安全文库

【技術分享】 360威脅情報中心:態勢感知中的威脅情報


【技術分享】 360威脅情報中心:態勢感知中的威脅情報

2017-09-18 14:03:32 閱讀:7301次 點贊(0) 收藏 來源: 安全客

作者:360天眼實驗室


【技術分享】 360威脅情報中心:態勢感知中的威脅情報

本文是此次 2017 ISC 大會同名演講的文字版,對當時因為時間限制沒有展開的內容做了着重闡述。


態勢感知是一個大數據分析問題


態勢感知是一種安全能力建設,這種能力側重於威脅的檢測、分析。恰好適應了當前單純在防禦上進行投入,已經無法有效應對當前威脅的現狀。因此在4.19講話催化下,迅速成為了最重要的安全熱點。

態勢感知的基礎是對報警和元數據的收集,需要在流量、內容、終端三個方面,利用實時數據和歷史數據進行檢測。但單純報警的可視化展示並不是真正的“態”。要呈現當前的“態”,需要針對報警或者異常,進行誤報甄別、定性分析(識別定向型攻擊或是隨機性攻擊)、了解攻擊的影響範圍和危害、確定緩解或清除的方法及難度等等。在這個前提下,再對組織面臨安全事件全面呈現才能夠稱為“態”。而“勢”則是未來可能的安全事件或狀態,這種預測可以基於對已知攻擊者的意圖、技戰術特點以及Killchain分析得出,如果能夠獲得相關行業或者組織的情報共享,無疑可以更全面的掌握“勢”。因此我們可以認為,態勢感知在某種意義上是一個大數據安全分析的問題(現今任何安全話題好像都可以這麼說)。

提到大數據分析,最直接聯繫到的另一個詞彙應該就是機器學習了。但現階段機器學習或者人工智能在安全中的作用沒有一般想象的大。著名的大數據分析公司Palantir認為:如果數據源自許多不同來源、難以保證數據完備性、或者對手有意識對抗檢測等條件下,難以完全依賴機器學習,更多還是需要安全分析師的介入。另一方面講,機器學習發現的異常是沒有上下文的,如果對這種異常要進行處置,也需要分析人員的介入,就以機器學習最成熟的發現DGA域名為例,它不能告訴安全運營者,這個DGA域名對應着一個勒索軟件、蠕蟲木馬,還是一個APT攻擊,是否是DNS傳輸隧道等?沒有這些信息就無法對事件進行有效處置。最後,機器學習的誤報率還是不能得到很好的控制,根據趨勢公司今年給出的資料,機器學習的誤報率相對於傳統的規則檢測要高100倍以上。總之,隨着機器學習技術的發展,我們可以依靠它來提供分析人員的效率,但並不能完全替代。安全分析師依然是最重要的資源。


安全分析能力需要逐步建設


成熟的安全分析師對大多數組織來說,可遇不可求。在這種條件下,如何建設態勢感知能力呢?下面提供一種逐步漸進的發展路徑供參考:

1. 基於可機讀威脅情報起步:以IOC為例,及時發現失陷主機是防範重大損失實際發生的關鍵,IOC情報依賴DNS日誌或者上網行為日誌就可以進行檢測分析。並且提供攻擊類型、團伙、攻擊方式、危害以及處置建議等上下文信息。對內部數據、外部情報以及對人的要求都較簡單,作為起步非常適合,讓安全人員對檢測、分析、研判、處置整個過程能夠有實際的操作和理解。

2. 由現有產品提供的已有分析模型進階:好的大數據分析類產品(開源或商用)都會提供一些典型的安全分析場景,如何發現異常、如何通過情報快速排查、如何利用內部數據深度調查分析。利用這些現有產品完成更多內部數據的收集、掌握進一步的安全分析技能,無疑是最方便、可行的途徑。

3. 通過TTP情報(攻擊者的戰術、技術和攻擊過程),進一步增強異常分析能力:如果經過前兩個階段,組織在數據採集能力、情報收集能力和安全分析師的個人能力上都有比較穩固的基礎了,那麼可以在着重收集和自己行業、組織相關的TTP類型的威脅情報,了解攻擊者的技戰術特點,嘗試在數據分析平台中查找相對應的線索並進行研判。

4. 通過自動化工具固化成熟的分析模式:最終組織內的內部數據、外部情報相對穩定,分析的模式和過程相對固化和清晰,這時候就需要將其中可以自動化完成的部分通過不同方式實現。以達到高效運維、避免安全分析師過多陷入簡單重複勞動的目的。

整個過程,無疑是以威脅情報為中心的。其中涉及到多種不同的威脅情報,下面一一為大家介紹。


可機讀威脅情報MRTI


可機讀情報更多的是為安全產品賦能,讓它們可以檢測發現更多的關鍵性威脅,同時為報警提供優先級、上下文等事件響應必要的內容,讓設備更聰明,人也更容易響應處置。最常見的可機讀情報分3類:

1. 失陷檢測IOC情報:用以發現內部被APT團伙、木馬後門、殭屍網絡控制的失陷主機,類型上往往是域名、URL等,從趨勢上看通過攻擊一些合法網站部署CnC架構的比例在上升,因此URL類型的檢測必要性在增加。

2. 文件信譽:單一病毒引擎對文件的檢測能力難以滿足現實的需要,基於雲端大量樣本庫,通過多引擎、沙箱、yara規則等檢測分析方式,可以更全面準確的得到惡意文件的類型、家族以及其它信息。通過文件HASH方式查詢文件信譽,是在不影響本地系統穩定性和性能條件下,對AV或者沙箱檢測的有效增強模式。

3. IP情報:IP情報是互聯網業務服務器防護場景下的情報數據,利用IP情報數據可以攔截已知的黑IP,對Web攻擊報警進行優先級判斷(甄別網絡中大量存在的自動化攻擊)並增加攻擊相關的上下文信息。


威脅情報分析平台


一旦出現需要處理的報警,安全分析師需要有相應的工具進行誤報識別、攻擊類型判別並能夠對攻擊意圖、團伙背景等做進一步分析。威脅情報分析平台就是以此為目的提供的專用工具。

【技術分享】 360威脅情報中心:態勢感知中的威脅情報

以360威脅情報分析平台(ti.360.net)為例,針對一個域名可以提供下列的信息:

不同安全情報源對域名的判別信息;

域名關聯的樣本及惡意鏈接信息;

域名本身的訪問量和最早存在時間、最近訪問時間等;

已知和域名相關的攻擊家族或者攻擊團伙,以及對應的詳情;

曾經提到這個域名的安全blog或分析報告;

域名曾經指向哪些IP;

域名的註冊者信息;

……

利用這些信息可以掌握全球範圍內主要情報源對查詢域名的信息,判斷域名是黑是白,被什麼樣的攻擊者使用,使用的時間段和影響,並可以通過關聯分析挖掘更多的內容。

【技術分享】 360威脅情報中心:態勢感知中的威脅情報

提到關聯分析大家往往會和攻擊者溯源劃上等號,但實際還有很多實用的場景,比如在一次攻擊中發現的IP,我們希望了解是否會是定向性攻擊,通過平台查詢發現這些IP近期曾被黑產使用來做SPAM攻擊,這樣可以初步排除定向攻擊的可能性。同樣希望知道一次攻擊中的幾個IP是否屬於同一團伙,可以參照通過情報平台的攻擊歷史信息外,還可以注意IP的地理位置、主機類型(網關、IDC主機、終端等)、操作系統等信息,這些都是做快速判斷的有力依據。

關聯分析需要一定的知識和經驗基礎,可視化是有效降低分析門檻的方式,特別是內置自動化分析模型的可視化分析,可以自動化展現查詢對象相關的其它元素,並且對特殊對象通過一定方式標識出來。就象下面這個Fortinet 最近公布的某個IOC,雖然通過域名本身沒有特別多上下文信息,但在可視化分析中,關聯的攻擊資源和虛擬身份可以一眼看清楚。

【技術分享】 360威脅情報中心:態勢感知中的威脅情報


TTP情報(戰術、技術、過程)


TTP情報是提供給安全分析師及安全管理者使用的人讀情報,它關注於惡意軟件、漏洞、攻擊事件或者攻擊團隊,着重分析其目的、危害、機制、影響範圍以及檢測防範機制。這些情報可以讓企業面向針對自己組織或行業的攻擊,提前預防威脅的發生、或者獲取威脅發生時的處理方法,同時分析師還能通過TTP情報擴展、積累安全狩獵的手段和方法。 

還有一些特殊目的的TTP情報報告,在這裡以360威脅情報中心發布過的試舉兩例:

1. 糾正外部錯漏信息:2017年8月7日,Xshell軟件廠商發布公告說在卡巴斯基的配合下解決了一個軟件版本的安全問題,但沒有公布技術細節和危害,因而未受到重視。而360威脅情報中心跟蹤發現其組件含有後門代碼,並且現網中有大量失陷主機信息被收集並可能被植入更多惡意組件,因此於8月14日率先發布分析報告,其它安全廠商也陸續確認此問題。最終引起大多數企業的重視開始處理相關風險。(參考鏈接:https://ti.360.net/blog/articles/analysis-of-xshell-ghost/ )

2. 綜合類的分析報告:360威脅情報中心9月10日發布了《軟件供應鏈來源攻擊分析報告》,就是針對事件頻發、影響極大且危害嚴重的供應鏈攻擊方式,從攻擊方式、典型案例、防護建議等多個方面,給用戶提供詳盡的情報信息。(參考鏈接:https://ti.360.net/blog/articles/supply-chain-attacks-of-software/ )


小結


威脅情報在國內還屬於比較新的安全技術,但卻是現階段幫助組織快速提升檢測、分析、預防預測能力的最佳選擇,尤其是在態勢感知這種綜合能力建設過程中必須考慮到威脅情報。同時依託不同類型的情報產品,提高分析人員效率,讓分析人員能力逐步成長,也是解決人才缺口行之有效的方法。


【技術分享】 360威脅情報中心:態勢感知中的威脅情報 【技術分享】 360威脅情報中心:態勢感知中的威脅情報

本文由 安全客 原創發布,如需轉載請註明來源及本文地址。
本文地址:http://bobao.360.cn/learning/detail/4438.html