其他
【演讲厅】态势感知的支撑和价值落地
态势感知的支撑和价值落地
——安天首席架构师肖新光
(本文根据安天首席架构师肖新光在2017网络安全生态峰会所作报告录音及安天内部学习资料整合而成)
一、现状反思与回归本源
当前正在实施的较大比例的态势感知工程项目是基于大规模扫描探测或开源威胁情报向可视化效果的粗浅叠加,即“地图炮”,这就是态势感知当前的普遍实践。在这种庸俗化的倾向下,态势感知没有走向“鹰的眼睛、狼的耳朵(复合感知)、熊的力量(支撑体系)、豹的速度(响应)、人的大脑(决策)”,而是变成了一只“孔雀”,一种被美丽尾羽所负累的飞鸟。原本它应该是一个有效地进行观察、思考、决策的体系,但是现在其整体价值都被这种表现力所干扰。
安天本身也是可视化技术的先行探索者之一,这种实践更告诉我们,单纯的可视化改善不带来能力提升。2010年通过样本分析流水线仪表盘的可视化,我们的运维人员可以对整个后端样本自动化分析的运行情况进行有效的检测和干预。在后续整个处理平台的改进中,开发小组曾经尝试使用3D漫游的方式进行展示,尽管机理的揭示更加直观,但是其实际价值、运维价值明显弱于2D界面。可见,单纯表现力的改善并没有带来生产力,甚至会导致生产力的后退。
在网络空间陷于“乱花渐欲迷人眼”之时,也许我们要回到传统空间去寻找一些启示和答案。正如我们多次强调的那样,网络空间并不是一个完全独立于传统空间的特异性场景。比如,在传统政经领域中,对于威胁的经典认知是“威胁是能力和意图的乘积”,而在网络空间的APT(高级持续性威胁)中,“A”(高级性)就是其能力,“P”(持续性)就是其意图,“T”就是威胁,“A”、“P”、“T”三者之间的关系是,“T”是“A”和“P”的乘积,这是符合传统的对于威胁的认知规律的。
网络空间的威胁之所以被逐渐重视,首先,不在于其特殊性,而在于其达成了传统空间攻击作业的等效性,并且逐步具有更高的效费比。这一点我们在之前的报告中通过对比“凋零利刃计划”、“巴比伦”行动(美国、以色列对伊拉克核反应堆的空中打击)与“震网”事件已经进行了阐述;其次,如果进一步去对比“震网”事件、“乌克兰停电事”件和伪装成“必加(Petya)”的攻击事件,我们可以看到,网络攻击关键信息基础设施的成本正在不断降低。
▼表 1 “震网”事件、“乌克兰停电事件”、“必加”事件对比
“震网”事件 | |
主要攻击目标 | 伊朗核离心设施 |
关联被攻击目标 | Foolad Technic Engineering Co(该公司为伊朗工业设施生产自动化系统) Behpajooh Co.Elec & Comp.Engineering(开发工业自动化系统) Neda Industrial Group(该公司为工控领域提供自动化服务) Control-Gostar Jahed Company(工业自动化公司) Kala Electric(该公司是铀浓缩离心机设备主要供应商) |
作用目标 | 上位机(Windows、WinCC)、PLC控制系统、PLC |
造成后果 | 大大延迟了伊朗的核计划 |
核心攻击原理 | 修改离心机压力参数、修改离心机转子转速参数 |
使用漏洞 | MS08-067(RPC远程执行漏洞) |
MS10-046(快捷方式文件解析漏洞) | |
MS10-061(打印机后台程序服务漏洞) | |
MS10-07(内核模式驱动程序漏洞) | |
MS10-092(任务计划程序漏洞) | |
WINCC口令硬编码 | |
攻击入口 | USB摆渡 |
人员植入(猜测) | |
前置信息采集和环境预置 | 可能与DUQU、FLAME相关 |
通讯与控制 | 高度严密的加密通讯、控制体系 |
恶意代码模块情况 | 庞大严密的模块体系,具有高度的复用性 |
抗分析能力 | 高强度的本地加密,复杂的调用机制 |
数字签名 | 盗用三个主流厂商数字签名 |
攻击成本 | 超高开发成本 |
超高维护成本 |
“乌克兰停电事件” | |
主要攻击目标 | 乌克兰电力系统 |
关联被攻击目标 | 乌克兰最大机场基辅鲍里斯波尔机场 乌克兰矿业公司 乌克兰铁路运营商 乌克兰国有电力公司UKrenergo 乌克兰TBS电视台 |
作用目标 | 办公机(Windows)、上位机(Windows)、以太网-串口控制器 |
造成后果 | 乌克兰伊万诺-弗兰科夫斯克地区大面积停电 |
核心攻击原理 | 通过控制SCADA系统直接下达断电指令 |
使用漏洞 | 未发现 |
攻击入口 | 邮件发送带有恶意代码宏的文档 |
前置信息采集和环境预置 | BlackEnergy采集打击一体 |
通讯与控制 | 相对比较简单 |
恶意代码模块情况 | 模块体系,具有复用性 |
抗分析能力 | 相对比较简单,易于分析 |
数字签名 | 未使用数字签名 |
攻击成本 | 相对较低 |
伪装“必加(PETYA)”事件 | |
主要攻击目标 | 乌克兰系列关键信息基础设施 |
关联被攻击目标 | 乌克兰(副总理Pavlo Rozenko、国家储蓄银行(Oschadbank)、Privatbank等银行、国家邮政(UkrPoshta)、国家电信、市政地铁、乌克兰首都基辅的鲍里斯波尔机场、电力公司KyivEnergo),连带影响了部分周边国家。 |
作用目标 | 办公机(Windows)、上位机(Windows) |
造成后果 | 乌克兰多个关键信息基础设施瘫痪 |
核心攻击原理 | 对文件进行加密并影响系统引导 |
使用漏洞 | MS17-010(1DAY) |
攻击入口 | 入侵软件升级 |
前置信息采集和环境预置 | 不详 |
通讯与控制 | TOR(暗网) |
恶意代码模块情况 | 模块简单,具有复用性 |
抗分析能力 | 相对比较简单,易于分析 |
数字签名 | 无效的微软数字签名 |
攻击成本 | 成本极低 |
在这样的一个认知下,网络空间领域与传统空间的特殊性、差异性,是建立在共性基础上的。下表是从安天公益翻译组正在翻译的《Cyber Defense and Situational Awareness》一书中所提炼出的一个图表。
▼表2 传统战争和网络战争的对比
传统战争 | 网络战争 | |
领域 | 在很大程度上是不变的物理世界 | 虚拟世界是高度可塑的,容易被欺骗 |
军事政策 | 防御者具有优势 | 攻击者具有优势 |
数学定义 | 兰切斯特方程1定义的实兵对抗“交战” | 网络活动是潜在的无规模的 |
必要资源 | 资源密集型,需要具有综合能力的组织(即后勤保障) | 资源非密集型:规模可小到具有很少先决条件能力的个人 |
威胁特征 | 物理上可观察 | 隐藏在网络中,可以采取多种形式 |
军队规模 | 依赖空间和时间,存在提前预警可能 | 不受约束,几乎没有提前告警 |
检测 | 通过多个可能性“命中点”分布,从ISR3资产传感器到巡逻单位 | 取决于自动化和基于规则的入侵检测系统(IDS);分析师梳理大量日志文件并创建新的攻击签名 |
大数据挑战 | 管理数据收集、情报分析 | 检测(攻击相关)取证分析 |
分析挑战 | 在民众(网络)中寻找叛乱分子网络 | 寻找新的威胁/开发签名 |
攻击特征 | 在空间和时间范围内展开 | 瞬间大量并行 |
影响 | 线性效应影响即时已知,可归因于对手 | 非线性(潜在级联)效应,其影响可能隐藏、未知且长时间未被发现,不可归因于对手 |
战斗损伤评估(BAD) | 可观测、可量化
| 一些具有许多潜在复杂高阶效应的可观察对象;需要取证,且可能需要数月 |
可视化 | 通用作战图;反叛乱行动需要网络分析和依赖图 | 攻击图、依赖图和网络地形 |
欺骗 | 主要体现在战略层面,需要大量的计划,且资源密集型 | 主要体现在战术层面,计划需求少,非资源密集型 |
因此,我们在看待态势感知时,要回归到其本源的要求。习近平总书记在4.19网信工作座谈会上要求我们实现“全天候、全方位感知网络安全态势”,结合态势感知的经典定义“在一定时间和空间内观察环境中的元素,理解这些元素的意义,并预测这些元素在近期未来的状态”,那么态势感知的要求和定义之间的映射关系是,“全天候”是一个“时间”和“条件”的概念;“全方位”是一个“空间”的概念;“感”对应“观察”;“知”对应“理解”;“网络安全”意味着对应的认知域;“态”对应“元素的意义”;“势”对应“近期未来的状态”。这是对整个态势感知的一个有效理解。而观察、理解和预测,构成了态势感知工作的三个核心环节。
我们今天的网络态势感知是需要从传统的态势感知中汲取相应的经验和营养的,因为传统的态势感知相对更成熟,其在军事对抗中由更大成本所支撑。传统态势感知和网络态势感知可以从任务输出成果、相应的表达、信息的搜集和组织共享、认知偏差以及协作和感知共享几个方面进行比较,通过比较可以发现,网络空间还面对很多尚未有效解决的问题。
▼表3 传统态势感知和网络态势感知的相似性与区别[1]
传统态势感知 | 网络态势感知 | 研究导向 | |
任务输出结果 | 其特点在于定量、有形的指标(例如,敌方目标的位置和数量) | 任务定义指标尚未明了 | 制定与任务及任务结果相关的网络态势感知指标 |
表达 | 倾向于使用普遍接受、广泛使用的组织范例——战场的物理地形(例如地图) | 无地图式共同参照 | 共享非物理网络“地图”研发 |
信息收集,组织与共享 | 及时处理关于当前战斗状态的大量数据(例如管理动态、移动和相对稀缺的传感器)所带来的挑战 | 需要对来自自动化传感器、入侵检测系统及相关分析报告的异构信息进行组织、协调和及时的分析,上述问题构成了严峻的挑战。 | 能够有效代表并融合抽象最佳层次信息的方法 |
认知偏差 | 确认偏差和可用性启发的影响较大 | 风险规避、认知偏差以及可用性启发式的相关证据 | 关于认知偏差的形成及机制的附加研究 |
协作/态势感知共享 | 必须控制、激励并同步协作,以减轻潜在的工作人员认知偏差和对宝贵认知资源的误导 | 任务责任在个人层面进行管理(通常不共享) | 鉴于网络领域的可塑性,一套普适的概念、术语和边界对象对于网络态势感知开发至关重要,应成为研究的重中之重 |
想要达成一个有效的态势感知,也需要像OODA模型、学习战机飞行员“狗斗”一样,最后形成一系列可拆解的规定动作。这种规定动作就可以转化为人借助相应的工具所能达成的手工流程,再随着整个手工流程的实践逐渐转化为一个有效的、可以由专家经验和知识学习共同推动的过程。
▼表4 网空行动操作员态势感知需求示例[2]
态势感知第一层需求 | 态势感知第二层需求 | 态势感知第三层需求 |
时间 | 记录内容对告警评估的影响 | 预测的来自已知攻击事件的攻击利用方式 |
识别特征/数据包/协议 | 目的端口活动对告警评估的影响 | 预测的新威胁的攻击利用方式 |
内部IP地址(目的地址) | 目的节点对告警评估的影响 | 预测的网络漏洞 |
外部节点IP地址(源地址) | 源IP对(期待中的)告警评估的影响 | 预测的已知攻击者的活动 |
攻击事件的报告 | 近期攻击事件对报告的影响 | 预测的潜在攻击事件对网络的影响 |
受控活动的流量行为 | 与预期目的(地址或端口)行为的偏差对告警评估的影响 | 预测的潜在攻击事件对任务的影响 |
来自外部来源的信息 | 端口和协议之间关系对告警评估的影响 | 告警评估 |
数据包载荷比对对告警评估 的影响 | 预测新的网络防御应对措施 | |
恶意活动结果对现有应对措施和防护方案的影响 | 预测的可逃逸实时检测的恶意活动类型 | |
目的IP对确定真实源IP的影响 | 预测的用于通信的信息水平 | |
取证分析对行动方案(COA)的影响 | 预测的相关攻击的更广泛牵涉范围 | |
新的攻击利用方式对任务资产的影响 | ||
资产对进行中的任务的影响 | ||
攻击向量对资产的影响 | ||
通信历史记录对破坏评估的影响 | ||
时间对误报频率的影响 | ||
报告对告警评估的影响 | ||
关联攻击事件对告警评估的影响 | ||
异常行为对告警评估的影响 | ||
受损节点对网络健康状态的影响 | ||
开放随机端口对网络漏洞的影响 | ||
红队(译者注:Red Forces,指网络安全对抗演练中负责进攻的团队)对未来攻击的影响 | ||
系统漏洞利用对未来攻击事件的影响 | ||
已知攻击事件对潜在攻击利用方式的影响 | ||
潜在攻击利用方式对威胁评估的影响 | ||
攻击向量对攻击者身份的影响 | ||
数据载荷大小对告警评估的影响 | ||
数据包载荷比对对告警评估的影响 |
所以,从工程意义上来看,态势感知注定是一套业务系统,而不是“展示系统”。
二、改善我们的采集和对象处理
对于态势感知而言,应该是有“感”才能有“知”,那么当前“感”的能力是否足够,是否能够有效支撑价值?
粗糙的态势感知把大规模的扫描器或者开源的威胁情报叠加到可视化手段上;而业务化的部分态势感知实践,则是在传统SOC/SIEM的基础上进一步做一些可视化展示能力的加强。这就带来了一个很有趣的问题,从一个平台系统的角度来看,态势感知是SIEM/SOC的整容版吗? SOC源自,有大量的离散的安全环节没有形成整体能力,为达成对这些安全环节的有效组织,使之成为一个相对协调的整体;SIEM源自,由于没有任何一种单一环节能采集所有信息,所以将设备、应用系统和产品的日志,以及端点侧、流量侧不同的安全产品的日志汇聚起来,基于整个安全事件与事故的数据提交形成分析能力。
SOC和SIEM都有其历史价值,但SIEM/SOC所面临的一个情况是,它们都是晚于成熟的安全产品品类产生的,这就带来了一个问题,这些传统产品自身的能力和采集的覆盖面积,是否能够支持当前全面性的威胁对抗场景下的要求?而态势感知则是要求我们传统的有探针价值的安全产品,逐渐转化为有效的感知探针。
以经典的开源IDS Snort为例,总体上来看,其是由被规则匹配到的事件的五元组和相应的规则名称构成相应的基础日志,当然其也带有一些局部的扩展能力,但依然十分薄弱。这也意味着所有不能够被规则匹配的流量是不会被记录的,这就使得传统的IDS先天不会是一个完整的流量分析和记录的工具,而流量分析和记录工具往往又没有相应的威胁识别和检测能力,因此,两者都很难完整地服务于态势感知体系。
规则匹配记录异常、五元组解析对于流量侧的态势感知是不够的,需要在不同的协议分支上,展开更多的采集点和基础数据,使其无论是否匹配到威胁,都会进行符合工作配置要求的持续性数据积累。基于我们根据全数据解析设计的新版探海威胁检测系统,我们可以对传统IDS的采集能力和探海的全要素采集能力进行对比,可以看到,两者之间在采集要素方面具有较大的数量差异。
可见,只有形成非常细粒度的流量侧的采集能力,同时在实际场景中,根据安全需求和资源进行按需采集,并且根据专家经验渐进达到一种自适应采集的程度,才有可能在当前安全威胁日趋高级和隐蔽的情况下,在第一攻击波往往会注定性地穿透防线的情况下,达成即使威胁未被检出,但同样会形成雁过留痕的可追溯数据的能力,从而改变威胁对抗的时空。
如果我们对流量侧和端点侧的数据进行相应的细腻解析,我们会捕获到大量的未知文件,那么对于这些文件,我们应该如何处理?作为国内最早探索沙箱技术并将其广泛应用到产品和工程实践中的团队,我们同样需要指出一种值得忧虑的倾向——正在把沙箱转化为一种合规性的环节,把沙箱视为一种鉴定器,把相应的对象丢入沙箱等候结果视为样本型对象处理的全部,却忘记了沙箱的更有效价值不是威胁鉴定,而是漏洞触发、行为揭示和威胁情报生产。沙箱是基于内部环境条件对样本进行执行分析,因此,沙箱带来的一定是样本要素的一个结果子集,不可能带来样本更全面的威胁覆盖。
实际上,大量样本在沙箱中是很难形成分析结果的,其中不乏很多经典事件的样本。例如,WannaCry(魔窟)的灭活域名机制,因很多沙箱有模拟对所有域名请求进行应答的机制,这将导致其第一时间被穿透;类似“震网”的USB摆渡行为,是基于复杂的逻辑定义的,类似于“方程式”的主机作业模块积木,每个积木块都难以单独执行运行,也难以触发对恶意行为的加权判断。因此,简单地把沙箱当作是“放之四海而皆准”的、有效的分析环节是完全不够的,仅仅依靠动态所形成的向量拆解也是不够的。更何况,当前大量的沙箱并没有作为一种向量拆解器被使用,而是作为一种简单的动态判定器被使用。
除了动态分析,一个有效的对象处理还需要进行深度的静态格式解析,这就必须改造传统的反病毒引擎。对于可检出的对象,传统检测引擎仅仅能够赋予一个相应的名称,从名称的角度来看,其提供了简单的分类、环境、家族和变种等信息,但是不能提供更多的信息。安天倡导下一代威胁检测引擎的意义是,其不仅仅是一个静态的鉴定器,更是具备全对象识别和解析能力的鉴定分析器。下一代威胁检测引擎可以针对任意对象输出包括检测结果和向量拆解结果的结构体,不仅仅具有检测功能,还能进行大量的向量提取,而利用这些提取出的向量,并经过相应的计算和标签化,就可以绘制出样本的行为,整个过程是不依赖于动态分析的。
对于传统引擎和下一代引擎均无法检出的对象,传统引擎只给出了“这个文件是OK的”的结果,但是下一代威胁检测引擎依然可以在无检出的情况下输出整个向量解析结果,基于这些解析结果,上层就可以通过决策来得出其具有反调试行为、键盘记录行为和获取系统信息行为等判断,从而实现向向量提取、知识标签的转化。
▲图2 传统检测引擎(左)和下一代引擎(右)的输出对比
从传统的威胁检测引擎和对象的鉴定器来看,其存在着一种有条件的分析,即是否能够告警决定了整个威胁的价值。而对于下一代威胁检测引擎而言,不存在单纯的有毒对象和无毒对象的概念,只存在分析对象的概念,将实现对一切对象的识别和拆解,并基于拆解结果构成一个分析大数据的空间。
▲图3 安天下一代引擎的格式解析能力
假定这种作业场景不是在网络侧,而是在主机侧。主机上的对象,一方面具有基于下一代引擎针对每一个对象的拆解结果;另一方面又具有主机上环境场景的向量化,以及对主机上所有对象形成的向量集合,最后这些内容将构成一个整体的向量大数据场景。在一定程度上,这种基础能力也是对如今非常热门的EDR模型的有效支持。
三、有效防护和价值落地
今天是安天态势感知系列报告的第一篇,因此我希望不在决策方面做展开,而来谈一谈态势感知系统和有效防护的关联以及价值落地的问题。
态势感知系统首先一定是依赖于专家经验的,从安天自身的角度来看,我们曾做出了很多获得业内好评的预测。2015年5月27日[3]以及2016年11月4日[4],我们先后在两篇报告中明确指出了网络军火失控和外溢所带来的安全问题;在2016年的威胁年报[5]和其他文献中,我们对“勒索病毒采用更多方式进行投放”以及“蠕虫回潮”也做出了相应的预见。但是这些预见除了带动我们自身的产品和能力升级之外,是否带动了有效的社会能力提升?我们自身是持有反思态度的,其中很大的问题是,一个安全企业向公众、主管部门释放安全信息本身也存在着最佳成本时点问题。尽管我们在2017年3月对微软针对相关SMB服务的补丁提出关注,对4月14日的网络军火泄漏的大规模利用也提供了预警,但是从4月14日到5月12日之间,在发现了使用“永恒之蓝”漏洞的地下黑产程序后,我们反而没有特别明确地去强化这一漏洞可能会被大规模使用的观点。如果相关的安全资源在这一时间点有效地、密集地投放,那么针对可能出现的WannaCry式的威胁的防护就会变得相对更前期和有效,就将不再是一种预言家式的过前判断,而会有效地转化为行动能力。
如果对从3月发布相应补丁,到4月14日的漏洞利用,再到后续出现的黑产工具形成一个有效的分析链,我们将发现,这不是一个简单的规则匹配问题,其实是一个知识体系支撑的问题。针对WannaCry事件,我们的观点是,这次“应急处理”总体上是成功的,但是从整个社会机体响应WannaCry的情况来看,我国当前所面临的核心问题不是应急问题,而是一个无效防护的问题。
▲图4 安天响应“魔窟”蠕虫的时间表
勒索软件不应该是一种依靠应急响应去做普遍性应对的威胁形式。通过针对乌克兰的模仿成“必加”的攻击可以看到,这种攻击本身就是以破坏数据为目的的,那么我们应该如何进行相应的有效响应?只有通过有效防护去收窄最终的响应面,整个的社会应急成本才是收敛的。如果我们不能够普遍性地建立全社会的基础的有效防护能力,完全把相关责任抛给应急,就必然会呈现出需要处置的威胁不收敛的情况。
回退到具体的态势感知系统来看,假如在一个态势感知系统所防御的范围内,没有基础的有效的防御能力,就势必要把大量的低级化的安全事件推送到态势感知系统中,并进行相应的决策和处理,这就使得需要态势感知系统做出判断和人力研判的事件全面增加,所驱动的响应面呈现出扩散形势,导致整个态势感知变成了一个无法用来指导最终价值落地的环节,因为整个事件是不收敛的。
勒索软件如果是基于文件加密的,必然会出现批量地读取文档文件,并进行大规模读写操作的情况,一旦一种威胁的形态具有一种可概括的整体属性,就可以形成整体防御点。安天2016年10月之后的“智甲”客户端版本都可以对这些行为进行拦截,但如果没有这些环节,那么后续就会更多的依赖于大量手工工具的持续处理,整个成本将是不收敛的。
而从之前非常流行的“暗云”木马的角度来看,假定一个安全产品并不具备对非常不正常的行为进行拦截(比如,对MBR的写入行为进行有效拦截)的功能,当这个木马写入MBR中,具备了先发优势,而且在具有驱动且对检测和处置MBR具有“保护机制”的情况下,整个处理成本将是非常高昂的。
▲图5 安天“智甲”对“暗云”木马和勒索病毒的行为拦截
当然,我们并不能指望着防御能处理所有的问题,如果单点防御能够处理所有问题,那么态势感知就将是无价值的,但是如果没有基础的有效的防御能力,态势感知将是无意义的。
四、态势感知的视角与支撑
态势感知的一个合理视角应该是什么?当我们把大规模轻载扫描的漏洞探测结果叠加到地图上,并认定这是一种态势感知时,这实际上是一种节点脆弱性视角;当我们把流量侧数据简单地叠加到可视化上时,这实际上是一种检测事件维度的视角。如果从一个偏哲学意义的角度去认识态势感知,实际上,网络威胁态势感知是一个对网络空间中的主体、客体和关系进行认识和表达的过程,主体、客体和关系是认知论中的核心要素。无论是攻击组织、用户,还是安全厂商、机构或者其中的个体,都是主体;无论是攻击者所使用的计算机网络设备和工具,还是防御方所拥有的安全资产,都是客体。就客体而言,既包括有型的服务器、设备,也包括无形的数据资产;主体和主体之间存在着相应的关系,一个主体如果想要对另一个主体进行攻击,就是相应的意图,而攻击从攻击方的客体设施到达防御方的客体资产,就构成了关系。因此,安全事件是一个关系表达。
从这个角度来看,态势感知在很大程度上并不是一个威胁检测环节,它带来了威胁认知模式上的演进。从安天的威胁认知来看,我们将重要性的威胁拆解为几个维度:载荷(其中所使用的恶意代码和其他的软件工具)、行为(在主机上和网络上做了什么)、攻击方所使用的资源体系、攻击方所承载的攻击装备(攻击平台、载荷载具等)、攻击者是谁、攻击者的目的是什么、谁被攻击了、哪些资产被攻击了,以及对于相应的后果应该如何评价。这就是把传统的载荷检测、行为检测、信标检测转化为一个整体性的有依托的威胁认知。
用户的本质目的实际上就是通过相应的检测与防御最后阻断攻击者的意图,达成保护自身资产的可用性、可靠性、完整性和保密性的目的。安天认为态势感知是围绕资产(即客体)展开的,其对资产的信誉、风险进行评估,对资产与威胁的关系进行揭示,对主体进行画像,对主体与客体进行关联。
安天提出把威胁检测转化为威胁认知,并从九个维度来认知威胁。在相关的事件分析中,我们都在维护威胁认知图谱。我们可以看到,传统的检测和防御都是在一个层面上,但是在当前的场景下,我们要把整个能力扩展到一个更加宽阔的背景中,这就对相应的组织提出了更高的要求。
▲图6 来自南亚次大陆的部分APT攻击的威胁认知图谱
我们经常讲,一个优秀的网络安全企业应该是一个“冰山”,产品能力、服务能力都是水面上的部分,但是只有水面下的部分越庞大,也就是后端所拥有的支撑体系、数据体系和相应的人员组织体系越庞大,才能有效地支撑上面的部分。相对而言,当我们看到一个组织的全部能力都在水面之上时,我们相信其是一个“大黄鸭”型的厂商,这是一个不合理的结构,尽管看起来在水面上也有很多内容,但却是“风吹了就会被吹跑、针扎了就会被扎漏”的体系。
从我们自身的实践来看,安天在客户侧的引擎、产品体系、相关的服务所构成的有效防护、事件响应、资产监测和威胁情报的价值链其实是受到后面一个庞大资源体系的支撑的。仅仅通过地面部队的冲锋是很难有效冲破防线的,必须有后方强大的包括侦查、火力打击在内的全套支持。
在当前整个网络安全实践中,之所以部分态势感知实践会流于表观化,会流于通过大规模互联网的手段进行一些威胁感知以及进行可视化,一定程度上是因为我们当前的感知能力是不抵达关键目标内部的,或者说这种能力的抵达是不与后端的有效分析感知环节联动的,使得部署在真正的关键场景中的安全产品或者感知手段变成了一种无支援的能力。这说明我们的网络安全实际上是缺少“敌情想定”的,当前所采用的“物理隔离+好人假定+规定推演”,构成了最大的自我麻痹。物理隔离本身是一种重要的安全手段,但它不是安全的目的。物理隔离的当下实践,在一定程度上,是把安全能力的支援挡在了物理域的外面,却把对手放进来肆意为之,再加上假定内部都是好人,以及假定安全规定是完备的,使得人们认为对互联网开放资产的探测和可视化的叠加就是有效的态势感知。
总书记在4.19讲话中曾指出“物理隔离防线可被跨网入侵”。只有建立有效的“敌情想定”,才能使整个感知能力环节有效地向关键目标抵近,并建立起与整体态势感知平台的有效联系,才能最大化地降低隔离所带来的安全影响,发挥安全的支撑价值。一个合理的大系统安全规划应该基于,内网已经被渗透;供应链被上游控制;运营商网络的关键路由节点被控制;物流仓储被渗透劫持;关键人员和周边人员被从互联网侧进行定位摸底;内部人员中有敌特的人员派驻或被发展,要立足于战时高烈度对抗、平时持续性对抗,以及在平战中皆为无底线对抗和高成本对抗。
最后,我们还是想做一个小小的提醒——态势感知不只是防御侧的能力,强大的攻击方也一直在建立相应的态势感知能力。比如,NSA的CamberDaDa计划,是在NSA通过渗透他国运营商体系已经形成的前出监测能力中去挖掘其攻击目标与安全厂商之间的通讯,检查其中是否有相应的信息求助和样本发送,从而判断自身攻击是否暴露。对于攻防双方而言,无论是态势感知,还是人工智能,包括威胁情报,各种技术其实都是攻防双方的公共地带,从来都不是防御方所独有的垄断方法。
我们需要警惕的是,我们在万花筒里自以为看尽了世界,而对手却在阴影里用望远镜详细看着我们。安天人距离自身所追求的态势愿景依然有很大的差距,但是我们将不遗余力地去感知真实态势,做真态势感知。
参考资料:
【1】图表引自《Cyber Defense and Situational Awareness》(安天译本)
【2】图表引自《Cyber Defense and Situational Awareness》(安天译本)
【3】安天:《一例针对中国政府机构的准APT攻击中所使用的样本分析》:http://www.antiy.com/response/APT-TOCS.html
【4】安天:《从方程式到“方程组”——EQUATION攻击组织高级恶意代码的全平台能力解析》:http://www.antiy.com/response/EQUATIONS/EQUATIONS.html
【5】安天:http://www.antiy.com/response/2016_Antiy_Annual_Security_Report.html
-ANTIY-