情报驱动的网络防御,由2011年洛克马丁公司发表的《Intelligence-Driven Computer Network Defense ,Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains》中提出。它沉淀了这家公司在应对APT类型(或者说网络间谍)威胁时的成功经验并进行了理论升华,早已成为经典。时至今日其中绝大部份的概念,依然对实际工作有重要的指导意义。下面简单分享一下笔者从中理解的几个点:
- 攻防双方的优劣势
- 弹性防御方案的演进
- 威胁情报分析和分享
一、攻防双方的优劣势
一般流行的说法,认为在网络攻防中攻击方具备较大的优势,只需要找到一个突破点就可以达到目的。但通过killchain,可以非常形象地了解到,即使有一个突破点可以完成武器的投送,距离完成整个攻击并造成实际的危害,还需要多个步骤:建立立足点、连接远控服务器、在目标网络内部的持续活动(横向移动、数据窃取并传输、痕迹消除等),不到最后阶段整个攻击就不能完成。这是防守方可以依赖的最大优势,如果充分利用的话,即使存在未发现/完善的攻击面,防守方还是会有时间和机会在实际危害发生前发现并遏制威胁,其前提条件是防守方的网络防御是依据killchain攻击路径建立弹性防御架构。
攻击者的另一个特点就是其资源也不是无限制的,学习新的技战术手法、开发新的攻击工具、部署相应的网络设施,这些都需要成本。即使是一些国家层面的攻击组织,在攻击工具和技战术手法升级的代价也比较高,甚至会经历数年时间。如果善用这个特点,就可以给攻防态势带来极大的改变,这个领域就是现在经常被提到的威胁情报。
二、 弹性防御
弹性防御,在军事上也叫做“纵深防御”,强调以全面深入的防御去延迟而不是阻止前进中的敌人,透过空间来换取时间。而更早弹性防御的概念似乎更多和分层防御相关,重心是不同的逻辑/隔离网络或者层次(如:网络层、系统层、应用层、数据层等),而在这篇文章中提供了另一个值得重视的视角——基于Kill Chain中不同阶段的攻击手段,是否提供了对应的防御、检测、缓解或欺骗等措施。使用Kill Chain模型可以方便的用来验证实际网络的是否具备弹性,可能欠缺的检测能力&技术是什么(如图1所示)。在原论文中使用了安全产品到弹性防御的一个映射关系,根据当前实际而言,可能难以直接套用,因为已知的IDPS、AV等产品,不同厂商产品的防护技术和实际能力范围有较大差异。
利用这个思想,另一个用途就是改善产品能力,保障相应的产品具备理想情况下应具备的安全功能。当前可以参考的除了洛克马丁的Kill Chain模型以及FireEye/Mandiant的另一个版本,ATT&CK也许更实用(毕竟它更晚推出),它的阶段划分更细致,同时也给出了每个阶段的攻击战术和检测思路。遗憾的是,检测思路非常简单,尚不能直接转化为实际的检测技术,需要不同厂商基于自身特点去创造性地建立相应的能力。
一旦防守方利用以上思路,在时间和空间上具备一定的主动性,要充分利用这种优势,就需要依赖情报分析和分享。
三、威胁情报分析和分享
设想下面的场景,攻击者利用钓鱼邮件+PDF 零day漏洞的方式发起一个攻击,在早期阶段我们有几种方法可能发现:邮件结构符合某些钓鱼邮件特征(发件IP、发件邮箱、邮件内容等)、对邮件附件进行启发式检测发现PDF附件的特殊性、漏洞利用成功后下载的进一步攻击工具被检测到恶意特征。在前两种情况下,因为邮件可能被及时拦截,因此往往不会有进一步的分析,而相应的零day漏洞没有被发现,还可以被隐秘地使用;在第三种情况下,成熟的事件响应团队也许会考虑回溯找到进入的路径,而多数事件响应团队做的是排查影响面并清除恶意软件。
可以看到传统的事件响应团队难以完成面向定向攻击需要进行的所有重要工作,需要观念、组织上的转变。因此在欧美一些重量级的安全运营团队中,我们会看到专职的情报分析师或者威胁情报团队,他们完成传统事件响应团队缺失的工作,从这些线索中发现更多的情报类数据:新的钓鱼邮件特点、0day漏洞/新攻击软件、新的远控服务器或者下载站点等,并将这些情报同步给内部的检测产品以及整个安全运营团队,包括可能的外部机构。这个过程当下被称为威胁情报分析和共享。
总结上面的例子,我们可以说在定向攻击场景下,事件分析是情报的最关键来源,而这篇经典也提供了是情报分析的重要方法论。
需要提出的这里的情报分析场景,并不是威胁情报当前唯一的场景。当前威胁情报使用场景已经被极大地扩展了,所应对的也不在仅仅是定向攻击类型的威胁,这就不在洛克马丁这篇文章的范围之内了。
小结
《情报驱动的网络防御》针对APT防御、威胁情报分析、弹性防御都有重要的意义,感兴趣的同行建议找机会读一下原文。
参考文档:
- [Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains ]
- Seven Ways to Apply the Cyber Kill Chain with a Threat Intelligence Platform
