紅藍雙方近距離“肉搏”,實戰攻防究竟鹿死誰手?
在通過釣魚郵件等一系列手法占領一臺計算機之后,攻擊隊入侵的腳步會進一步加快,包括收集域內信息,探查可能保存機密文件和敏感信息的主機位置,確定橫向移動的目標,比如存儲了所有計算機用戶的賬戶密碼信息的域控制主機。
此時,攻擊者會通過C2(Command & Control,命令與控制)服務器,與在目標系統內植入的惡意軟件頻繁發生通信,并源源不斷發送的攻擊命令。
由于攻防的主戰場主要集中在內網,因此紅藍雙方往往要開展近距離“肉搏”,展開“控制權”的爭奪戰,其激烈程度要遠超其他階段。
1 誤報、誤報還是誤報
曾幾何時,內網的安全防護還不夠重視,一封釣魚郵件穿透內網之后,攻擊者就可以在內網中如入無人之境,想入侵哪臺服務器就入侵哪臺。
2010年爆發的“震網事件”表明,就是物理斷網也不是絕對安全。
所以在RSAC2016上,時任大會主席阿米特·約倫(Amit Yoran)在“沉睡者醒來”的主題演講中指出,安全防御是個失敗的戰略,未來業界應該增加在安全檢測技術上的投資。
這句話雖有失偏頗,但很大程度上強調了持續檢測的重要性。
在接下來的幾年里,以全流量分析為代表的檢測技術取得了長足的進步,并迅速成為防守方的實戰利器。
可即便如此,別以為防守隊就穩了,他們面臨的麻煩一點都不比攻擊隊少。在引入全新的安全設備之后,告警的數量可以說呈幾何倍數增加。
問題的關鍵是,這些告警從來都不是百分之百有用。
眾所周知,檢測設備發現攻擊行為,需要依靠預先設置的規則,但任何一條規則都很難做到盡善盡美,準確描述對應的攻擊行為。
首先,基于相關性的規則通常無法描述足夠數量的特征,而這些特征正決定檢測準確率的核心要素。
其次,基于行為的規則主要關注異常,但對于任何一家企業來說,存在異常行為是再正常不過的事,所以追查每一個異常會浪費大量的時間和精力。
誤報就是這么產生的。
舉個例子。員工在登錄辦公系統時,將賬號密碼連續輸錯好幾次是一件再正常不過的事情,但這個行為在檢測設備那里就有可能被判定為異常,因為暴力破解攻擊也會連續將密碼連續輸錯。
顯而易見,如果誤報的事情不能得到很好的解決,防守隊將被淹沒在無止境的告警中無法自拔,從而忽略了真正的威脅。在告警數量劇增的攻防演習期間,這正是攻擊隊想要看到的。
即便機器學習/人工智能技術的應用,已經讓這一情況有所改善。
天眼正是在這樣的環境中,完成了從能用到好用、易用的自我進化。
作為因首發海蓮花APT組織而走紅的明星產品,奇安信天眼采用了入侵檢測雙向匹配技術,基于自主研發的QNA大數據人工智能威脅檢測引擎,利用本地大數據平臺對流量日志和終端日志進行存儲和查詢,結合威脅情報和攻擊鏈分析對事件進行分析、研判和回溯,實現威脅的全面發現、攻擊結果的精準判定,大大降低誤報率和漏報率。
在此基礎上,天眼還專門為實戰攻防演習準備了三個絕招,助力防守客戶少丟分、快提效、穩上分。
第一招是智能輔助研判,工程師“一鍵”就能夠清晰查看產生同類告警的基本信息、判斷條件、潛在威脅、處置建議等,無需分析人員參與,分析迅速、時效性高。
第二招是攻擊源IP預警,只要有一個分支機構發現攻擊行為,天眼便將攻擊者IP進行全網通緝,迅速傳遞至各相關單位,并為危害程度定級;下次只要該攻擊者再次出現,便會提醒客戶提高警惕,同時客戶還可以參照威脅的關注熱度(危害定級程度),選擇持續關注或者聯動處置。
第三招是旁路阻斷,能夠在發現攻擊行為后,第一時間將攻擊源IP進行阻斷,將事后阻斷變成事中阻斷,提前防御攻擊隊;配合天眼智能輔助研判、攻擊源IP預警服務使用,大幅提升處置效率。
2 反向釣魚,最為致命
現如今,天眼等全流量檢測產品,已經成為了防守方的標配。
但有些走在時尚前沿的防守人員并不滿足于此:憑什么我就得明牌告訴攻擊隊,我就在這兒等著他。
孫子曰“兵者,詭道也。”實則虛之,虛則實之,誰說只有攻擊隊才能用誘餌搞釣魚那一套?
于是乎,以蜜罐為代表的欺騙防御類產品,成為了實戰攻防演習備受追捧的對象。
蜜罐這個詞,最早是被獵人使用的,獵人把罐子裝上蜂蜜放在陷阱里,專門用來捕捉喜歡甜食的熊。說白了就是為攻擊者布置的虛假目標。
蜜罐的主要目的有兩個,第一是遲滯攻擊者的入侵腳步,使其在虛假的目標中兜圈子;第二是捕獲攻擊行為的特征、樣本等,為后續檢測提供證據。最重要的是,蜜罐理論上是不會產生誤報的,凡是踩中陷阱的行為都可以認為是入侵。
聽起來很美好,有道是“頂級的獵人往往都是以獵物的姿態出現的”,但精明的攻擊隊卻給了某些理想主義者當頭好幾棒。
首先是蜜罐的仿真程度不夠。仿真是蜜罐的基礎,沒有這個基礎,做的陷阱一眼看過去就是假的,自然沒有攻擊者會上當。
其次,陷阱做的足夠真,但脫離了業務環境。在攻擊者的眼中,你的蜜罐和業務系統之間是孤立的,在我來之前訪問量都沒幾個,一看就是給我下的套,最多也就騙騙剛入行的小白,這就像沙漠中的海市蜃樓,稍有經驗的旅行者都很難上當。
第三,蜜罐被攻擊者作為入侵真實目標的跳板。攻擊者在踩中蜜罐以后,很有可能利用蜜罐中故意設置的漏洞,橫向滲透進真實的業務系統中。
為了解決上述三個問題,奇安信推出了攻擊誘捕系統。
該系統快速構建出符合真實業務環境的“幻象”,具備極強的仿真能力和欺騙性,借助天眼的全流量分析能力,可將攻擊流量主動牽引至蜜罐中并隔離起來,使攻擊者相信已初步取得部分目標的控制權,并且不能橫向滲透進正常系統中。
同時,系統還能夠將各類“仿真誘餌”快速下發到網絡的各個區域,盡可能多的覆蓋攻擊鏈的重點環節,對攻擊行為進行無死角誘捕。
針對實戰攻防演習,奇安信還特別推出了天眼MDR欺騙誘捕服務,將攻擊誘捕系統與遠程安全托管服務相結合,通過云端SaaS化服務,為客戶提供外網資產欺騙、橫向移動監測、溯源反制三種服務。其中:
- ①外網資產欺騙服務,通過模擬客戶真實資產迷惑攻擊隊,提前收集信息;
- ②橫向移動監測服務,捕獲攻擊者橫向移動痕跡,對內網失陷及時預警;
- ③溯源反制服務,以高仿真環境,引誘攻擊者自投羅網,并對攻擊者進行追蹤溯源,增加在攻防演習中加分的可能性。
3 管中窺豹,略見一斑
還有一樣威脅檢測的王牌產品不得不提。
就在RSAC重提檢測戰略的同一年(2016年),Gartner在其SIEM魔力象限報告中直言,攻擊檢測與響應成為了驅動SIEM市場蓬勃發展的主導驅動力。
SIEM中文全稱是安全信息和事件管理,顧名思義,它的主要任務就是從海量的安全事件和日志中尋找出潛在的網絡攻擊。
不過,安全事件通常十分復雜。
尤其是在邊界防御愈加嚴格的今天,想要在時間相對緊張的攻防演習期間成功奪取關鍵節點,某些機巧高超的攻擊行為入侵節點會覆蓋非常廣。如果只對某一個點日志進行分析,很難描述清楚一次攻擊行為到底是怎樣的。
比如安全設備在網絡中發現了以下三個事件:
第一,某臺工作電腦發現被植入了遠程控制木馬;第二,官方網站后臺數據庫發現了未經授權的訪問行為;第三,工作時間某服務器訪問量異常。
這三個場景可能獨立發生,也可能會同時發生,他們之間到底有沒有關聯呢?
要想回答這個問題,管中窺豹的做法決不可取。
如果能夠把整個內網的日志進行關聯分析,就能把所有的攻擊片段組合起來,組成一個完整的全景拼圖。
說起來容易。
隨著海量數據的接入,傳統的SIEM產品極易產生告警疲勞或者遭遇性能瓶頸,要想實現完整的關聯分析就必須解決下面三個問題。
首先是能夠接入全量數據,包括多源異構日志,如賬戶登錄、數據庫查詢、修改、DNS解析記錄等;資產信息,包括終端、服務器、Web應用、中間件等;內外部威脅情報以及其他相關內容,并支持對輸出結果進行回注分析。
第二是實時計算和實時統計。事件的產生和日志的輸入是無窮無盡的,只有計算速度夠快才能保證實時輸出結果,這就要求能夠有強大的算力性能支持。
第三是快速建模。分析師能夠根據實際業務場景和事件類型,快速搭建出個性化的安全分析模型。
此時,SIEM就需要一個實時的關聯分析引擎。
作為搭載國內首款分布式關聯分析引擎Sabre的奇安信NGSOC,能夠通過威脅情報、機器學習、關聯分析等多個維度進行威脅的檢測,通過場景分析、實體分析、事件調查等威脅分析工具,結合安全運營工作實際場景,幫助提升安全事件研判和溯源的效率,及時進行響應處置。
其中Sabre提供了多源數據關聯分析、靈活的威脅建模、豐富的上下文信息展示能力,大幅提升了NGSOC的多源異構數據關聯分析能力和威脅檢測準確度,在今年舉行的2022北京冬奧會和冬殘奧會期間,支撐起了對冬奧26個場館、上千億條日志的實時監控與安全分析,累計監測數億次網絡攻擊,跟蹤和研判上百起涉奧威脅事件。
在Sabre的加持下,窺一斑而見全豹才成為了可能。
在攻防雙方之間一場激烈的較量之后,事情并沒有結束。對于防守方而言,無論攻擊者是否能在規定時間內達成最終的攻擊目標,都需要完成攻擊溯源和攻擊者分析,至于如何做到這一步,請關注下一期!
