威胁追捕有3种技术风格

消息来源: 安全牛         消息类型: 行业新闻         发布日期:2017-10-19

有两种可能的结果:如果实验结果符合假设,这就是测量;如果不符合假设,这就是发现。

——恩里科·费米(原子能之父)

威胁追捕,就是主动识别并抑制已在企业环境中建立了桥头堡的对手。这与威胁检测不同,威胁检测主要是靠特征码检测或系统事件关联等手段,发现入侵指标(IOC),识别出威胁。此类上下文中的威胁,就是具备做坏事的意图、能力和机会的对手。威胁追捕是对威胁检测的补充。威胁检测有其局限,且依赖4个先决条件(或者假设):

  • IOC可预测
  • IOC有逻辑且可量化
  • IOC静态且不可交换
  • IOC可见且可发现
  • 这4个先决条件未必总能满足,某些情况下,一个都不能满足。即便前3个都满足了,最大的挑战在于最后一个往往满足不了。监测每个可能的系统、网络或用户,是非常难的。更重要的是,时间和金钱的消耗都太大了。产出的大量警报、事件和误报,也引发了其自身的一系列问题。而且,即使威胁检测成功,相关警报也有可能被漏过,或者事发后很久才被注意到。威胁驻留时间的统计数据,已一次又一次地证实了这一点。

    如果信禅,或许会问:“如果网络上出现了一个IOC,而没人正在监视,那还算是威胁吗?”鉴于高调数据泄露发生的频率,该问题的答案无疑是:算!

    黑客同样注意到了这些因素,并据此对自身战术、技术和流程(TTP)做出调整,尽可能地消除这些先决条件。这是网络安全中自然选择的基础,也是黑客与网络安全人士间持续武器竞赛的根源。

    威胁追捕旨在矫正威胁检测中的固有弱点。很明显,如果黑客已经出现在内部网络中,威胁检测就已失败,或者说,至少是在初始漏洞利用前没能做出响应。若是前者,发现自己是否被黑的唯一方法,就是从等待检测技术指出威胁,转向人工调查是否有检测技术漏掉的指标。若是后者,威胁追捕将专注评估入侵的范围,旨在肃清攻击者建立的任何立足点。

    威胁追捕

    一、威胁追捕的3种风格

    1. IOC驱动威胁追捕

    检测已知IOC,并用于识别相关IOC和TTP,以驱动对环境中存在威胁的搜索与分析。

    2. 分析驱动威胁追捕

    高级分析、机器学习和行为分析技术识别出异常或可疑活动,驱动进一步调查。一定程度上,行为分析技术已自动化了传统威胁追捕的某些方面,但承袭了与威胁检测类似的局限,且产生了一些自身的弱点。

    3. 假设驱动威胁追捕

    特定威胁可能已成功侵入环境的初始假说或假设。可推断出与该威胁相关的TTP和IOC,驱动对威胁的搜索与分析。

    聪明的读者可能已经发现,前两种风格都依赖对至少一个IOC的成功检测及发现。因此,这两种方式主要用于验证入侵是否发生,并评估威胁的散布范围。

    二、假设威胁

    假设驱动威胁追捕不依赖前置检测。这种方法会假设有尚未检测到的威胁可能已经针对公司下手了。这其中比较没那么明显的一点,是假设驱动威胁追捕、威胁评估和威胁模拟之间的关系。

    1. 威胁评估

    威胁评估中,可能针对公司的潜在相关威胁,往往通过利用威胁情报的方式,被识别出来。然后纳入风险管理过程,用以确定需要部署哪些安全预警措施,来抵御潜在威胁。

    2. 威胁模拟

    威胁模拟中,威胁TTP与现有安全技术、人员和过程相抗衡,借以评估攻击情况下能否撑住。若能实际测试,效果会更好。真正的渗透测试或道德黑客活动,或者成熟企业所谓的红队测试,就是该方法的一个样例。

    三、假设驱动威胁防御

    假设的一个定义,是“基于有限证据做出的假设或提案,用作进一步调查的起点。”对网络安全人员来说,“有限证据”是其中关键词。

    威胁检测技术提供有限证据——或许会发现一些IOC,但可能提供不了对高级/大范围入侵的清晰评估。这些技术可能根本无法成功检测威胁。威胁情报提供理论上都有些什么的大量证据,但无法确定到底谁会实际攻击你。预防技术防护多种已知攻击类型,但我们没有足够证据证明可以防住下一波攻击。

    假设驱动威胁防御,将这些假设都整合进了单个框架中,用作风险管理项目的基础。威胁假设、威胁模拟和假设驱动威胁追捕,是假设驱动安全的三大基石,也是成功威胁缓解的三驾马车。综合起来,它们考虑的是:谁可能针对你,他们有没有可能成功,以及他们是否已经成功了。

    威胁快速进化,技术不断涌现,再加上可执行证据和确定性的缺乏,这么一种态势下想要成功,假设,已经是我们最逼近预测的做法了。

    挫败APT攻击从网络安全基础工作做起

    消息来源: 51CTO         消息类型: 行业新闻         发布日期:2016-07-08

    【51CTO.com 快译】高级持续性威胁(APT)是当今公司企业面临的最危险的网络攻击之一。我们都听说过Stuxnet蠕虫以及其他备受关注的攻击,其中包括2014年索尼影业娱乐公司被黑事件,一名观察人士称之为“完美的APT”。而在去年,专门针对金融机构的Carbanak攻击登上了媒体头条。

    挫败APT攻击从网络安全基础工作做起

    APT会影响贵公司吗?ISACA的《2015年高级持续性威胁安全意识调查》发现,74%的调查对象认为,他们会受到APT的攻击,28%已经受到了攻击。问题在于,就其性质而言,APT极其复杂。它们旨在隐匿起来、逃避检测,从而让它们能够在网络上传播数周、甚至数月之久而不被发现。

    缓解APT的风险似乎意味着要部署非常复杂的网络安全措施,这似乎超出了大多数普通企业组织的能力范围。事实并非如此。实际上,你只要做好基本工作,对于降低APT风险大有帮助:了解这种攻击是如何规划和部署的基础知识,了解贵企业组织的网络结构如何助长或阻碍这种攻击。简而言之,了解如何减小你暴露在恶意黑客面前的攻击面。

    APT结构

    不管有多复杂,所有APT攻击通常遵循相似的路径。

    侦察:攻击者通常会使用多种手段来获取情报,了解公司的网络实际上是什么样子,以便搞清楚实施了什么样的安全策略和应用程序,或者找出可以为他们提供入口点的远程访问功能。常见的手法包括如下:

    ·开源情报包括扫描对外开放的服务,以查找安全漏洞。

    ·人力资源情报针对关键员工,以获取访问信息。

    ·资产摸底识别企业组织在使用哪些版本的软件或资源,以便了解网络基础设施的概况。

    漏洞投放:一旦攻击者找到了攻击你网络的相应的入口点,就会投放一个恶意工具或应用程序,让他们得以渗入到你的网络。选择的攻击途径可能包括电子邮件附件、所谓的“水洞”攻击(攻击者危及他们知道受害者可能会访问的现有网站),或者甚至是将漏洞投放到被感染的U盘上。

    探查和横向扩展:成功潜入到你的网络里面后,攻击者试图在你的网络里面横向移动,最终获取你那宝贵的业务数据。但这些数据通常在另一个计算机系统上,所以攻击者需要找到一条路径。这种横向移动正是APT的持久性发挥作用的地方。探查需要一段时间――在此期间,个人用户可以重启系统,更改安全签名,或者以其他方式让攻击者很难重新访问其机器。

    因此,攻击者理想情况下旨在将软件直接部署到一台台机器上,让他们得以随时可以回来,即便用户重启了机器或打上了补丁。要做到这一点,最常见的方式就是通过远程管理员工具(RAT)――这是用于远程排查故障或求助台功能的同一种类型的工具。

    最后,攻击者获取他们一直在寻找的宝贵信息可能有两种手段,一是将这些信息与正当流量混合起来、通过HTTP传送,另一种是对这些信息加密,以便很难被发现,比如说通过HTTPS传送。

    减小网络攻击面

    虽然很难防止攻击者在整个APT过程中执行第一个阶段――毕竟,许多OSINT扫描方法没有什么特别隐秘之处,但是可以防止攻击者在你的网络上横向移动、搜索你的宝贵数据,可以借助一些回归基本面的网络安全原则:

    ·对网络进行分段。根据使用模式以及在每个区域里面处理的数据类别,将你那个扁平的内部网络划分成多个区域。随后,这种分段机制可以防止APT从充当“踏脚石”的一个机器跳到另一个机器。

    ·部署防火墙,以便过滤那些区域的之间流量。必须在区域之间部署防火墙之类的“阻塞点”,过滤进出的流量。换句话说,防火墙必部署在内部横向移动路径上,而不是仅仅部署在网络边界。

    ·制定那些防火墙执行的限制性安全策略。Gartner研究公司表明,99%的防火墙安全漏洞是由防火墙配置不当,而不是防火墙本身缺陷造成的。传达的信息很明确:你的防火墙必须准确、巧妙地加以配置,才能分析并阻止表明APT的那种内部流量。

    你在设计网络的分段机制时,应考虑将所有网络都应该分成两种区域类型。首先,为处理和存储支付及信用卡资料、员工记录、公司财务数据、知识产权和受监管数据的系统识别和定义敏感数据区域。其次,识别和定义含有人类可访问的台式机、笔记本、平板电脑和智能手机的真人用户区域。你可能已经对无线访问区域进行了分段,但是有线访问台式机同样应该加以分段。由于APT的第一个攻击点通常是这样一种台式机,这种分段随后就能防止APT的横向移动。

    如果这听起来异常简单,那是因为它本来就很简单。要牢记的重要一点是,不管APT有多么狡猾,它都是在你的地盘作崇。发觉网络里面APT的迹象可能颇有难度,但是如果做好安全基本工作,对于防止横向移动大有帮助,进而可以立即阻止API。

    原文标题:Thwarting APT Attacks

    【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】

    服务热线
    025-8660 3700

    微信公众号