分享一篇白皮书《LM-White-Paper-Intel-Driven-Defense》,原文从网上也能下到,个人的认知和理解有限,关于其中的一些重要观点,样例以及一些思考和认识总结如下,不足之处欢迎交流。
本文围绕着表征威胁的特征指标Indicators。展开大量的描述工作。有很多不错的实例。并且提出“情报驱动的安全”使得安全从被动到主动的转变,防守方可以通过情报掌握战术的主动性。
开始正文:
(一)、(威胁)指标和指标的生命周期
指标可以细分为三种类型
-
原子型:指标指的是不能再细分的攻击元素。比如一起攻击事件中的IP地址、email地址或者漏洞ID等。
-
计算类型:是一起攻击事件中的原始数据的衍生信息。典型的比如hash值,正则表达式。
-
行为型:行为型的指标综合了前两种类型的指标。一个例子:”the intruder would initially used a backdoor which generated network traffic matching [regular expression] at the rate of [some frequency] to [some IP address], and then replace it with one matching the MD5 hash [value] once access was established.”
指标生命周期图如下。显示了指标的显示、完善、使用的循环过程。
(二)、入侵攻击链
好多资料都在讲APT的攻击过程,表达的方式有不同,但大致的过程都是一样的。本白皮书是如下表达了APT攻击的一个完成的供给链。
-
Reconnaissance(侦查,充分的社会工程学了解目标);
-
Weaponization(定向的攻击工具的制作。常见的工具交付形态是带有恶意代码的pdf文件或office文件);
-
Delivery 把攻击工具输送到目标系统上。APT攻击者最常用这三种来传送攻击工具,包括邮件的附件、网站(挂马)、USB等移动存储;
-
Exploitation 攻击代码在目标系统触发,利用目标系统的应用或操作系统漏洞控制目标。
-
Installation 远程控制程序(特马)的安装。使得攻击者可以长期潜伏在目标系统中。
-
Command and Control (C2) :被攻破的主机一般会与互联网控制器服务器建立一个C2信道,即与C2服务器建立连接。
-
Actions on Objectives:经过前面六个过程,攻击者后面主要的行为包括 1、偷取目标系统的信息,破坏信息的完整性及可用性等。 2、进一步以控制的机器为跳转攻击其它机器,扩大战果。
还是上图更清晰。
(三)、防御方可采取的行动
防守方能够采取的措施类别,总结如下。有些直接上原文,更利于大家的理解。
-
Detect: Can you see/find it?(能否检测到攻击)
-
Deny: Can you stop it from happening? (能否避免遭受攻击)
-
Disrupt: Can you stop it while it’s happening?(能否阻止正在进行的攻击)
-
Degrade: Can you make it not worth it?(能否让攻击者觉得攻击不值得,降低其攻击级别)
-
Deceive: Can you trick them [the adversary]?(能否诱骗或重定向攻行为)
-
Destroy: Can you blow it up? (能否摧毁攻击者)
-
下面是个行为矩阵,综向维度为APT的攻击各个阶段,横向维度为防守主要手段。还是看图更准确。
还有一副更完整的图也一并放在这里。
(四)攻击链的的重构(从被动安全到主动安全的转变,掌握战术的主动性)
这里讲述了传统的安全防范是在APT攻击的exploitation(攻击代码执行)后才开始进行检测、防御等行为。孤立的自我防御在exploitation此前的阶段不具备相应的技术手段和能力。
真正的安全防范能力应该覆盖攻击者的每个阶段,情报驱动的信息安全可以让防御方在更早的阶段介入到防范工作中。从而在整个攻击链中保持战术的主动。可以更主动的发现攻击探测行为,从而采取手段来进行阻断或干扰攻击者。实现安全从“被动“到“主动”的转变。
(五)案例研究
下面列举了几个威胁指标的样例,这些都可以作为情报信息,进行更主动的检测和防御。
攻击事件(1):以下为X年X月X日检测到的一个攻击事件(1),针对其攻击指标总结如下:
攻击事件(2):1天后,另一起攻击事件(2)也被发现,两起事件的威胁指标如下,可以看到有很多共同的项,包括利用的漏洞、安装的后门、包括C2服务器。
攻击事件(3):两星期后发现的第三起攻击事件(3),将3次攻击的指标放在一个表格中,可以看出很有意思的内容。
思路清晰,翻译的挺好