威胁情报驱动:威胁无处躲 “天眼”看得见

来源:奇安信 发布日期:2018-12-06 作者:奇安信

分享到:


有人说,从前的网络空间里,黑白之间泾渭分明,肉眼可见,我们只需要告诉机器什么是黑,什么是白;但现在的网络空间里,黑白之间盘根错节、星罗棋布,甚至形成了大片的灰色地带。网络威胁就躲在其中,蠢蠢欲动。

洞悉网络空间的“眼睛”

从防火墙这类边界设备诞生之日开始,它们就从来没有停止过与外部威胁的斗争。一边绞尽脑汁希望绕过它们直取目标“首级”,另一边想方设法把威胁拦在外边,不得动弹。能看到的是,这场战斗还将持续下去,此消彼长。

但俗话说“不怕贼偷,就怕贼惦记”。面对无论怎样高明的边界防御能力,狡诈的黑客总能找到办法绕过大家心中的“马奇诺防线”,并且在得手后全身而退。这里可以引用电影《地道战》里的一句经典台词来形容攻击者的攻击状态:你打我时,让你打不到、摸不着;我打你时,就要打准你,吃掉你。

于是大家很快意识到,边界只是网络安全的第一道关卡,单单依靠围堵是远远不够的。在围墙式的防御体系里,攻击者一旦采用0day、免杀等手段绕过边界防御后,就如入无人之境,没人知道威胁到底在哪里,做了哪些坏事儿。面对这样情况,受害者肯定特别希望能有一双洞悉一切的“天眼”,让威胁无所遁形。

幸运的是,这双“天眼”被奇安信拿了出来。天眼新一代威胁感知系统可对本地流量进行全量还原、存储与深度分析,同时结合威胁情报、规则引擎、场景化分析、机器学习和沙箱检测,从多个维度来发现高级威胁事件,并且以攻击链的视角重现整个攻击过程,从而为客户提供围绕高级威胁的检测、溯源和响应的完整解决方案。

看清那些原来看不到的未知威胁,这正是天眼的特点。

威胁情报+联动防御

当然,一片“叶子”上的威胁感知,必须要借助针对整个“森林”的威胁研究。对于一个机构而言,想要在入侵早期就把威胁抓住,必须得借助互联网大数据的力量。显而易见的是,威胁情报至关重要。

补天威胁情报中心可以将所有与攻击相关的信息,如攻击团体,恶意域名,受害者IP,恶意文件MD5等相关信息汇总,按照标准格式封装成威胁情报并通过加密通道统一下发到天眼系统内。鉴于威胁情报有着特别强的行业属性,天眼可以为客户提供定制化的专属威胁情报服务。

威胁情报做为天眼整个方案的核心内容承担了连接互联网信息和企业本地信息的重要作用,为APT事件在企业侧的最终定位提供了数据线索和定位依据。在这样一个过程中,威胁情报能够起到两个非常重要的作用:

第一,快速定位。天眼可以将来自补天威胁情报中心的威胁情报,与检测到的特定事件或者异常行为进行关联分析和数据挖掘,并且规则关联引擎+人工智能引擎+虚拟执行检测引擎的多引擎检测架构,从而快速对事件定性,并且锁定失陷主机、远控木马或者其他潜在的威胁。

第二,精准溯源。当天眼发现威胁后,安全人员可以利用本地全量的网络和主机行为日志,并且结合威胁情报进行深入的调查,并且利用搜索、统计、可视化关联等方法和技术,为企业客户呈现一次攻击的完整过程,覆盖攻击的源头、手段、目标、范围等相关信息。

举个简单的例子。假设一家店里的摄像头发现一个人在顾客当中东张西望、鬼鬼祟祟,同时你通过新闻得知,穿这种衣服的可能是某盗窃团伙中的一员,并且专挑年轻女性下手。这时候,你就可以偷偷安排保安针对年轻女性进行特别保护,一旦发现小偷下手就可以当场抓获。

摄像头(天眼)发现异常,结合新闻(威胁情报)上下文信息,这家店挽回了一笔可能发生的损失。

另外,威胁情报在天眼系统中还有一项非常重要的作用。大家都知道,传统的防护体系在多台设备间进行联动往往需要通过特别开发的接口对一种或几种特殊类别的告警或信息进行分发和通知,这种设计往往会制约多种不同设备或系统之间的信息传递。

同时由于对消息接口缺乏一个系统化、规范化的描述,很难对复杂的攻击行为进行准确定义。天眼的一大创新点在于用威胁情报的形式对各种攻击中常出现的特点和背景信息进行记录和传输,而威胁情报将通过统一的规范化格式将攻击中出现的多种攻击特征进行标准化,可满足未来扩展攻击特征以及后续扩展联动设备的需要。

银行业客户实践

在天眼服务过的各行各业中,金融行业由于其高价值的特性,往往成为网络攻击的重点目标。伴随着互联网业务的发展,银行等传统金融机构同样在大力发展电商、网银、在线理财等互联网金融业务。与此同时,其受攻击面也大大增加。

例如,国内某商业银行已经通过部署专业的防火墙、IPS、防病毒软件、终端安全软件等安全防护手段,能够针对主流威胁实现防护。然而基于特征检测的传统安全防御手段只能识别已知威胁,却难以防范以APT为代表的高级威胁,并且难以解决防御设备的误报和联动防御的问题。

部署天眼后,可以采集企业网络流量、终端日志等全量数据,并结合定制化的威胁情报上下文,对特定事件进行关联分析,有效帮助该银行解决了高级威胁检测和误报率高的问题。同时,天眼通过网络流量取证可以还原威胁在本地的历史行为,可清晰的给安全管理人员呈现APT攻击的完整流程。

从2013年推出至今,天眼服务客户近千家,在公检法、金融、政府部委、运营商、石油石化、电力、教育、医疗等行业都具有成功案例,累计成功帮助客户发现和处置超过百余起APT攻击事件,包括海莲花、摩诃草、蔓灵花、黄金鼠等等。