网络安全威胁情报之事件响应模型
一次性进群,长期免费索取教程,没有付费教程。
教程列表见微信公众号底部菜单
进微信群回复公众号:微信群;QQ群:460500587
微信公众号:计算机与网络安全
ID:Computer-network
一、钻石模型
钻石模型(如图1所示)用于入侵分析,与杀伤链有许多不同。该模型最早在Christopher Betz等人的论文中进行了讨论,他们总结了这样一个模型:“一个对手在一些基础设施上部署了一个对付受害者的能力,这些活动被称为事件。事件是由敌我双方分阶段排序的活动线程,这些线程代表了对手的操作流程。”它是理解不同行动者(对手与受害者)和对手的工具(基础设施与能力)之间相互作用的范式。
图1 钻石模型
1、基本模型
对手是一个情报组织,意图收集有用信息或侵害信息系统。我们可以进一步将其分解为两拨人,一拨是执行任务的攻击者,一拨是从此次任务中受益的客户。当然,也有可能这两拨人同时扮演这两种角色(比如一个小型的雇佣军或经济驱动的黑客组织)。但也有例外的情况,比如在一个国家情报机构,客户和攻击者可能来自不同部门甚至不同团队。不管怎么,对手有着明显的意图,可以是“通过信用卡诈骗赚钱”,或者是“获取指定人员身上的某个主题信息”。
对手有一套攻击工具,技术娴熟,这些被称为能力,用来实现攻击目标。这里包括在杀伤链中讨论的武器化软件和植入病毒程序;也可以包括进行社会工程攻击的能力;甚至在某些情况下,对手还可以部署某种形式的物理攻击能力,用于收集信息或干扰系统。
对手使用一套通信系统和协议来投递武器、实现远控或在受害目标上执行操作,它们统称为基础设施。这里包括攻击者直接拥有的系统(例如,实际拥有的台式机和网络设备)以及通过入侵间接拥有的系统(例如僵尸网络中的肉鸡)。
当对手定位了某个受害者后,针对他们部署各种攻击能力,试图达成某种意图。受害者包括人员和资产,两者都可能被针对。如前所述,受害者系统可以被用来作为攻击另一个受害者的基础设施。
每一次出现以上四个要素(一个对手使用跨基础设施的能力来对付受害者)都是一个事件。我们将相互作用的多个事件作为活动线程进行分析,然后将这些线程进一步归集到活动组中(相关线程可能是并行运行的,不一定会线性流动)。
2、模型扩展
模型展示其力量的方式之一来自于钻石的轴线。连接对手和受害者的“南北轴”代表了一种社会政治关系。对手对受害者有一定的兴趣,无论是某类兴趣(信用卡号),还是特定的兴趣(针对首席执行官的钓鱼邮件以实现欺诈电汇)。这个轴的分析可以揭示对手的动机,并可能有助于入侵检测和事件响应的分析、运营及战略的规划。
钻石模型补充了杀伤链,事实上这两者相互融合。钻石模型中的每个事件都可以根据其在杀伤链中的阶段进行分类,这使得分析师可以更好地理解事件之间的关系,并考虑以前在调查和记录过程中可能忽略的点。(也就是说,并不是每个事件都会出现杀伤链的每个阶段。)
二、主动防御
情报驱动的事件响应周期最受关注和最难理解的概念之一便是主动防御。
常规的思想误区是“hack back”(反黑回去),企图直接攻击恶意攻击者。虽然这是主动防御的一个方面,但另外五个有用的防御更为普遍。这种混淆往往是源于对主动防御目标的完全误解。
大多数尝试或要求某种形式的回击黑客的想法都是幼稚的,这是一种校园式的复仇思路。你被打了,想打回打你的人,这看起来很符合情理,但在网络安全领域,我们不会采用这样的报复式战术。第一,在网络入侵中,我们通常很难知道攻击者的身份,这会导致错误的分析,从而导致错误的攻击。第二,对于防御型企业来说,具备相应的攻击能力是困难的。第三,除了复仇之外,这种反击通常目的是有限的。第四,也许是最重要的是,在大多数国家,在未经许可或适当的法律授权情况下试图入侵一个企业是非法的,授权的执法部门或军事机构通常会对网络攻击行为进行严格监管。
然而,除了黑客攻击之外,主动防御还包括其他一些有效和有用的元素。2015年SANS DFIR峰会的Wendi Rafferty将主动防御的目标描述为试图破坏攻击者的节奏。就像一名侦探一样,事件响应者的目标是抓住攻击者的一个错误找机会暴露他们。主动防御建议事件响应小组在合适的网络位置设置层层障碍,从而迫使攻击者更快地犯错。
正如前面对攻击者所讨论的那样,防御者可以选择阻断、干扰、降级、欺骗和破坏的防御方法(我们称为D5防御模型)。该模型最初是作为计算机网络攻击(CNA)的一系列所需功能而开发的,事实证明,D5模型也提供了强大的主动防御能力。
1、阻断
阻断攻击者的想法很直接简单,以至于大多数企业都不认为这是一种主动防御。如果按照我们传统的破坏攻击者节奏的定义,这就是一个很好的例子。阻断措施可以很简单,例如实施防火墙规则阻止攻击者的C2服务器IP地址,或者禁用被盗的电子邮件账户。阻断的关键是先发制人地清除恶意攻击者的资源。
阻断迫使攻击者偏离他们的计划,并尝试不同的方式来实现他们的目标。如果攻击者在继续攻击之前没有改变曾经使用过的IOC,我们就可以通过TTP来揭露他们,并将调查转到他们的新活动中。此外,许多阻断行为可能会因安全策略而触发,比如一个弹出的窗口让用户重置密码,这不是事件响应小组的方向。
2、干扰
如果说阻断措施第一时间清除了攻击者的资源,干扰措施则是将攻击者与资源隔离。在大多数情况下,干扰需要主动观察攻击者,知道攻击者何时处于活动状态,以便实时干扰攻击。举几个例子,比如切断一个正在使用的C2通道,或者干扰黑客对大文件的传输。
3、降级
与干扰和阻断对手类似,降级措施聚焦于减少攻击者正在积极使用的边缘资源。一个容易理解的例子就是在出口限制攻击者的传输带宽,导致大文件的上传变得极其缓慢。这种降级措施尝试缓解攻击者的攻击,并驱使他们尝试以不同的方式访问数据,并暴露他们额外的基础设施、工具或TTP。
干扰和降级对于网络安全防御团队来说是一个有趣而又危险的机会。虽然阻断行动可能会被误解为正常的被动防御行为,但是干扰和降级显然是积极的。他们开始与攻击者展开对话,给攻击者一个暗示,故意让对手知道回应。在这种情况下,攻击者可以采取各种行动,他们可以通过引入更先进的能力并降低攻击的节奏,或者可以走向另一个方向暂时停止攻击,等待热度下降。这是主动防御的风险,需要谨慎采取和做足准备。
4、欺骗
采用最先进的技术,欺骗措施是基于有意识地为攻击者提供虚假信息的反情报概念,并希望他们将其视为真相,并据此做出决定。这包括将错误的文档和不正确的值植入到蜜罐系统甚至网络中。
欺骗行动需要深入了解攻击者的目标、方法、心理以及自己的资源。制作攻击者愿意接受的欺骗材料是非常困难的,因为熟练的攻击者将试图利用其他来源来佐证他们找到的任何材料。
5、破坏
破坏行为会对攻击者的工具、基础设施甚至攻击执行者造成物理或虚拟的伤害。在大多数情况下,这是执法人员、情报人员或军事执法人员的职权范围。这些人员有合法权力可以进行此类行为,对于商业公司或私人企业来说,这样做不仅会被认为是非法的,而且是危险的。他们不太可能拥有有效的计算机网络攻击工具、方法和执行人员,并且可能会有意想不到的后果。这些资源最好是用于改善防御行动。
主动防御是否适合你?主动防御是一个新潮的话题,但是企业应该把它作为安全计划的一部分吗?几乎所有关于复杂主题的问题,答案都是“这取决于”。主动防御不必完全实施。阻断对手是任何企业的职责,实际上大多数人可能已经在做。干扰和降级需要一定的技术成熟度。欺骗是一种先进的策略,具有高回报,但也是高风险的,应该仅限于最高级的安全团队成员使用。正如我们刚才所说的,破坏行动需要具备特殊的法律地位,不适合非政府机构。
三、F3EAD
F3EAD将情报周期的情报生成与事件响应和杀伤链周期的以运营为中心理念结合起来,它是安全运营团队的一个定制方法,F3EAD解决了前面介绍的两个周期中的两个关键问题:
情报周期不应该导致过多的情报:它们应该用于指导有意义的行动。也就是说威胁情报不应该仅仅引导我们获得更多的威胁情报,而是引导我们采取积极的事件响应行动。
情报运营周期不应在目标达成后结束。在任何行动中获得的信息应该开始提供一个新的情报周期。当事件响应结束时,应该将其中产生的信息输入到情报系统中开始查找新的情报,从以前的事件中吸取教训,为将来可能发生的入侵做好准备。
因此,安全运营和威胁情报周期是彼此相互作用的,不是割裂的(如图2所示)。每个事件响应运营的过程会触发情报运营,每个情报运营的过程也会触发事件响应,如此循环。
图2 F3EAD安全作业情报周期
为了实现这个过程,F3EAD使用一个结合情报和安全运营周期的修改版本:查找、定位、消除、利用、分析、传播。正如你所看到的,这意味着要经历事件响应周期,并将结果输入到情报周期中,然后将这些结果反馈回新的事件响应周期。
1、查找
查找阶段包含了运营的目标定位阶段,这是确定情报要解决的威胁方向。情报源头可以有很多,例如来自商业供应商或开源组织。理想情况下,你自己以前的情报周期也应支持这个过程。根据运营或投资策略的不同,这个阶段可由IR团队与情报团队一起决定,甚至可能与外面的团队合作,如SOC团队或管理层。这个阶段与事件响应周期的准备阶段相似。
2、定位
根据查找阶段的信息,定位阶段建立检测并确定对手在网络上的位置以及其他外部威胁。这里需要澄清的是,定位并不代表修复,它指的是在网络中识别攻击者的行为。这涉及获取可用的信息,找出对手可能攻击的系统、服务或资源,他们的通信渠道以及他们如何在网络中移动。我们可以将其视为事件响应周期的识别阶段。
3、消除
消除阶段包括实际的事件响应行为(最原始的军事版本对这个过程会有更多的准备和致命行动,但企业千万不要这么做)。这是采取果断的行动对付对手,进行事件响应周期的遏制、缓解和消除的阶段。
F3EAD的关键点在于IR流程结束后整个周期并没有结束。事后无论企业是否转移团队之间的资源和责任,或是团队自身改变了自己的活动焦点,消除阶段的结束将是利用阶段的开始,也就是F3EAD情报部分的开始。
4、利用
利用阶段对应情报周期的收集过程。我们的目标是收集尽可能多的信息,这对F3EAD的情报聚焦过程有很大帮助:
关于入侵的各种指标:包括IP地址、URL地址、文件哈希值以及邮件地址等
对IOC特征的自动关联(比如反向DNS查询特定IP地址或关联WHOIS数据)
载荷投递的利用代码样本
恶意文件样本
漏洞CVE编号和利用代码
用户事件报告
来自攻击者的通信内容
以前识别出的TTP
攻击者的对象、目标和动机
列出所有可能有用的东西是不现实的,但分析师应该尽可能多地收集有关攻击各个阶段的信息。对照杀伤链的每个阶段,尽可能地收集有关每个阶段的信息。
5、分析
分析阶段对应情报周期的分析过程。在这个阶段,需要通过几种方法来进一步丰富收集到的信息:
攻击者TTP总结
制定时间表和杀伤链
进行深入的恶意软件分析
像情报阶段一样,分析阶段本身是周期性的。恶意软件分析可能会发现更多的IOC特征,这些IOC本身也可以得到丰富,并可能涉及更多的恶意软件。总体目标是对攻击者的TTP进行全面的了解,并着重于如何发现、缓解和应对攻击行为。
6、传播
情报传播主要聚焦在如何呈现给受众:
战术
情报最直接的受众是事件响应团队,是下一个F3EAD周期的开端。他们希望把重点放在IOC和总结TTP。
战略
对于管理层而言,通常只需要发生一个重大事件就可以开始对事件响应和威胁情报团队投入更多的关注和资源。他们感兴趣的是高度概括的TTP(更关注整体的活动而不是个别事件)以及有针对性的行动。这类情报有助于决策者思考在未来的资源分配和更大规模的业务计划(例如进行风险评估)。
第三方
许多企业都参与某种形式的威胁情报分享小组。每个企业都必须确定自己的参与规则。与你的领导和法律团队合作,确定最佳方法,这可能包括任何抽象层次的情报,这取决于你的目标和合作意愿。
无论情报处于哪种水平或面向哪些受众,你都希望传播的信息清晰、简明、准确,并且是可执行的。
7、F3EAD的应用
F3EAD是用来改进安全运营中威胁情报和事件响应的最有力方法之一,也是最困难的一个。难点在于IT部门内各团队间如何高效透明地合作。
让我们忽略细节从总体上看看这个过程:安全运营和事件响应成为威胁情报的输入,威胁情报成为安全运营和事件响应的输入。安全运营团队(不管是SOC、CIRT还是个体工程师)在任何时候完成事件响应,其所有输出的文档、备注、电子取证、恶意软件和研究结果都应传递给情报团队。情报团队利用和分析这些信息,基于这一事件的输出也应该提供给运营团队,循环周而复始,最终形成一个安全运营-威胁情报的OODA循环。安全运营团队使用情报的速度越快,他们可以更快地完成其响应任务,反过来驱动更多的情报。
这种运营+情报的模式不需要限制在SOC和情报团队。漏洞管理和应用程序安全(AppSec)团队也可以使用同样的过程。例如,当应用安全团队发现一个新的漏洞时,这个漏洞可以被视为一个情报。但现实中,我们往往无法保证AppSec工程师是第一个发现漏洞的人,因此需要AppSec团队向SOC提供尽可能多的信息,SOC开始查找以前针对该漏洞进行攻击的迹象。
四、选择正确的模型
模型的目的是提供一个可以用来解释信息和生成情报的框架。用于情报分析的模型多达数百个。这些模型中的一部分是为了通用目的,有些是针对个人或特定用例开发的。在决定使用什么样的模型时,有几个因素需要记住:
第一是可用于分析的时间,它能够帮助确定哪种模型是合适的。如果你有时间进行深入的分析,那么钻石模型可能非常合适。如果你的时间限制,像OODA循环这样的模型可以用来推动决策。第二是信息的类型,也可以决定哪个模型是最合适的。因为一些模型被设计成与某些数据源一起使用,例如网络流量或端点数据的相关模型。第三可以归结为分析师的自身偏好。如果一位分析师发现某个模型在他们的流程中运行良好,那么在其他场景就可以继续使用这个模型。最后,最好的选择有时甚至是自己开发一个新的模型。
微信公众号:计算机与网络安全
ID:Computer-network