当前,网络安全威胁日益突出,勒索病毒、APT等网络攻击愈演愈烈,呈现多样化、复杂化、专业化的发展趋势。《网络空间安全蓝皮书》称,网络冲突和攻击成为国家间对抗主要形式,就在刚刚发布的《2018年我国互联网网络安全态势综述》中数据显示,来自美国的网络攻击数量最多。
如何有效地检测APT等网络攻击?利用威胁情报数据,借助大数据分析和人工智能技术,是目前最有效的手段。
安恒信息首席科学家刘博表示,从生产高质量威胁情报,到使用威胁情报完善安全体系,这个过程中充满各种挑战,难以依赖单方面的力量,这就需要构建完整的生态。
图:构建威胁情报完整生态
世界各国网络空间战略和政策也都指明了,需要加强网络威胁情报和信息共享能力建设。2015年,美国发布《国家安全战略》,设立“网络威胁情报整合中心”;欧盟发布五年《欧盟安全议程》(2015-2020),主要包括加强欧盟成员国之间的信息共享,增强欧洲刑警组织与各成员国的合作等。
安恒首席科学家刘博认为,网络空间威胁情报能力的建设,需要从融合威胁情报数据、“大数据+AI”智能分析、协同处置等角度着手,形成流程的闭环。
融合:构建大数据多源情报生态
威胁情报能力的基础,是威胁情报的收集。安恒的威胁情报从何而来?主要包含以下几个渠道:
1、云端监测:安恒玄武盾每日产生数亿攻击日志
2、全网蜜罐/流量捕获:美欧日等全球各地部署蜜罐流量探针
3、网络空间测绘:每周更新全球43亿资产信息
4、国内外开源/商用情报:200+开源与商用情报源
5、安恒用户分析情报:安恒各类设备,服务分析经客户允许后产生的精准情报
6、威胁情报联盟共享:CNCERT等联盟情报共享
图:多源威胁情报
安恒信息依托SaaS监测服务、云防护服务、蜜罐网络、全球资产探测等能力,同时集成国内外200余家情报源,采用云沙箱、机器学习与专家分析等方式,提炼形成面向服务器安全的高质量威胁情报中心——IoC信誉库、网络资产库、安全事件库、专家情报库四大核心情报库。
细化来看:
1、威胁捕获:捕获全球恶意攻击样本
安恒蜜罐虚拟出网络信息系统来吸引攻击者攻击,对恶意代码和攻击行为的信息采集和分析,形成安全威胁情报,集中到安恒数据大脑(态势感知平台威胁情报采集中心),为攻击检测策略提供参考。
2、Sumap网络空间测绘:发现全球资产风险
Sumap全球网络空间超级雷达,43亿IP扫描空间,利用全网快速扫描引擎,2小时全网极速扫描,完成全网资产探测、漏洞扫描和风险趋势分析。4年多的全球扫描数据积累,利用异步无状态的批量横向资产检测技术,形成全球资产指纹画像与风险库。
图:海量指纹与风险库
3、国内外开源/商用情报/威胁情报联盟共享
安恒数据大脑集成了开源情报、商用情报、战略情报、机读情报、威胁情报联盟共享等多维情报,形成威胁情报生态。
安恒信息将来源于网络空间测绘、大数据智能安全分析(AI)、网络流量分析(NTA)、高级威胁监测(APT)、用户行为分析(UBA)的本地化威胁情报,借助智能安全分析提炼高价值威胁情报,以提高安全事件的检测效率和精准度,辅助态势感知。
智能分析与威胁情报结合:大数据+ AI
面对海量告警的信息过载,我们如何实而不虚的发挥数据和情报的价值?在我们过去的探索中,我们发现有效融合情报的能力作为关键要素,能帮助安全运营人员快速、精准的识别受攻击对象和完成攻击者画像。
利用大数据和人工智能技术,能有效地发挥威胁情报的价值,应用于多个场景:
借助安恒AiLPHA深度感知智能引擎DSI,全面多维度特征提取与画像,通过聚类异常模型、时序基线异常模型等机器学习算法模型与威胁情报相结合,提高准确率与检新率。
2、加密流量处理—监督式机器学习
据 Gartner 预测,到 2019 年,80% 的网站流量都会被加密。攻击者可利用加密流量进行APT攻击。安恒信息利用背景流量数据(contexual flow data)识别TLS加密恶意流量,采用SVM等分类器((有监督机器学习)对加密流量的高维特征空间进行分类,结合威胁情报从而识别加密的恶意流量。
3、基于边界流量中的威胁检测预警
通过近百次安保实践,安恒信息发现每一百台服务器当中事先植入后门的比例是29%,内网出现已经沦陷主机的概率接近100%。安恒信息凭借大数据威胁情报和全流量的能力支撑,对网络流量进行实时分析和检测,对可疑网络行为进行告警,全方位发现失陷主机、从海量攻击事件中识别针对性攻击。
4、高级威胁检测(APT)
通过对攻击行为的模型/知识库与检测告警结合威胁情报分析,判断意图明确的针对性攻击、预期有严重影响的入侵行为、APT组织等。
协同处置:SOAR智能研判、编排与响应
威胁情报需要形成一个闭环,通过SOAR智能编排技术,将人、技术和流程整合,提供快速智能的研判和应急响应能力,自动化分析研判、处置联动、通报预警,流程化完成事件管理,提高协作沟通效率。
应用案例:某大型会议网络安保活动智能处置
1.通过制定安全分析规则、统计模型,进行网络安全事件实时监测;
2.当发生安全事件快速进行攻击来源分析、攻击上下文分析、安全事件逻辑关联分析;
3.对攻击者进行威胁情报碰撞、攻击指纹分析、攻击特征分析
4.对影响范围分析,分析攻击目标,确定攻击的影响范围
5.通过智能研判,确定安全事件的性质、攻击来源、危害程度等
6.进行智能相应,例如:联动处置、通报预警、自动分析报告、对接工单平台。
案例:威胁情报在护网行动的应用
2017年某省公安厅举行网络安全攻防应急演练,安恒信息为其提供技术保障。
技术支持:给演练提供了场地、网络、攻击IP、现场监控、安全实时检测、漏洞记录平台及攻击进展情况大屏展示等全方位技术保障。演练全程采取“背靠背”的方式进行,即事先不通知、攻击源不明确、攻击目标不明确、攻击手段不明确,完全接近于实战。
演练成果:攻击方累计发起了15万次攻击,采用多种攻击手段,发现问题超过百处,典型问题包括弱口令、文件上传、命令执行、逻辑漏洞等。提升被攻击目标防御和应急处置能力,同时锻炼了浙江网警接警、出警、取证的能力。
威胁情报应用:蓝方安全设备发现一个攻击行为,快速研判攻击,将该攻击以情报方式共享至情报中心,海量的情报数据通过大数据AI算法提高情报准确率后,同步给其他安全设备,对下次访问流量进行情报碰撞,快速预警。
知己知彼,方能百战不殆。威胁情报作为网络空间治理的重要一环,需要政府部门、科研院校、网络安全企业、运维服务支撑单位、行业安全专家等形成情报协同、数据协同、能力协同,共同构建网络空间治理与协同防御能力体系。