推荐 l 安全运营中攻击路径可视化之重

随着网络攻击越发先进,复杂的多步攻击成为主流。与此同时,复杂的多步攻击的防护也变得越来越重要。攻击路径分析旨在通过网络属性、告警、漏洞和资产等信息分析已发生的攻击行为,挖掘攻击逻辑,快速定位攻击者的攻击路径,提供给安全运营人员进行事件和风险分析,进而可以更快的进行应急响应。本文目的在于探讨安全运营中智能化地提供可视化的攻击路径的重要性。

1、概述

随着网络攻击入侵的手段不断进步,现有的网络攻击不再局限于单步攻击,通过单步攻击引发网络安全设备产生的告警往往无法代表攻击者的攻击目的,仅代表复杂的多步攻击的一个步骤。复杂的多步攻击指攻击者实施多步的攻击行为来达到最终的攻击目的,通常需要关联每一步的攻击行为才能发现其攻击意图。近年来与网络安全相关的黑色产业链层出不穷,大多数的黑产团伙也是采用多步攻击才能成功入侵受害主机。

在一次大型网络安全攻防演习中,曾发现一个规模较大的黑产团伙成功拿下了多家公司的服务器,进行了挖矿等恶意行为。而演习之前尽管大多数公司已经购买和部署了不同安全厂商的防护设备,但是其中很多公司在网络攻防演习之前并未发现其内网已被黑产入侵,即使有的公司发现其已被黑产入侵,也未及时针对其攻击路径中涉及到的所有资产做出相应的应急措施,导致攻击者不断对其实施攻击行为。

通过多次网络安全攻防演习的复盘总结可以看出,攻击者的攻击手段愈发先进和隐蔽,此外,0day漏洞,安全意识缺乏引发的各种非法登录,公司的业务应用开发不规范以及公司内网环境部署混乱等因素都会导致网络安全产品无法检测出攻击者的每一步攻击行为,无法为用户有效发现复杂多步攻击的攻击路径。此外,在网络安全对抗演习中,公司往往采用多家安全厂商的产品,不同安全厂商的产品无法进行协调联动等因素进一步导致无法在第一时间发现攻击者的所有攻击路径。

在真实的网络安全对抗演习中,往往需要有经验的安全专家来分析多家安全厂商的产品提供的告警等信息,并结合其自身的专家知识去调查取证分析,进而得到攻击者完整的攻击路径,从而在攻击路径的每一环节上进行应急处置。该过程的时间消耗一方面取决于攻击手段、安全产品所能提供的信息以及安全专家对该攻击手段的熟悉程度等因素;另一方面取决于已经失陷的资产是否能及时让安全专家登录,以便专家结合安全产品提供的告警等信息进行深入调查,从而发现完整的攻击路径。目前在公司具备多种安全威胁检测产品的基础上仍需要具备经验的安全专家花费时间去分析才能得到完整的攻击路径。因此,自动地提供可视化的攻击路径是网络空间防御体系向着智能化方向发展的重要基础。

2、 路在何方

目前大多发现攻击路径以及预测攻击路径的方法是在网络侧构建图模型,通过网络属性,威胁情报,关联安全设备告警和漏洞等提取网络事件,采用发现攻击的规则、数据挖掘算法和因果关联等技术手段得到攻击模式,进而发现攻击路径以及预测攻击路径。例如研究人员提出了一种名为APIN的框架[1],如图1所示,通过利用可观察的恶意行为来量化攻击的威胁评分,实现自动化地识别网络中的攻击路径,其中,ITS(independent threat score)指的是通过告警来构建图并独立量化威胁评分,CTS(Composite Threat Score)指在一个攻击路径中每个系统的综合威胁度。在公开数据集中,通过实验证明了在网络结构和大小限定的情况下,可以实现多步网络攻击路径的重构。

图1 APIN框架

基于网络侧和终端侧大规模数据进行威胁发现的方法也不断被提出。由于现代操作系统的功能逻辑越来越复杂,如何在大规模数据中识别异常与恶意意图,发现潜在的APT或其他高级威胁变得日趋重要。由于终端侧数据之间的依赖爆炸、威胁溯源大海捞针、拓展性差等多方面的技术挑战,在溯源数据中识别恶意行为的难点在于如何整合不同类型的数据,生成溯源图,进而通过有效的数据挖掘方法挖掘攻击行为之间的逻辑依赖关系,以支撑威胁狩猎的多种任务场景。

目前多个研究团队针对溯源图的分析进行了研究,例如,有学者提出了NODOZE[2],如图2所示。将威胁检测设备产生的告警提供给NODOZE,根据告警的异常分数进行排序,生成相关的告警依赖子图提供给安全人员。其核心是在发生攻击之前对系统的正常行为进行建模,采用统计低频路径挖掘解决依赖爆炸问题,偏离参考模型的行为被认为是攻击行为等方法。这种方法的效果依赖于异常行为与攻击行为的关系。此外,典型的溯源图分析技术还包括HOLMES[3],MORSE[4]和HERCULE[5]等。虽然上述基于溯源图的威胁检测方法对攻防场景下发现攻击路径具有重要的指导价值,但是相对于利益驱动下具有高对抗性、针对性和持续性的复杂的网络攻击,此类研究方法仍处于初级阶段,不仅有的实验限定了攻击手段等条件,而且其实验面向的场景与也远不如真实攻防环境复杂。

图2 NODOZE框架

目前没有任何一种技术可以在不同的网络攻防实战场景中有效地发现并提供可视化的攻击路径。如何融合不同维度的检测分析引擎,提供全方位可视化的攻击路径,是在大规模数据复杂场景下进行安全运营的必经之路。

在网络安全攻防演习之后,虽然通过总结可以发现演习中攻击者的攻击手段和路径,但是国内公司重业务轻安全的现象导致大多公司的开发团队和运维团队通常会在攻防演习后的总结中“打太极”,进而无法在其公司常态化的推动相应的安全运营工作。

除了各大公司重业务轻安全的因素,现有网络安全产品的非智能化也是导致缺乏安全专家的公司无法进行常态化安全运营的重要因素之一。现有网络安全产品中能够智能化、全方位发现攻击路径相关的产品依旧较少,即使存在部分产品号称可以自动化且准确地发现复杂的多步攻击的攻击路径并进行攻击路径的预测,大多数也都是“雷声大雨点小”,在真实的攻防战场中其相应的产品智能化地提供可视化的攻击路径的功能几乎等于“纸上谈兵”。一款真正具备智能化地提供可视化的攻击路径的网络安全产品理应不仅能发现攻击者通过多步攻击入侵的路径,还需要发现攻击者通过横向移动升级其攻击的相关路径,以便在公司的网络威胁防御系统中提供一个完整的可视化的攻击路径,配合网络威胁防御系统的其他模块提供威胁路径的解决和应急方案,最终实现修复威胁路径中的各个系统,从而保障公司的网络安全。此外,在安全运营中提供可视化的攻击路径,还需要兼顾成本、效率、数据隐私等多维度因素,才能有效促成相应产品的落地。

综上所述,目前无论是学术界还是工业界针对发现攻击路径都开展了相应的研究,但是如何智能化地提供可视化的攻击路径并没有取得实质性的突破。一方面是难以完全地捕获到复杂的多步攻击的每一步攻击行为,并提供准确的告警和攻击行为等信息;另一方面是难以智能化且准确地将多步攻击中的每一步都关联起来。图分析技术仍然是实现智能化地提供可视化攻击路径的利器。未来的研究方向预计会针对复杂网络环境中能导致攻击成功的多种因素进行融合,构建统一的基于图的模型,通过对动态图模型的上下文分析,发现并还原攻击者的攻击路径,且智能地提供可视化的攻击路径,打破现有还原攻击路径过程极度依赖安全专家的瓶颈。

3、结束语

提供可视化的多步攻击的路径能有效地辅助安全运营,实现其智能化则可以降低安全运营的成本,改变现有网络安全运营模式,提升安全运营技术与流程的自动化、智能化水平,使网络安全防御能力可以真正在实战中经得起检验。

AISecOps是让AI具备安全运营的知识,促进AISecOps更好地发展还有很长的路要走,需要网络安全人员共同探索。

参考文献

1、 Ficke E , Xu S . APIN: Automatic Attack Path Identification in Computer Networks[C]// 2020 IEEE International Conference on Intelligence and Security Informatics (ISI). IEEE, 2020.

2、Hassan W U, Guo S, Li D, et al. NoDoze:Combatting Threat Alert Fatigue with Automated Provenance Triage[C]. NDSS,2019.

3、 Milajerdi S M, Gjomemo R, Eshete B, et al.Holmes: real-time apt detection through correlation of suspicious informationflows[C]. 2019 IEEE Symposium on Security and Privacy (SP), 2019: 1137-1152.

4、 Hossain M N, Sheikhi S, Sekar R. CombatingDependence Explosion in Forensic Analysis Using Alternative Tag PropagationSemantics[J].

5、 Pei K, Gu Z, Saltaformaggio B, et al. Hercule:Attack story reconstruction via community discovery on correlated log graph[C].Proceedings of the 32Nd Annual Conference on Computer Security Applications,2016: 583-595.

作者l绿盟科技天枢实验室安全研究员 王星凯

标签: