经典阅读:Lockheed Martin 之“情报驱动防御”模型

Lockheed Martin 公司的《Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains》[1],除了大家耳闻能详的杀链模型,更多在介绍如何利用杀链进行安全分析和情报能力建设。这部分内容之前介绍不多,于是根据自己的理解形成一则读书笔记在此分享。

背景

文章发表于2011年,时值 APT 兴起。文中认为,传统“以漏洞为中心”的防御机制失效。同时传统的事件响应方法也并不适用,原因在于传统方法有两个错误的前提假设:响应只会发生在失陷之后(对应杀链模型,需要在入侵前期进行响应),且失陷由可修补的缺陷导致(对应APT中采用0-day)。因此,针对 APT 入侵的事件响应,需要在分析方法、流程以及技术上的演进。甚而希望基于对威胁的理解,能预计到并能缓解未来的入侵风险。

在此背景下,三位作者提出了以杀链为分析框架,并进一步阐述如何分析攻击对手,如何生成和应用情报,如何进行动态检测、防御和响应,建立“情报驱动的网络防御(Intelligence-driven Computer Network Defense 或 Intelligence Driven Defense)”。

所谓情报驱动防御,文中认为是一种以威胁为中心的风险管理战略,核心是针对对手的分析,包括了解对方的能力、目标、原则以及局限性,帮助防守方获得弹性的安全态势(resilient security posture),并有效指导安全投资的优先级(比如针对某个战役识别到的风险采取措施,或者高度聚焦于某个攻击对手或技术的安全措施)。情报驱动防御必然是一个持续、迭代的过程,通过分析、协同发现指标,利用“指标”去检测新的攻击活动,在调查过程又获得更丰富的指标。所谓弹性,是指从完整杀链看待入侵的检测、防御和响应,可以通过前面某个阶段的已知指标遏制链条后续的未知攻击;针对攻击方技战术重复性的特点,只要防守方能识别到、并快于对手利用这一特点,必然会增加对手的攻击成本。

下面先简要介绍杀链在整个情报驱动防御模型中的作用,然后重点介绍情报驱动的安全分析以及情报能力的建设。

杀链(Intrusion/Cyber Kill Chain)

作者认为,在APT 场景下需要对入侵有一个全新的理解,也即入侵是攻击者分阶段的进展而不局限于单次事件。于是他们将美国军方的 Kill Chain 概念(F2T2EA模型)应用到信息安全领域,用七个阶段结构化整个入侵过程:踩点 (Reconnaissance)、组装(Weaponization)、投送(Delivery)、攻击(Exploitation)、植入(Installation)、控制(C2)、收割(Actions on Objectives)。对应入侵每一阶段,防守方通过对入侵信息的了解,分析提炼出描述入侵信息的指标(Indicator)形成情报,并映射为相应的行动步骤(courses of action,CoA ),起到检测、缓解以及响应的作用。

除了阶段性的解构,杀链模型有如下两个重要价值,在动态攻防对抗中,使防守方可能具备优势。

  • “chain”的概念,意味着攻击方需要完成上述七个阶段的步骤才能达成目标,而防御方在某个阶段采取相应措施后就可能破坏整个链条、挫败对手。
  • APT攻击的特点,对手会反复多次进行入侵,并根据需要在每次入侵中进行技战术调整。考虑经济性,多次入侵中技战术必然有重复性和连续性。只要防守方能识别并快于攻击方利用好这一特点,必然迫使对手进行调整、从而增加其攻击成本。

情报驱动的安全分析

关于情报驱动的安全分析,文中介绍了两类重要的方法:入侵重构(Intrusion Reconstruction )和战役分析(Campaign Analysis )。

入侵重构(Intrusion Reconstruction )

杀链分析用于指导分析师完整地理解入侵过程。在这种新的分析模型下,分析师需要尽可能多地发现每阶段的属性,而不局限于单点信息。文中介绍了两种入侵重构的分析场景例子。一种是检测到入侵后期的活动,分析师需要完成针对之前所有阶段的分析。第二种检测发生在入侵前期,则需要对后续阶段做分析。

第一种情况,如下图所示,在C2控制阶段检测到某次入侵。分析师必须认为攻击者在之前所有阶段都已成功,并需要对此进行还原分析。举例来说,如不能复现入侵的投送阶段,那么就不可能在同一对手下次入侵的投送阶段采取有效的行动。而攻击方考虑经济性,一定会重用工具和架构,防守方在杀链中应用这类情报,将迫使对手在后续入侵中进行调整。

入侵后期检测分析.png

源:[2]

第二种情况,则是指针对失败入侵的分析也同样重要。文中提出了一种叫合成分析(Synthesis)的方法,如下图所示。防守方需要对已检测和防御到的入侵活动、尽可能全面地收集和分析数据,合成出未来入侵中可能绕过当前有效防御机制、在后续阶段采用的技战术。文中举例说明,基于已知指标,阻断掉了一次定向恶意邮件。通过杀链分析,发现在后续阶段会用到新的exploit或者后门。防守方针对该分析结果,比攻击方更快采取措施,则可继续保持战术优势。

入侵早期检测分析.png

源:[3]

文章第四节有一个实际案例分析,针对第一次入侵,应用情报防御了一个已知 0-day。通过每一次入侵的完整分析,获得更多指标。最后针对第三次入侵,通过投送阶段的已知指标(downstream IP地址:216.abc.xyz.76)遏制住了本次入侵后续阶段的未知0-day攻击。

实际案例.png

源:[4]

战役分析(Campaign Analysis )

上面入侵重构主要基于杀链的完整分析,而基于多次入侵的横向关联分析则可以识别彼此共性和重叠指标。上升到战略级别,防守方可以识别或定义战役(Campaigns ),将多年的活动与特定的持续威胁联系起来。通过战役分析,可以确定入侵者的模式与行为、技战术以及过程(TTP),旨在检测他们是“如何”操纵的、而不仅仅是他们做了“什么”。对于防守方的价值在于,基于逐个战役评估自身的安全能力,并基于单个战役的风险评估,制定战略行动路线弥补差距。战役分析的另一核心目标在于理解对手的攻击意图和目标,从而可能高度聚焦于针对某个攻击对手或技术的安全措施。

文中抽象出了两种战役分析方法。下图中左边的两次入侵,在杀链各阶段具有高度相关性,通过里面共性指标(白色)可以确认它们同属一个战役。右边的三次入侵,则具有不同程度的关联性。其中相对稳定、保持一致性的白色拐点指标,可被识别为关键指标,也即很大程度在同一战役的后续入侵中会被重复使用到的指标。这于防守方而言是可利用的有利条件。


战役分析.png

源:[5]

介绍了这篇文章中核心的情报驱动分析方法,势必会提出对情报能力的要求。情报能力建设本身是一个比较大的话题,下面仅介绍文中作者提出的理论。

情报能力的建设

文中定义指标(Indicator)为“情报”的基本要素,用于客观描述入侵的信息,具体分为三类:

  • 原子指标(Atomic):为保持其在入侵语境下的意义、不能再做分拆的指标,如IP地址、email地址以及漏洞编号。
  • 计算指标(Computed):从事件中所涉及数据派生出的指标。 常用计算指标包括Hash值和正则表达式。
  • 行为指标(Behavioral):计算和原子指标的集合,通常受到指标数量和可能组合逻辑的限制。 举例来说,可能是一段类似这样的描述,“入侵者最初使用后门,匹配“正则表达式”以某“频率”访问某个“IP地址”,一旦访问建立,就会用另一后门(MD5 hash值)进行替换。”

如前所述,情报驱动防御必然是一个持续、迭代过程,分析师通过分析、协同发现指标,将其应用到工具中做进一步完善,再将这些指标用于检测新的入侵活动。在针对这项活动的调查过程中,分析师通常又会获得更多的指标,而这些指标将受到同一套活动和指标状态的约束。这一行动周期和相应的指标状态形成了下图所示的指标生命周期。


指标生命周期和状态迁移.png

源:[6]

关于指标的有效性,需要考虑如下几种可能:

  • 通过某些IOC识别到攻击团伙,回到杀链的其他阶段做进一步分析,可能提取到更多关于对手新的IOC。
  • 随着某个攻击团伙使用的技战术或工具被曝光以后,可能为他人所用,那么这类IOC在分析时就不再具备唯一性和排他性。
  • 应用自身的变化可能导致IOC的失效,比如原来用的都是标准端口,但可能后面会变化、使用一些非标端口。

小结

综上,这篇文章最主要阐述了三个主题:

  • 安全形势变化下安全观念的转变,催生了情报驱动防御模型。
  • 杀链提供了一个攻击对手视角的分析框架。在杀伤链模型中存在防守方可利用的两个有利条件。
  • 在杀链分析框架下,只有情报和安全分析能力作为基石,防守方可利用的有利条件才可能转化为防守优势,形成弹性防御。

最后想说,其实这篇文章不但是威胁情报领域的经典,也更深地阐述了弹性防御这种较主动防御更高阶的防御方式。

  1. Eric M. Hutchins, Michael J. Cloppert, Rohan M. Amin, "Intelligence-driven Computer Network Defense Informed by Adversary Campaigns and Intrusion Kill Chains", Lockheed Martin Corporation, URL: https://www.lockheedmartin.com/content/dam/lockheed/data/corporate/documents/LM-White-Paper-Intel-Driven-Defense.pdf
  2. 同上
  3. 同上
  4. 同上
  5. 同上
  6. 同上
最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 203,098评论 5 476
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 85,213评论 2 380
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 149,960评论 0 336
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,519评论 1 273
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,512评论 5 364
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,533评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,914评论 3 395
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,574评论 0 256
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,804评论 1 296
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,563评论 2 319
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,644评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,350评论 4 318
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,933评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,908评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,146评论 1 259
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 42,847评论 2 349
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,361评论 2 342

推荐阅读更多精彩内容