署(shu)在(zai)合理的基(ji)础架(jia)构之上(shang),网络安(an)(an)全(quan)(quan)监测设备(bei)则属于(yu)被(bei)动(dong)防(fang)(fang)御(yu)(yu)(yu)的一部(bu)(bu)分(fen),其通(tong)过全(quan)(quan)天(tian)候、全(quan)(quan)方(fang)位的持续监测能力支撑(cheng)态势感知、消费威胁(xie)情报。尤其对于(yu)积极防(fang)(fang)御(yu)(yu)(yu)而(er)言,其核心驱动(dong)力来自持续监控与调用(yong)现有安(an)(an)全(quan)(quan)机制形(xing)成(cheng)的反击。因(yin)此(ci)对监测设备(bei)就(jiu)提出了(le)更高(gao)的要求,进(jin)而(er)衍生出了(le)安(an)(an)天(tian)探海(hai)威胁(xie)检测系(xi)统(以下(xia)简称探海(hai))这(zhei)类(lei)威胁(xie)监测设备(bei)。

图 1探海威胁监测(ce)能力体系架构(gou)

探海不仅从多(duo)个维度(du)对持(chi)(chi)续增大的(de)网(wang)络流(liu)量进行监测;同时也帮助用(yong)户实现全要(yao)素记录(lu)与(yu)威(wei)胁发现。这些(xie)能(neng)力由(you)细粒度(du)的(de)协议解析、威(wei)胁检测、行为记录(lu)等多(duo)种能(neng)力共同构成。这些(xie)监测能(neng)力在OODA循环中,主要(yao)用(yong)以支(zhi)持(chi)(chi)Observe(观察)、Orient(调整);而对于(yu)特定目标则(ze)要(yao)根(gen)据(ju)响应动作进行更完整的(de)记录(lu)。基于(yu)此(ci)安天经过多(duo)年(nian)的(de)积累形成了探海如今的(de)架构。

探(tan)海能(neng)够实(shi)现对(dui)流(liu)量(liang)的(de)(de)高性能(neng)捕(bu)获、并补充以协同日志。并可以进行(xing)细粒度的(de)(de)协议(yi)解析、根(gen)据需要进行(xing)全要素记录与场景(jing)化的(de)(de) 13 元组(zu)记录。同时其可在包、流(liu)、文件、元数据多个层次进行(xing)检测,用(yong)来(lai)支撑用(yong)户(hu)的(de)(de)Orient(调整(zheng));并通过(guo)基于(yu)威胁认知(zhi)的(de)(de)告警合并与多标签(qian)组(zu)合形成场景(jing),降低用(yong)户(hu)需要筛(shai)选的(de)(de)数据;另(ling)外还(hai)可以通过(guo)自定义规则(ze)与针(zhen)对(dui)关(guan)键目(mu)标的(de)(de)目(mu)标审计,实(shi)现对(dui)部分响应能(neng)力的(de)(de)支持。

具备了如上能力的探海(hai),要如何结(jie)合实战呢(ni)?我(wo)们从“美(mei)方”对攻击者(zhe)的作业流程(cheng)分(fen)析来看,在(zai)2016年一个军事展览会(hui)前培训(xun)上,美(mei)方将(jiang)攻击化为 Pre-Event、Get In、Stay In、Act 四(si)个阶段。我(wo)将(jiang)结(jie)合这几个阶段从实战角度分(fen)享一下如何进(jin)行(xing)网络(luo)威胁(xie)监测(ce)。

人机结合感知网络空间中的新威胁

提升感知 全要素监测威胁(鱼叉钓鱼)

第一个(ge)例子是鱼叉钓鱼,即(ji)针对性的(de)钓鱼攻击,监测设备常(chang)见的(de)部署(shu)位置主要(yao)包括:互联网边(bian)界(jie)(jie)、DMZ区边(bian)界(jie)(jie)、办公(gong)(gong)网边(bian)界(jie)(jie)、分(fen)支机(ji)构边(bian)界(jie)(jie)、核(he)心业(ye)务(wu)区边(bian)界(jie)(jie)、内(nei)部其他分(fen)区交界(jie)(jie)、重点主机(ji)或(huo)服(fu)务(wu)器(qi)(qi)(qi)所(suo)在交换机(ji)。如果一封邮(you)件(jian)发到企(qi)业(ye)的(de)邮(you)箱中(zhong),其流(liu)程(cheng)(cheng)可能是:先经(jing)过(guo)互联网边(bian)界(jie)(jie),然后(hou)进入(ru)DMZ区的(de)邮(you)件(jian)服(fu)务(wu)器(qi)(qi)(qi),再由(you)邮(you)件(jian)服(fu)务(wu)器(qi)(qi)(qi)经(jing)过(guo)办公(gong)(gong)网边(bian)界(jie)(jie)进入(ru)某(mou)个(ge)办公(gong)(gong)网中(zhong)。在这(zhei)个(ge)过(guo)程(cheng)(cheng)中(zhong),攻击者需(xu)要(yao)在事前了(le)解(jie)目标的(de)身份(fen);准备恶意附件(jian)、有漏洞(dong)的(de)格式文(wen)档、仿冒网站、宏病毒等等各种用于 Get In 侵入(ru)的(de)手段;在侵入(ru)之后(hou)则需(xu)要(yao)建(jian)立一条或(huo)多条命(ming)令控制通道。此时可以在产品中(zhong)看到一封邮(you)件(jian),并显(xian)示了(le)收件(jian)人、发件(jian)人和(he)一些相关的(de)标签。

攻击者(zhe)如(ru)何获取到这些身份信息呢?一(yi)种典型的(de)(de)方式是通过(guo)入侵路由器(qi)(如(ru)利用(yong)2017年曝光的(de)(de)路由漏洞)。如(ru)果要监(jian)测流量当(dang)中(zhong)的(de)(de)身份信息,就需(xu)(xu)要记(ji)录(lu)丰富的(de)(de)HTTP、SMTP/POP3/IMAP元数(shu)据。包括(kuo):域(yu)名、Cookie等等,并从中(zhong)发(fa)现泄漏的(de)(de)账号(hao)、QQ、IMEI、IMSI、收发(fa)件人(ren)、抄(chao)送等身份信息。在进一(yi)步Get In 的(de)(de)过(guo)程(cheng)中(zhong),则需(xu)(xu)要对(dui)传输的(de)(de)恶意(yi)代码进行检(jian)测、对(dui)元数(shu)据进行记(ji)录(lu)。积极防(fang)御(yu)假设攻击者(zhe)存在“先手优势”,攻击者(zhe)可以有充分的(de)(de)逃避(bi)检(jian)测的(de)(de)准备。这时(shi)候探海这类监(jian)测产品的(de)(de)记(ji)录(lu)功能就更重要。除了(le)记(ji)录(lu)附件下载以外,还需(xu)(xu)要记(ji)录(lu)账号(hao)、收发(fa)件人(ren)、抄(chao)送、正文中(zhong)的(de)(de)URL、附件行为。

实(shi)战中(zhong)我们(men)经常(chang)(chang)遇到一(yi)种情况,即看(kan)到一(yi)封钓鱼(yu)邮件(jian),但(dan)是不(bu)知道(dao)用(yong)(yong)户是不(bu)是真(zhen)的(de)(de)(de)受(shou)害(hai)了(le)(le),不(bu)知道(dao)用(yong)(yong)户是不(bu)是打开了(le)(le)附(fu)件(jian)。此(ci)时就(jiu)需要对(dui)后(hou)续的(de)(de)(de)可能进行预测,例(li)如:可能访问的(de)(de)(de)URL、域名、IP。通常(chang)(chang)追影这类行为(wei)(wei)分(fen)(fen)析(xi)产品(pin),就(jiu)适用(yong)(yong)于此(ci)场景,通过对(dui)附(fu)件(jian)的(de)(de)(de)行为(wei)(wei)进行分(fen)(fen)析(xi),提取其中(zhong)可能访问的(de)(de)(de)链接作为(wei)(wei)后(hou)续情况感知参考。此(ci)时就(jiu)要求追影能够辅助安全监控分(fen)(fen)析(xi)师、威(wei)胁分(fen)(fen)析(xi)师补(bu)全断链,揭示(shi)恶意代码行为(wei)(wei);输出能够指引(yin)分(fen)(fen)析(xi)师的(de)(de)(de)线索;为(wei)(wei)事(shi)件(jian)响(xiang)应(ying)专员提供处置依据(ju)。例(li)如刚刚的(de)(de)(de)邮件(jian)中(zhong),有一(yi)个钓鱼(yu)的(de)(de)(de)URL,访问之后(hou),我们(men)可以看(kan)到探海当(dang)中(zhong)记(ji)录(lu)了(le)(le)完整(zheng)的(de)(de)(de)元数(shu)据(ju)。通过访问的(de)(de)(de)HTTP 状态码,可以看(kan)到用(yong)(yong)户确实(shi)成(cheng)功访问了(le)(le)这个邮件(jian)中(zhong)的(de)(de)(de)钓鱼(yu)站点(dian)。

由于攻击者(zhe)的(de)先手优势存在,防御(yu)者(zhe)常(chang)常(chang)是(shi)响(xiang)应(ying)对手的(de)动(dong)作,那么(me)就(jiu)要(yao)求网络(luo)监测设备能够(gou)配合相关(guan)(guan)产品,全(quan)方位(wei)记(ji)录(lu)相关(guan)(guan)内容。而不仅仅是(shi)记(ji)录(lu)监测到的(de)威胁(xie)事件(jian),或(huo)者(zhe)告(gao)警日志(zhi)。对于当(dang)前(qian)实例(li)来说,探海(hai)(hai)除了威胁(xie)事件(jian)、告(gao)警日志(zhi)之外,还(hai)要(yao)记(ji)录(lu)HTTP/HFS/FTP/TCP(HTTP 元数据:域名、URL、Refer、User-Agent、Cookie 等以及根据场景(jing)自适应(ying)的(de) 13 元组信息)等各种文件(jian)传输。当(dang)我们(men)走出非(fei)黑即白的(de)逻(luo)辑,进(jin)行全(quan)要(yao)素记(ji)录(lu)时(shi),就(jiu)犹如从“盲(mang)人摸象”到到“庖丁解(jie)牛(niu)”。感(gan)知体系的(de)建(jian)立者(zhe),不得不考虑记(ji)录(lu)海(hai)(hai)量(liang)的(de)数据,只(zhi)有这样,才能清晰完整地感(gan)知发(fa)生(sheng)了什么(me)。

面对威(wei)(wei)(wei)胁(xie)的(de)(de)(de)长期性与(yu)(yu)潜伏性、全流量记(ji)(ji)(ji)录(lu)(lu)(lu)与(yu)(yu)分(fen)析(xi)并(bing)不适(shi)用(yong)。相比于(yu)传(chuan)统(tong),全要(yao)素(su)记(ji)(ji)(ji)录(lu)(lu)(lu)就像是(shi)(shi)一(yi)(yi)(yi)个(ge) 10万(wan)倍的(de)(de)(de)数据(ju)放(fang)大(da)器。就像安天(tian)(tian)某个(ge)用(yong)户一(yi)(yi)(yi)样(yang),如果仅(jin)记(ji)(ji)(ji)录(lu)(lu)(lu)威(wei)(wei)(wei)胁(xie)事(shi)件(jian)(jian),一(yi)(yi)(yi)天(tian)(tian)仅(jin)仅(jin)有51条,但(dan)其他事(shi)件(jian)(jian)超过 313万(wan)。所以(yi)最近几年,包括探海已开始以(yi)要(yao)素(su)形式记(ji)(ji)(ji)录(lu)(lu)(lu)相关(guan)(guan)的(de)(de)(de)事(shi)件(jian)(jian),实(shi)现按需采集。但(dan)在这(zhei)(zhei)个(ge)过程(cheng)中也发现了一(yi)(yi)(yi)些问题(ti),例(li)如:仅(jin)记(ji)(ji)(ji)录(lu)(lu)(lu)元(yuan)数据(ju)和(he)文(wen)(wen)件(jian)(jian) MD5 时网络(luo)与(yu)(yu)终端是(shi)(shi)脱节的(de)(de)(de),MD5 值并(bing)不能(neng)直接转化(hua)为恶意代(dai)码(ma)的(de)(de)(de)行(xing)(xing)为或相关(guan)(guan)行(xing)(xing)为的(de)(de)(de)痕迹。而通过安天(tian)(tian)下(xia)一(yi)(yi)(yi)代(dai)威(wei)(wei)(wei)胁(xie)分(fen)析(xi)引擎(qing)提取的(de)(de)(de)各种向量、与(yu)(yu)追影(ying)对文(wen)(wen)件(jian)(jian)的(de)(de)(de)行(xing)(xing)为揭示,可以(yi)补充这(zhei)(zhei)些断链。提取出的(de)(de)(de)向量虽然比原始数据(ju)小(xiao),但(dan)是(shi)(shi)仍(reng)然比传(chuan)统(tong)的(de)(de)(de)日志(zhi)要(yao)大(da)很(hen)多。因此按需记(ji)(ji)(ji)录(lu)(lu)(lu)和(he)基于(yu)“新类型事(shi)件(jian)(jian)”触发式的(de)(de)(de)记(ji)(ji)(ji)录(lu)(lu)(lu)就显得更为重要(yao)。通过这(zhei)(zhei)些努力,我们将需要(yao)记(ji)(ji)(ji)录(lu)(lu)(lu)的(de)(de)(de)数据(ju)大(da)幅(fu)度的(de)(de)(de)降低了。同时,利用(yong)元(yuan)数据(ju)、向量与(yu)(yu)多标(biao)签(qian)的(de)(de)(de)组合构成场景(jing)式的(de)(de)(de)规(gui)则,也有助于(yu)分(fen)析(xi)师降维数据(ju),决策/找到(dao)值得关(guan)(guan)注的(de)(de)(de)威(wei)(wei)(wei)胁(xie)。

持续监测 发现威胁滩头堡(水坑攻击)

积极防御中,人(ren)是关键不(bu)可缺少的(de)(de)(de)角色,人(ren)的(de)(de)(de)参与也必须是持续(xu)的(de)(de)(de)。无论是对鱼叉钓(diao)鱼,还是水坑(keng)攻击(ji)都是如此。这些人(ren)可以划分为不(bu)同(tong)的(de)(de)(de)角色,通过持续(xu)监(jian)控、快速研(yan)判(pan)、进行(xing)有效响(xiang)应并协同(tong)作战(zhan)形成体系。持续(xu)监(jian)控如何(he)发现水坑(keng)攻击(ji)呢?就是要(yao)找到(dao)攻击(ji)者的(de)(de)(de)滩(tan)头堡,找到(dao)他 Stay In 在(zai)哪(na)里,向(xiang)上追溯 Get In 的(de)(de)(de)过程。

对于恶(e)意代(dai)码(ma)的(de)传(chuan)播(bo)过(guo)程分析(xi)(xi),特别(bie)是二(er)次传(chuan)播(bo)与水坑(keng)(keng)攻击,探海(hai)也做了(le)强化。对于部署在(zai)(zai)相关位(wei)置的(de)设(she)备,要想发现水坑(keng)(keng)就需要找(zhao)到(dao)二(er)次传(chuan)播(bo)源(yuan),在(zai)(zai)二(er)次传(chuan)播(bo)源(yuan)形成的(de)过(guo)程中,探海(hai)可以看到(dao):HTTP/FTP/SMB 协(xie)议(yi)的(de)文件上传(chuan)行为、上传(chuan)内(nei)容格(ge)式;文件下载(zai)(zai)(zai)、下载(zai)(zai)(zai)格(ge)式。同时(shi)具备:后门载(zai)(zai)(zai)荷检测、网络军火漏洞(dong)识别(bie)、二(er)次传(chuan)播(bo)源(yuan)分析(xi)(xi)、样本行为分析(xi)(xi)。有了(le)这(zhei)些数据,才能更好的(de)支撑对传(chuan)播(bo)态势的(de)预测和对攻击路径的(de)溯源(yuan)。

响应驱动 切断攻击杀伤链(WannaCry)

除了日(ri)常(chang)看恶意代码(ma)传播态势、检(jian)查是否存在(zai)二次传播源意外(wai)、关注命令控制(zhi)服(fu)务(wu)器、检(jian)查身份泄漏以外(wai)。实际场景中(zhong)更常(chang)会遇到的(de)就(jiu)是被(bei)“通(tong)报”或者遭遇“威胁(xie)情报”,例如“魔窟”(WannaCry)。积极防(fang)御(yu)要求我们做持(chi)续地监控、持(chi)续地调(diao)(diao)用现有防(fang)御(yu)机(ji)制(zhi)进行响应,而不仅仅是在(zai)被(bei)通(tong)报时才做出动(dong)(dong)作(zuo)。在(zai)这个(ge)过(guo)程中(zhong),我们在(zai)防(fang)守范围(wei)内实施(shi)反击:内部猎杀(sha)恶意代码(ma)、针对性调(diao)(diao)整策(ce)略、调(diao)(diao)用现有的(de)安全(quan)机(ji)制(zhi)反击、消耗攻击者的(de)资源,改进基(ji)础结构、部署新的(de)被(bei)动(dong)(dong)防(fang)御(yu)措(cuo)施(shi)。

以 “魔窟”(WannaCry)为(wei)例,在(zai)日常(chang)的(de)工作过(guo)程(cheng)中,我们(men)需要(yao)如何思考?一个威胁发生(sheng)了,他(ta)针对谁?受害(hai)者在(zai)哪里?有哪些(xie)行(xing)(xing)为(wei)?做(zuo)了什(shen)么(me)?使用了什(shen)么(me)?下(xia)一步(bu)是(shi)什(shen)么(me)?加密(mi)破(po)坏(huai)、漏洞传播、连接开关(guan)(guan)域(yu)名是(shi)魔窟的(de)典型行(xing)(xing)为(wei)。开关(guan)(guan)域(yu)名可以帮助我们(men)确认受害(hai)者,存(cun)在(zai)相关(guan)(guan)开放端口、漏洞、后门的(de)主机则(ze)是(shi)潜在(zai)的(de)受害(hai)目标。利用持续(xu)监控能(neng)力(li),我们(men)就可以掌(zhang)握网内的(de)疫(yi)情,为(wei)联(lian)合终端、防火墙等进(jin)行(xing)(xing)疫(yi)情控制(zhi)做(zuo)好准备。通过(guo)对相关(guan)(guan)线索的(de)合并(bing),我们(men)可以建立重点(dian)威胁的(de)持续(xu)追踪能(neng)力(li)。

协同联动,建立实战化的防护体系

持续监控能力本身并不(bu)(bu)能将 OODA 完全(quan)闭环,只(zhi)有(you)协同(tong)(tong)联动(dong)的(de)防(fang)护(hu)体系(xi)才能做到(dao)。在(zai)这一点上,我们可以从斯诺登(deng)泄露的(de)材料中(zhong)(zhong)关于(yu)美方(fang)体系(xi)的(de)描(miao)述(shu)看到(dao),对于(yu)被(bei)动(dong)防(fang)御(yu),美方(fang)更(geng)多地是通过(guo)采购商业产品来(lai)构建(jian)。而(er)积极防(fang)御(yu)与(yu)(yu)感知体系(xi)则是在(zai)此之(zhi)上建(jian)立的(de),而(er)更(geng)上层的(de)情(qing)报体系(xi)与(yu)(yu)预警(jing)体系(xi)则更(geng)依赖外(wai)部情(qing)报服务。在(zai)防(fang)御(yu)体系(xi)的(de)建(jian)立上,美方(fang)是我们值得学习的(de),这个(ge)体系(xi)也是与(yu)(yu)叠加演(yan)进模型相(xiang)符的(de)。但在(zai)这其中(zhong)(zhong)的(de)积极防(fang)御(yu)、情(qing)报,都离不(bu)(bu)开不(bu)(bu)同(tong)(tong)角色人员的(de)参与(yu)(yu)。

图 2安(an)天核心技术支撑(cheng)的(de)实战化有效(xiao)防(fang)护体(ti)系(xi)

最后希望今(jin)天的分(fen)享能有助(zhu)于大家(jia)建立全天候、全方位持续监控(kong)网络威胁(xie)能力(li)与实战化的防御体系,感(gan)谢聆听。

演讲PDF地址:http://wtc.lineinthesandjumper.com/ppt/7-2018011206.pdf