下一代信息安全: ”情报驱动的信息安全防御“分享

围观次数:388 views



 

分享一篇白皮书《LM-White-Paper-Intel-Driven-Defense》,原文从网上也能下到,个人的认知和理解有限,关于其中的一些重要观点,样例以及一些思考和认识总结如下,不足之处欢迎交流。


    本文围绕着表征威胁的特征指标Indicators。展开大量的描述工作。有很多不错的实例。并且提出情报驱动的安全使得安全从被动到主动的转变,防守方可以通过情报掌握战术的主动性

开始正文

(一)、(威胁)指标和指标的生命周期

指标可以细分为三种类型

  • 原子型:指标指的是不能再细分的攻击元素。比如一起攻击事件中的IP地址、email地址或者漏洞ID等。

  • 计算类型:是一起攻击事件中的原始数据的衍生信息。典型的比如hash值,正则表达式。

  • 行为型:行为型的指标综合了前两种类型的指标。一个例子:”the intruder would initially used a backdoor which generated network traffic matching [regular expression] at the rate of [some frequency] to [some IP address], and then replace it with one matching the MD5 hash [value] once access was established.”

指标生命周期图如下。显示了指标的显示、完善、使用的循环过程。

(二)、入侵攻击链

好多资料都在讲APT的攻击过程,表达的方式有不同,但大致的过程都是一样的。本白皮书是如下表达了APT攻击的一个完成的供给链。

  • Reconnaissance(侦查,充分的社会工程学了解目标);

  • Weaponization(定向的攻击工具的制作。常见的工具交付形态是带有恶意代码的pdf文件或office文件);

  • Delivery 把攻击工具输送到目标系统上。APT攻击者最常用这三种来传送攻击工具,包括邮件的附件、网站(挂马)、USB等移动存储;

  • Exploitation 攻击代码在目标系统触发,利用目标系统的应用或操作系统漏洞控制目标。

  • Installation 远程控制程序(特马)的安装。使得攻击者可以长期潜伏在目标系统中。

  • Command and Control (C2) :被攻破的主机一般会与互联网控制器服务器建立一个C2信道,即与C2服务器建立连接。

  • Actions on Objectives:经过前面六个过程,攻击者后面主要的行为包括 1、偷取目标系统的信息,破坏信息的完整性及可用性等。 2、进一步以控制的机器为跳转攻击其它机器,扩大战果。

    还是上图更清晰。


(三)、防御方可采取的行动

防守方能够采取的措施类别,总结如下。有些直接上原文,更利于大家的理解。

  • Detect: Can you see/find it?(能否检测到攻击)

  • Deny: Can you stop it from happening? (能否避免遭受攻击)

  • Disrupt: Can you stop it while it’s happening?(能否阻止正在进行的攻击)

  • Degrade: Can you make it not worth it?(能否让攻击者觉得攻击不值得,降低其攻击级别)

  • Deceive: Can you trick them [the adversary]?(能否诱骗或重定向攻行为)

  • Destroy: Can you blow it up? (能否摧毁攻击者)

下面是个行为矩阵,综向维度为APT的攻击各个阶段,横向维度为防守主要手段。还是看图更准确。

还有一副更完整的图也一并放在这里。

(四)攻击链的的重构从被动安全到主动安全的转变,掌握战术的主动性

这里讲述了传统的安全防范是在APT攻击的exploitation(攻击代码执行)后才开始进行检测、防御等行为。孤立的自我防御在exploitation此前的阶段不具备相应的技术手段和能力。

真正的安全防范能力应该覆盖攻击者的每个阶段,情报驱动的信息安全可以让防御方在更早的阶段介入到防范工作中。从而在整个攻击链中保持战术的主动。可以更主动的发现攻击探测行为,从而采取手段来进行阻断或干扰攻击者。实现安全从“被动“到“主动”的转变。

(五)案例研究

下面列举了几个威胁指标的样例,这些都可以作为情报信息,进行更主动的检测和防御。

攻击事件(1):以下为X年X月X日检测到的一个攻击事件(1),针对其攻击指标总结如下:

攻击事件(2):1天后,另一起攻击事件(2)也被发现,两起事件的威胁指标如下,可以看到有很多共同的项,包括利用的漏洞、安装的后门、包括C2服务器。


攻击事件(3):两星期后发现的第三起攻击事件(3),将3次攻击的指标放在一个表格中,可以看出很有意思的内容。

安全情报也是近年来安全行业的热点,是一个很大新兴安全细分市场。

1人评论了“下一代信息安全: ”情报驱动的信息安全防御“分享”

发表评论

电子邮件地址不会被公开。 必填项已用*标注

广告赞助