系统性地接触、思考、规划“高级威胁治理”始于2014年。彼时,国内网络安全市场听到比较多的词汇是“网络安全法”、“等保”、“合规”、“下一代防火墙”等词汇,而对“高级威胁”、“APT”、“定向攻击”、“社交工程学”、“威胁情报”等还知之甚少。
2014年,我的老东家趋势科技,在大洋彼岸和FireEye激战正酣,拼沙箱、拼0 Day、拼网络检测、拼邮件检测、拼威胁情报、拼安全专家……,彼时,我刚刚从趋势科技产品研发中心加入中国区产品市场部,有幸接触和了解这部分新兴领域。
2015年初趋势科技淡水Tech Summit之后,我开始负责中国区高级威胁治理战略规划,开启了该领域的持续研究和顶层设计,过去6年经历了趋势科技、亚信安全、某数字公司三个时期,“演化的高级威胁治理”战略也经历了三个发展阶段,分别如下:
1. 2015年 趋势科技 演化的高级威胁治理战略 2.0(Custom Defense),提出:
a. 一个理论模型
i. 螺旋迭代的高级威胁治理自适应方法论模型(方法论 1.0)
b. 一套系统架构
i. 威胁情报网络
ii. 管理控制中心
iii. 产品支撑平台
iv. 专属治理服务
c. 两个体系支撑
i. 本地和云端威胁情报双回路体系(体系1 – Double O)
ii. 全面的威胁联动治理体系(体系2 – Better Together,SOAR 1.0)
d. 一套产品平台
i. 深度威胁发现产品平台
2. 2018年 亚信安全 演化的高级威胁治理战略 3.0(XDR),提出:
a. 基于SOAR精密编排的自动化检测和响应体系(体系3 – XDR 1.0)
i. EDR & NDR技术支撑、MDR服务支撑
ii. SOAR自动化检测响应精密编排(体系2 – SOAR 2.0升级)
b. 高级威胁防御的最后防线:快速恢复补救体系- Resilience(体系4 – Resilience 1.0)
c. 2019年初,修正“预防”阶段的定义,并补充:基于资产和脆弱性的风险评估管理体系(体系5 – RAM)
3. 2020年 演化的高级威胁治理战略 4.0(All In),提出:
a. 细化“检测”、“分析”、“响应”三个过程(体系3 – XDR 2.0升级)
b. 高级威胁实网攻防体系(体系6 – Cyber Range)
c. 高级威胁持续评估体系(体系7 – Continuous Assessment)
d. 高级威胁欺骗防御体系(体系8 – Deception Defense)
e. 高级威胁安全运营体系(体系9 – Security Operations)
高级威胁治理战略是一套体系化的、逻辑自洽的、经历实践检验的、不断迭代完善和自我修正的复杂系统,它伴随着高级威胁的不断演化,伴随着人们对于高级威胁理解和认知的不断演化,伴随着新的治理理念、新的解决方案、新的产品和技术等内在因素的不断演化,也伴随着新的市场模式、政策模式、商业模式、服务模式等外部因素的不断演化。
高级威胁治理战略没有深刻和复杂的理论,它完全来源于安全行业和市场的基本事实、基本常识和基本逻辑,规划设计过程中很多假设、观点和理念来源于业内专家、同僚、同行、客户和一线,同时也参考了国内外的相关文献和最佳实践,期间经历过无数次自我否定和否定之否定,既要兼顾规划设计的前瞻性,又要考虑落地实践的可行性和有效性,同时还要充分考虑产品化和市场化等众多因素。
随着这几年HVV活动的持续升温,以攻防为核心的高级威胁治理细分领域逐渐被行业、市场、用户和厂商所认可,并且逐渐形成了规模庞大的网络安全新兴市场,也使得这些年持续的高级威胁治理规划和设计得以快速落地、实践、验证、反馈、修正和不断迭代,新的理念和观点可以持续融入,不断促进该领域的进化。
我计划分几篇文章还原过往高级威胁治理的三个阶段。有些在当时看来有道理,现在又觉得站不住脚;有些在当时考虑不周,现在需要修正;还有些在当时认为无法实现,就留下个引子,待日后时机成熟再进一步完善。过去有些系统性的发布,也有些零星琐碎的输出,今日作以整理,暂告一段落。
凡是过往,皆为序章。新的产品技术、解决方案和治理理念在不断演化,演化的高级威胁治理战略规划5.0也在这个五一小长假孕育成型,这将是一个更具影响力和颠覆性的里程碑,最近在着手相关产品的规划和落地,希望一两年后可以写出并发布。
以上为序,言归正传。
高级威胁治理规划的提出,伴随着威胁的不断演化应运而生。纵观过往的20多年,我们可以把威胁演化的过程大致划分为三个阶段:
图1:威胁演化的三个阶段
1) 病毒爆发阶段(Virus Broken,90年代末到2008年前后)
这段时期的威胁以大规模病毒爆发为主要特征,像我们耳熟能详的CIH、红色代码、蓝色代码、震荡波、冲击波、爱虫、熊猫烧香等。此类病毒大多以破坏和恶作剧为特性,病毒始作俑者也只是单纯以炫技和哗众取宠为目的,病毒运行后容易被用户发现和察觉,虽然病毒没有明确的攻击目标和针对性,但病毒一旦爆发,很容易快速扩散和传播,造成大面积主机、终端和网络灾害,因此,针对病毒爆发的防范、遏制和消除是这一时期网络安全防护的重点。杀毒软件和各类病毒的专杀工具是每个网管的标配。每每出现病毒爆发事件,各家防病毒安全公司都争先恐后赶在第一时间推出病毒码和专杀工具,很多防病毒安全公司借此名噪一时,如国内的金山、江民、瑞星、360等,国外的赛门铁克、趋势科技、迈克菲、卡巴斯基等。
除大规模爆发的病毒之外,还包括木马、蠕虫、后门、恶意程序、恶意代码、恶意脚本、恶意网页和站点、恶意邮件、一般漏洞攻击等,这些统称为常规威胁(Conventional Threat)。通常,此类威胁只涉及单一的威胁活动,不涉及复杂攻击场景。
2) 定向攻击阶段(Targeted Attack,2008年前后至今的APT等高级威胁攻击活动)
在国内,随着“熊猫烧香”事件的结束,大规模病毒爆发事件基本上就销声匿迹了。然而,表面的风平浪静无法掩盖水下的暗流汹涌。在国外,伴随着2009年Google遭极光行动网络攻击、2010年伊朗核电站被攻击、2011年RSASecureID被窃、2013年韩国银行及媒体遭遇网络攻击、2013年Target信用卡信息被窃、2014年索尼影业被攻击、2015年Anthem医疗保险用户资料外泄、2015年乌克兰电网被攻击、2016年美国大选、2018年万豪酒店客户信息泄露、2019年委内瑞拉电网被攻击等一系列恶性网络攻击事件,一种带有极强渗透力和杀伤力的新型攻击逐渐进入公众视野。这种攻击通常是有蓄谋的黑客组织,针对特定的高价值目标进行长期渗透和潜伏,最后实施破坏或窃取,以实现其政治、经济或商业目的,我们把这种攻击称为高级持续性攻击(Advanced Persistent Threat,APT),或者简称定向攻击(Targeted Attack)。
如果把常规威胁或攻击比作民间冲突,那么定向攻击更像是网络战争,如果把一般的定向攻击比作常规战争,那么APT可称得上是核战争。虽然此类攻击在组织所遭受的所有威胁中占比最小,但破坏力却是最大的,而且,被黑客组织盯上的目标,几乎没有幸免的可能。曾经有权威人士指出,“世界上只有两类组织:一类是被黑了,另一类是不知道自己被黑了”。有研究数据表明,78%的组织中发现了0 Day攻击及高级恶意软件,80%的组织在其网络中发现C&C恶意外联通讯,79%的组织遭受过或正在遭受定向攻击或恶意渗透。事实上,75% 的定向攻击只需要较少的技能即可完成,但这需要高级的专业技能才能检测及应对,63% 的安全专家认为,他们所在的组织被攻击仅仅只是时间问题,而每次攻击给企业所带来的平均损失是$5.9M。2019年DBIR最新研究报告显示,攻击者入侵网络并窃取数据所花的时间,远小于组织发现泄露事件以及响应和修复的时间,这个时间差称之为“自由攻击时间”。因此,针对定向攻击的检测和响应成为所有组织最为头疼的安全问题。
图2 攻击入侵与响应修复的时间
随着国内外政治、经济、商业活动日趋复杂, APT攻击逐渐演化成国家与国家之间针对政府、金融、能源、交通、广电、科工、大型制造等关键信息基础设施进行关键情报信息争夺的重要网络手段。
3) 大规模攻击阶段(Mass Attack,2014年至今的勒索、挖矿、钓鱼、广告诈骗等)
大多人对加密勒索的认识来源于2017年的WannaCry事件。随着地下黑产商业化分工不断成熟,产业链不断完善,大量不法分子把网络攻击用作黑产变现的技术手段,近些年层出不穷的加密勒索、挖矿、网络钓鱼以及僵尸网络广告诈骗等恶意软件均和地下黑产有着不可分割的联系。和传统大规模病毒爆发相比,大规模攻击有着明确的经济诉求,攻击者也由个体户单打独斗演变为完整的产业分工;和定向攻击相比,大规模攻击并没有非常明确的对象和目标,为了尽可能多的获利,大规模攻击一直追求较为便捷的方式以便入侵更多的主机和桌面,因此,大量的僵尸网络、N Day漏洞和社交工程邮件被广泛使用,其恶意软件需要经常变种或加壳以避免被杀毒软件拦截,技术手段上和定向攻击有部分吻合之处;攻击一旦爆发,很容易快速扩散和传播,看上去和病毒爆发又有相似之处;从攻击的最终结果来看,无论是勒索、挖矿、钓鱼还是广告诈骗,最终都是为了实现其经济诉求,随着黑产的不断蔓延,大规模攻击这种威胁一定还会演化出更多的手段和形式。
从上述威胁演化的三个不同发展阶段来看,威胁和攻击从属性上大体可划分为以下三种类型:常规威胁(Conventional Threat, 80%)、大规模攻击(Mass Attack, 18%)、定向攻击(Targeted Attack, 2%)。百分比只表示三类威胁和攻击的大概数量级关系,并不代表绝对数值意义。在不同区域、不同行业、不同用户、不同时间,这三类威胁和攻击的绝对百分比各不相同,但量级关系基本类似,另外,随着各方形势的变化,大规模攻击和定向攻击有进一步扩大的趋势。
图3 威胁和攻击的三种类型
1) 常规威胁(Conventional Threat)
主要指传统的病毒、木马、蠕虫、后门、恶意程序、恶意脚本、恶意网页和站点、恶意邮件、一般漏洞攻击等。通常此类威胁只涉及单一的威胁活动,不涉及复杂攻击场景。
2) 大规模攻击(Mass Attack)
特指勒索、挖矿、钓鱼、在线广告诈骗这几种有组织的大规模黑产活动。
3) 定向攻击(Targeted Attack)
有明确政治、经济、商业、军事等意图,针对特定价值目标长期渗透获取情报或进行破坏的有组织黑客活动。定向攻击按严重性又可以划分:国家级APT、HVV级红蓝对抗、重保级网络攻击、以及商业级APT等不同级别。
在实际网络环境中,一个组织会同时遭受上述三类威胁和攻击。就这三种威胁和攻击的分布而言:常规威胁非常普遍,在三类威胁和攻击的占比中据绝大多数,对于一个组织来说,通过传统的签名、特征码、信誉库、策略、规则等技术可以很容易拦截到此类威胁;大规模攻击占比居中,黑产为了尽可能多的获利,一直追求较为便捷的方式以入侵更多的主机和终端,因此,大量的僵尸网络、N Day漏洞、钓鱼邮件、无文件攻击、各类变种软件等被广泛使用,组织不得不时刻提防和应付;定向攻击最然占比最小,但检测和响应的难度最大,给组织带来的危害也最大,常常令一个组织如临大敌,但又束手无策。三种威胁和攻击的划分可参考下表:
指标
常规威胁
Conventional Threat
大规模攻击
Mass Attack
定向攻击
Targeted Attack
代表
病毒、僵木蠕、一般恶意软件及普通漏洞攻击等
加密勒索、挖矿、钓鱼邮件、在线广告诈骗等
国家级APT、HVV、重保、红蓝对抗、商业级APT
属性
1. 以破坏和恶作剧为主、哗众取宠
2. 具有普遍性
1. 黑色产业完善、分工明确
2. 有明确的经济诉求
3. 面向各行各业、企业及个人,偏向有价值目标
4. 具有普遍性
1. 有组织、有蓄谋、长期隐藏
2. 以政治、经济、商业、军事为目的
3. 国家与国家之间通讯、能源、金融、军事等关键基础设施与关键情报信息
4. 有极强的针对性
占比
70%~80%
20%~30%
2%~3%
关注热度
C (个人)->SMB(中小企业)-> ENT(企业)-> VLE(超大企业)-> CII(关基行业)
攻击来源
脚本小子或历史遗留
有组织黑产
有组织黑客
攻击链
短
中(N day漏洞、钓鱼邮件、Web等)
长(0 Day漏洞、社交工程、黑客工具等)
攻击连续性
低
中
高
攻击隐蔽性
弱
中
强
危害程度
低
中
高
表1 三种威胁和攻击的划分
“杀毒软件已死!”“传统的杀毒软件只能探测到45%的攻击。“
--赛门铁克信息安全高级副总裁布莱恩·代伊(Brian Dye) 2014.5
“基于签名的杀毒软件功能更像是在捉鬼,而不是探测和预防威胁。”
“在探测到的所有恶意软件中,有82%只会保持一个小时的活跃性,70%只会出现一次。这是恶意软件作者故意经常调整软件代码,以便绕过传统杀毒软件的扫描。”
--FireEye 2014.5
未知威胁是针对具体用户组织或安全厂商而言的,通过传统特征码、黑白名单、安全策略等技术手段无法识别和拦截的威胁。
无论是以APT为代表的定向攻击(Targeted Attack),还是以勒索、挖矿、钓鱼、广告诈骗为代表的大规模攻击(Mass Attack),攻击者不断尝试使用新型攻击技术,企图绕过传统检测机制对目标发起攻击以达到某种目的,这种威胁我们称之为高级威胁,依照严重性级别,攻击者意图,被攻击目标属性,高级威胁可划分为三类:
1) 国家级APT
2) HVV级红蓝对抗、重保级网络攻击、以及商业级APT
3) 加密勒索、挖矿、钓鱼等大规模攻击
我们把一个完整的APT攻击当作高级威胁生命周期的一个典型,用以描述一个高级威胁的攻击过程。一个完整的APT攻击可以分为以下6个阶段,并具有非常明显的行动特点:
图4:APT攻击的六个阶段
1) 情报收集
大量的调查结果显示,攻击者针对被攻击的目标企业,会进行前期情报收集,如企业的组织架构,公开的域名和地址,C段地址,所使用的应用程序,系统框架,服务类型,数据库类型,服务端口等,同时还会将目标锁定到企业员工或者合作伙伴的身上,并使用公共信息资源、社工库以及社交工程学等手段收集并研究目标对象的相关信息,准备实施定向攻击。
2) 单点突破
利用电子邮件、即时通信软件、社交网络或者系统、应用、服务漏洞找到进入目标网络的大门。超过90%的APT攻击利用了社交工程钓鱼邮件,这是针对性最强、设计最缜密、入侵最有效、成本最低廉的攻击媒介。恰恰是这种简单的技巧,使得攻击者不费吹灰之力绕过传统安全防御,将恶意代码推送给目标个体,创建后门,实现单点突破进入目标网络,从而着手进一步网络渗透。
3) 外联通讯 (C&C通信)
攻击者的后门程序一旦成功植入到目标个体的主机上,会达到持久驻留在内部网络的目的,并伺机潜入尽可能多的主机。被入侵的计算机通过部署在互联网的C&C服务器与攻击者保持通讯,获取攻击者的指令及更多攻击工具,用于后续阶段的使用。由于C&C通信的特征与正常流量不同,因此这通常是APT攻击的第一个迹象。但是,攻击者演进了技术,通过降低通信频率、使用加密手段、以及在极短的时间内改变域名和IP地址,让C&C通信变得难以检测。
4) 横向移动
攻击者立足之后,会渗透更多的内部主机,收集凭证、提升权限级别,实现持久控制。为此,攻击者会试图获取大量的普通帐户以及管理员帐户。攻击者通常会跟踪AD域控或Root权限的账号,使用一定的技巧和工具将攻击者权限提升到跟管理者一样。这个过程一旦成功,攻击者便会为自己创建合法的帐户和访问权限,以访问托管所需信息的服务器,从而加快敏感数据的发掘和泄露。由于最终数据窃取利用了合法的管理凭证,这使得数据窃取检测变得更加困难。
5) 资产发掘
为确保以后的数据窃取行动中会得到最有价值的数据,攻击者会长期低调的潜伏,并使用一些技术和工具手段识别有价值的服务器及存放在这些服务器上的重要信息资产,以挖掘出更多敏感资料。这个过程通常不是重复自动化的过程,而是人工对数据做分析,寻找雇佣者需要的,或是可以高价贩卖的“数据”。
6) 资料窃取
在收集了敏感信息之后,攻击者将把数据归集起来进行压缩和加密,再通过外部暂存服务器将数据外传出去。攻击者主要的行为将放在长期控制上,可如果他们发现事件败露,便会破坏信息的完整性及可用性,以起到“毁尸灭迹”的目的。但此时,泄密信息早已进入到地下黑市交易,或是被雇佣方非法占有。
较之APT这种高级持续性威胁或定向攻击,大规模攻击所使用技术手段不如APT这般隐蔽,但也足以达到绕开传统防御对目标实施攻击的目的,对目标入侵得手后,继而实施加密勒索、挖矿、钓鱼、或僵尸网络广告诈骗等具体活动。
为了统一威胁的描述,避免盲人摸象一般去谈论威胁,我在2017年提出了 “点线面体”威胁分层描述模型,用结构化的方式描述威胁的构成,并进一步阐述哪些产品和技术用于解决哪些层面的威胁问题:
图5:威胁分层描述模型
1) 点 (Element,基本攻击元素)
构成攻击的基础元素,即攻击者使用的攻击元素。攻击元素分为静态介质元素和动态行为元素。静态介质元素主要指攻击介质,如:恶意文档、恶意URL(含IP、C&C等)、恶意邮件、漏洞(文档/系统/通讯/服务/应用等漏洞)、恶意App、渗透工具等;动态行为元素主要指攻击行为,如:恶意网络、终端及主机行为等,常见如端口探测、漏洞利用、C&C外联、提权、横移、爆破、资产探测等。
2) 线(Event,单一攻击活动)
由人、物、时间、途径、威胁元素等组成的单一的攻击行为或活动,即攻击链中某阶段的具体活动,即如:攻击者在某时间通过某IP向目标企业的某用户发送社交工程攻击邮件;某后门程序通过某主机在某时间访问了恶意C&C站点;某IP在某时段多次尝试某主机的登录帐号/密码等。
3) 面(Incident,完整攻击事件)
把多个相关的攻击活动(Events)有序地关联起来构成的完整攻击事件,即一个完整的攻击链。如某完整APT攻击事件(Incident):攻击者在某时间通过某IP向目标企业的某用户发送社交工程攻击邮件,致使该用户的终端被植入后门;该后门程序在某时间外联访问了某C&C站点,下载了某恶意渗透工具;该渗透工具在某时间内多次尝试渗透网络内其他主机,并成功获取某主机用户权限;攻击者某时间遍历了该主机的文件,并将某些关键文件进行了打包外传。
4) 体(Situation,全面攻击态势)
由多起相似的攻击事件(Incidents)或攻击活动(Events)构成的全面攻击态势,即全部攻击图谱。通过大数据AI/ML、关联分析、统计学分析、模式分析等攻击归因分析总结攻击模式,发现新型攻击特征、潜在攻击活动、潜伏攻击事件,以及攻击发展趋势,初步具备攻击感知能力。
接下来将按时间顺序回顾“演化的高级威胁治理战略规划2.0、3.0、4.0”的完整过程。
(未完待续)
