Quantcast
Channel: CodeSection,代码区,网络安全 - CodeSec
Viewing all articles
Browse latest Browse all 12749

威胁情报在应急响应中的应用

0
0
威胁情报概念

对于威胁情报的定义,各个安全研究机构和厂商给出的定义莫衷一是,其中Gartner(全球权威咨询公司)给出的定义相对来说是一个偏狭义但相对组成要素包含比较完整,我们对其原文翻译如下:

“威胁情报是某种基于证据的知识,包括上下文、机制、 标示 、含义和可行的建议,这些知识与资产所面临已有的或酝酿中的威胁或危害相关,可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持。”

对于以上的定义解读,360威胁情报中心曾在《 威胁情报的上下文、标示及能够执行的建议 》及《威胁情报的层次分析》两文中做过深入的解读,有兴趣的话可以参看参考链接。

上述定义中涉及应急响应的关键元素是“标示”(Indicator),更具体的,就是Indicator Of Compromise。IOC通常被翻译为中文的入侵指示器、失陷指标、失陷指示器等,我们将其翻译为 失陷标示 。其作为识别是否已经遭受恶意攻击的重要参照特征数据,通常包括主机活动中出现的文件、进程、注册表键值、系统服务以及网络上可观察到的域名、URL、IP等。

威胁情报还可以被战术情报、作战情报、战略情报,在网络威胁的语境下解释如下:

战术情报 :标记攻击者所使用工具相关的特征值及网络基础设施信息,可以直接用于设备实现对攻击活动的检测,IOC(失陷标示)是典型的战术情报。使用者主要为SOC/SIEM操作、安全运维团队。 作战情报 :描述攻击者的工具、技术及过程,即所谓的TTP(Tool、Technique、Procedure),这是相对战术情报抽象程度更高的威胁信息,据此可以设计检测与对抗措施。使用者主要为事件应急响应、威胁分析狩猎团队。 战略情报 :描绘当前对于特定组织的威胁类型和对手现状,指导安全投资的大方向。使用者主要为CSO、CISO。 应急响应的过程

卡巴斯基在2017年发布了一份应急响应手册,分享了其在网络安全事件应急响应中使用的方法、流程、工具和案例。对于应急过程,划分了六个环节:准备、识别、隔离、清除、恢复、复盘。我们将其粗略合并成四个阶段描述如下:

准备阶段 :在应急响应的准备阶段,包括制定和实施安全防御策略、明确应急响应机制等。 检测与分析阶段 :发现初始异常的告警日志或事件,结合安全检测设备日志、系统日志,进行进一步取证和分析,完成事件定性,来源分析。 隔离、清除与恢复阶段 :在这个阶段需要对攻击事件做出有效的反应,包括对已失陷设备的隔离、清除恶意攻击活动、对受影响的设备和系统进行恢复,以免遭受的攻击影响面进一步扩大,保障业务和系统正常运转。 事后复盘阶段 :在应急响应的最后阶段,需要在事后对整个应急响应过程进行复盘和经验总结,并用于完善应急响应和安全防御策略,以避免未来再次遭受同类的攻击。衍生出新的威胁情报共享,为其他相关组织机构提供新的威胁检测能力。

在这里重点强调一下IOC,在卡巴斯基的应急响应指南中IOC作为最基本的检测手段应用于检测与分析阶段作为了入侵响应的起点,“IOC”一词贯穿了整份应急响应指南(全文共出现了66次)。

威胁情报与应急响应

在过去,企业应对网络安全事件应急响应就像“救火队”,大多只是“就事论事”,着力与攻击事件本身的响应和事后补救,往往造成同类攻击的反复中招和影响。而应急响应需要与时间赛跑,越早发现攻击事件并采取有效的措施,往往能够减少攻击带来的损失和影响。

应急响应和安全运营团队往往面临的问题包括如下:

如何高效地发现攻击和入侵活动,评估影响面 如何获取处置已发现安全事件相关的方法支持 如何基于对于对手的了解设置各个环节上的安全控制措施以阻止将来相同对手或类似攻击手法的入侵 理解目前安全威胁的全貌以实现明智有效的安全投资

通过对威胁情报的大类和应急响应阶段的划分,我们可以系统化地把威胁情报的大类与应急响应的阶段整合成一个矩阵进行作用分析,详细见下表。

战术情报 作战情报 战略情报 准备阶段 引入威胁情报数据并用于SIEM/SOC平台,增加异常告警相关的上下文信息和准确性。 明确应对的威胁类型,主要攻击团伙,使用的攻击战术技术特点,常用的恶意代码和工具;
针对上述信息分析内部的攻击面和对应的响应策略。 全面了解企业面临的威胁类型及其可能造成的影响;
了解行业内同类企业面临的威胁类型及已经造成的影响;
决策用于应对相关威胁的安全投入。 检测与分析阶段 针对告警提供更丰富的上下文信息,并能聚合其他相关的异常信息,提高安全人员识别的效率。 基于威胁情报,明确威胁攻击的类型,来源,针对的目标,攻击的意图。 隔离、清除与恢复阶段 根据相关的IOC集合针对企业内部资产能够加快评估影响面和损失。 基于攻击者的攻击战术技术特点的威胁情报信息,能够帮助安全人员判断当前攻击者已实施的攻击阶段和下一步的攻击行动,针对性进行响应决策。 事后复盘阶段 发现新的IOC信息作为威胁情报补充到内部威胁情报平台,并用于后续的安全运营工作。 帮助完善对整个事件过程的回溯和还原;
更新对攻击者的认知,以更好的应对未来同类的攻击;
结合威胁情报的共享也能够帮助相关行业相关企业应对同类威胁。

表1 威胁情报在应急响应中希望起到的作用

实例分析

最后,我们结合案例说明威胁情报在企业应急响应中应用。这里我们以“海莲花”APT组织为例谈谈企业在应急响应流程如何应对APT威胁。我们选取360威胁情报中心在早年一份报告《海莲花重出水面》(可以参看参考链接),其中按Kill Chain模型总结了“海莲花”组织的攻击过程。


威胁情报在应急响应中的应用

图1 “海莲花”组织APT攻击过程

海莲花APT组织非常活跃,目标广泛,政府、军队、海事、外交等机构是通常的目标,也会针对科研、能源、电力等单位,其主要的目标在于对企业内网持久性的控制并获得企业机密数据和信息资产,目前构成非常现实的威胁,所以大型企事业单位及政府科研院所的CSO和CISO需要在应对APT威胁方面有针对性的安全投入。

在准备阶段,企业内部的安全运营和IT运维团队为SIEM/SOC平台接入包含APT威胁情报的IOC数据,或使用360天眼类型的高级威胁检测设备对流量进行监测,终端上所使用的威胁情报也有助于发现绕过传统病毒查杀软件的高级威胁。

在检测与分析阶段,安全运维人员发现设备检测到有主机对于 nggg***********************************ngggmjgg.ijklbkgn.hieryells.com这种异常域名的解析,命中海莲花网络IOC产生告警,对告警进行基本的确认以后触发应急响应流程。对相关主机上机排查,发现了可疑进程经分析人员基于已知恶意代码家族的分类确认为海莲花团伙所使用的特种木马。针对全网使用网络和主机层面的各类IOC进行匹配,确认了内网失陷的所有感染已知恶意代码的设备。

在隔离、清除与恢复阶段,对包括一个Web服务器和邮件服务器在内的所有终端立即采取网络隔离措施,查杀并清除其上的恶意代码,有必要重装的机器重新安装系统和应用。通过对失陷机器通信进一步分析,发现内网的域控制器也已被攻陷,在其上面发现之前所未知的后门程序,引发更深入的清除和恢复流程。在确认不再有恶意活动后恢复系统和网络配置,保障企业日常对外服务的正常运行。

在事后复盘阶段,回溯入侵的渠道,发现最初的进入来源于鱼叉邮件攻击,攻击者在获取不小心点开邮件的终端的控制权以后,内网横向移动采用了水坑攻击向更多终端分发恶意代码,逐步扩大控制面。最后,使用凭据传递攻击实现了对域控制器的掌控,利用这个超级权限向部分服务器和客户端推送后门,对外打包输出窃取的敏感信息。基于对此攻击过程的了解,加强邮件的恶意代码过滤和安全意识教育非常有必要,对于域控的异常行为监测也需要采取必要的技术措施。在排查和取证阶段发现的攻击者所使用新工具对应的IOC也可以作为非常有用的威胁情报向行业和监管机构公开,实现由点到面的防护。

参考链接

https://ti.360.net/blog/articles/something-about-threat-intelligence/

https://ti.360.net/blog/articles/level-of-threat-intelligence/

https://ti.360.net/blog/articles/resurface-of-oceanlotus/

声明:本文来自360威胁情报中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。


Viewing all articles
Browse latest Browse all 12749