APT攻擊溯源的背景
近年來(lái),APT(高級(jí)持續(xù)性威脅)攻擊愈發(fā)猖獗,為了更好的對(duì)抗APT攻擊,往往需要多種安全能力組合防守,在這其中威脅溯源是必不可少的一環(huán)。高質(zhì)量的威脅溯源可以揭示攻擊者在網(wǎng)絡(luò)中的行動(dòng)路徑,快速定位到攻擊源頭,有助于從全局視角看清威脅入侵途徑和影響范圍,為企業(yè)安全團(tuán)隊(duì)提供足夠的信息,制定更加精準(zhǔn)、高效的應(yīng)對(duì)策略。
然而在現(xiàn)實(shí)中,高質(zhì)量的威脅溯源析往往只有經(jīng)驗(yàn)老到、熟悉各類攻擊技巧的安全分析師才能勝任,而且還需要花費(fèi)大量精力,從海量數(shù)據(jù)中一步步調(diào)查取證,才能完成最終的溯源分析工作。因此威脅溯源對(duì)大部分企業(yè)來(lái)說(shuō)門檻較高,也是國(guó)內(nèi)外EDR產(chǎn)品重點(diǎn)攻堅(jiān)的業(yè)界壁壘之一。
APT攻擊溯源的挑戰(zhàn)
通俗來(lái)講,威脅溯源即是對(duì)APT攻擊入侵及產(chǎn)生威脅過(guò)程的還原,如何完整地還原整個(gè)攻擊過(guò)程,且確保攻擊過(guò)程純凈無(wú)干擾,是衡量威脅溯源能力的核心指標(biāo),二者缺一不可。
完整度指標(biāo)高,但純凈度指標(biāo)低,雖然能夠還原攻擊過(guò)程,但會(huì)雜糅大量非攻擊行為,安全運(yùn)營(yíng)人員還需要花費(fèi)大量時(shí)間進(jìn)一步分析和提取核心攻擊路徑。
反之若純凈度指標(biāo)很高,但完整度低,雖然呈現(xiàn)了真實(shí)的攻擊行為,但由于信息不完整,無(wú)法串聯(lián)起整個(gè)攻擊鏈條,也就無(wú)法溯源到攻擊源頭,同樣也是一次失敗的威脅溯源。
因此只有當(dāng)完整度和純凈度都達(dá)到100%以后,才可以稱之為一次完美的威脅溯源,這也是當(dāng)前EDR產(chǎn)品追求的終極溯源能力,就好比一個(gè)完美的人工智能機(jī)器人,可以精確的從海量的行為中提取出 APT團(tuán)隊(duì)的所有犯罪行為,且不會(huì)夾雜其他非威脅行為,如同抽絲剝繭一樣完美的還原犯罪現(xiàn)場(chǎng)。
騰訊iOA如何解決?
為了提供高完整度和高純凈度的威脅溯源能力,騰訊iOA-EDR自研了下一代全鏈路精準(zhǔn)溯源系統(tǒng),大幅度降低了威脅溯源的難度,提升了企業(yè)安全運(yùn)營(yíng)團(tuán)隊(duì)分析和處置的工作效率。
?全面的數(shù)據(jù)采集是基礎(chǔ)
數(shù)據(jù)采集是威脅溯源的第一步,它為威脅溯源提供了基礎(chǔ)數(shù)據(jù)和分析依據(jù),騰訊iOA-EDR圍繞ATT&CK攻擊鏈自研了一整套數(shù)據(jù)采集引擎,包含了超過(guò)200種數(shù)據(jù)采集探針。
除了用戶態(tài)事件采集以外,iOA-EDR還提供了高穩(wěn)定性的內(nèi)核級(jí)探針,可全方位監(jiān)控系統(tǒng)級(jí)別的操作,捕獲更詳細(xì)和更準(zhǔn)確的系統(tǒng)行為數(shù)據(jù),實(shí)現(xiàn)對(duì)文件、進(jìn)程、注冊(cè)表、網(wǎng)絡(luò)等核心數(shù)據(jù)的采集,最大程度避免數(shù)據(jù)漏采的情況發(fā)生。
由于內(nèi)核級(jí)探針直接運(yùn)行在操作系統(tǒng)內(nèi)核層,雖然數(shù)據(jù)采集更加全面精準(zhǔn)且難以繞過(guò),但也需要與不同版本和不同類型的操作系統(tǒng)實(shí)現(xiàn)兼容,為了保障終端的兼容性和穩(wěn)定性,這就需要EDR廠商有強(qiáng)大的終端安全底蘊(yùn),依托騰訊安全數(shù)十年來(lái)服務(wù)海量用戶的經(jīng)驗(yàn)積淀,iOA-EDR在數(shù)據(jù)采集全面的同時(shí),也實(shí)現(xiàn)了終端兼容性和穩(wěn)定性的平衡。
同時(shí),iOA-EDR還提供了API注入探針,當(dāng)入侵進(jìn)程調(diào)用可疑的API時(shí),API注入探針會(huì)首先捕獲該調(diào)用信息,并記錄相關(guān)的參數(shù)和上下文信息,實(shí)現(xiàn)“沙盒式”采集入侵進(jìn)程。
?如何對(duì)抗斷鏈?zhǔn)顷P(guān)鍵
全面的數(shù)據(jù)采集是精準(zhǔn)溯源的前提,iOA-EDR已經(jīng)憑借全面的數(shù)據(jù)采集探針構(gòu)建了強(qiáng)大的數(shù)據(jù)基石。但想要保證完整的攻擊鏈路還原,還需要攻克另一大難關(guān),即“斷鏈攻擊”。
在實(shí)戰(zhàn)攻防中,APT攻擊往往會(huì)使用各式各樣的斷鏈隱藏技術(shù)進(jìn)行攻擊,包括無(wú)文件攻擊,隱藏腳本攻擊、借用系統(tǒng)服務(wù)命令啟動(dòng)等等,以此來(lái)繞過(guò)常規(guī)EDR的安全檢測(cè),在這些高級(jí)攻擊手段的偽裝下下,一般的EDR產(chǎn)品往往無(wú)法發(fā)現(xiàn)APT攻擊的真實(shí)行蹤,誤以為是系統(tǒng)服務(wù)或常用軟件的合法行為,從而放任風(fēng)險(xiǎn)行為發(fā)生。
為了檢出斷鏈攻擊行為,iOA-EDR自研了完整的斷鏈修復(fù)引擎,可以修復(fù)前述各類隱藏?cái)噫湹墓舴绞剑ㄟ^(guò)增強(qiáng)的注入探針,細(xì)粒度記錄特殊行為,結(jié)合時(shí)序、文件、進(jìn)程等綜合特征信息對(duì)可疑行為進(jìn)行多步驟關(guān)聯(lián),精準(zhǔn)發(fā)現(xiàn)惡意行為,讓攻擊威脅無(wú)所遁形。形成一套體系化的攻擊行為可見(jiàn)能力。
iOA-EDR結(jié)合強(qiáng)大的自研采集引擎和創(chuàng)新性的斷鏈修復(fù)技術(shù),成功攻克了數(shù)據(jù)完整性的難題,接下來(lái)就是精準(zhǔn)還原攻擊鏈路。
?精準(zhǔn)的路徑還原是目標(biāo)
實(shí)際上高純凈度還原攻擊鏈路,比采集完整數(shù)據(jù)的難度更高,還原攻擊鏈路需要對(duì)攻擊行為和其他行為做精準(zhǔn)區(qū)分,這就好比有一個(gè)盜竊團(tuán)隊(duì)潛伏在火車站里,把火車站全部封了容易,但是想要從正常人中找到盜竊團(tuán)伙,這就需要一雙“火眼金睛”來(lái)發(fā)現(xiàn)盜竊團(tuán)隊(duì)的蛛絲馬跡了。
為了從海量信息中抽絲剝繭,提取出“盜竊團(tuán)伙”的攻擊全鏈路,騰訊iOA團(tuán)隊(duì)自研了一套基于大數(shù)據(jù)的上下文智能染色圖譜引擎,參考了防疫時(shí)期全面檢測(cè)、精準(zhǔn)防控的防護(hù)思路,通過(guò)層層過(guò)濾和篩選實(shí)現(xiàn)了精準(zhǔn)的攻擊鏈路還原。
1. 從攻擊鏈路末尾開(kāi)始,也就是從最容易識(shí)別的威脅破壞行為入手,類似疫情中有明顯感染癥狀的人群,采用多色標(biāo)記感染圖譜模型。將高可疑的攻擊節(jié)點(diǎn)染成紅色,紅色節(jié)點(diǎn)又能通過(guò)圖譜關(guān)聯(lián)其行為鏈路,將其他可疑感染節(jié)點(diǎn)染為紅色。
2. 考慮到攻擊者在攻擊時(shí),經(jīng)常使用暗度陳倉(cāng)的戰(zhàn)法,通過(guò)借殼合法的系統(tǒng)服務(wù)、常用軟件來(lái)隱藏自身攻擊的行為,這類節(jié)點(diǎn)會(huì)被圖譜引擎暫時(shí)標(biāo)記為黃色風(fēng)險(xiǎn)節(jié)點(diǎn)。
3. 在檢測(cè)過(guò)程中,若判定目標(biāo)節(jié)點(diǎn)的上下文信息均為安全信息,則默認(rèn)為無(wú)需關(guān)注,對(duì)于不用關(guān)注的干擾節(jié)點(diǎn)則標(biāo)記為灰色節(jié)點(diǎn)。
基于完整的攻擊圖譜,沿著攻擊鏈路末尾不斷搜索和關(guān)聯(lián)相關(guān)節(jié)點(diǎn),通過(guò)不同節(jié)點(diǎn)之間的關(guān)聯(lián)關(guān)系來(lái)標(biāo)記出不同的顏色,最終自動(dòng)化的構(gòu)建出一套精確完整的APT攻擊鏈路圖,直達(dá)威脅產(chǎn)生源頭,為下一步安全決策提供有效依據(jù)。
在實(shí)戰(zhàn)攻防過(guò)程中,有數(shù)據(jù)顯示,通過(guò)傳統(tǒng)的人工查詢和分析方式進(jìn)行溯源通常需要花費(fèi)1天時(shí)間,且需要高級(jí)安全工程師介入。而使用iOA-EDR實(shí)現(xiàn)精準(zhǔn)溯源,可將溯源時(shí)間降低至10分鐘以內(nèi),且只需有基礎(chǔ)安全運(yùn)營(yíng)經(jīng)驗(yàn)的分析師就可以勝任。騰訊iOA-EDR的精準(zhǔn)溯源能力讓威脅溯源的門檻大大降低,大幅度提升了企業(yè)的溯源效率。
(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。 )