近日,绿盟科技推出安全知识图谱技术白皮书《践行安全知识图谱,携手迈进认知智能》,旨在对安全知识图谱概念内涵、核心框架、关键技术和应用实践进行全面总结与介绍,助力网络安全智能化迈入认知智能阶段。
本文为安全知识图谱白皮书《践行安全知识图谱,携手迈进认知智能》精华解读系列第二篇——解析APT威胁追踪技术,重点介绍基于知识图谱的APT组织画像归因。
01 APT组织画像归因挑战
2017年Shadow Brokers泄露了NSA(美国国家安全局)多个震惊世界的攻击武器工具,世界顶级APT组织的攻击水平由此可见一斑。泄露的内容中除了各种0day漏洞利用工具,还有一款类似Metasploit的Exploit攻击框架,调用多个模块进行武器的组装和攻击,说明APT组织具备高水平的漏洞研究和定制武器开发能力。未知攻击和定制武器的使用给APT组织的归因溯源带来挑战。
目前单纯依靠人工研判或者依赖安全专家基于离线数据进行特征建模和分析已经很难有效满足大部分企业或组织对APT组织攻击事件进行实时分析的要求。目前追踪和发现APT组织内的攻击团伙的方法主要包括直接基于网络流量进行特征建模和基于样本代码特征进行建模,但是由于原始流量数据量往往过于巨大,且噪声特征占据非常大的比例,导致直接基于原始流量构建的特征模型的鲁棒性欠佳,并且此类方法通常需要耗费较多的人工分析成本,某些情况下只能基于离线的历史数据进行分析,无法满足实时分析和追踪的需求。
因此,业内均对APT组织画像归因开展了积极的探索工作,对APT组织建模,建立知识库,并结合知识库进行攻击仿真,以分析恶意行为特征,将恶意网络活动与特定组织或个人进行关联归因。
02 APT组织监控之道
为了有效从海量数据中发现APT组织相关的高危安全事件,绿盟科技提出一种基于上下文感知计算框架的攻击组织追踪方法,如图1所示。
图1 基于攻击组织本体的上下文感知计算框架
首先需要定义以攻击组织为核心的本体结构,基于该本体结构设计上下文的采集模块和上下文推理模块,通过这些模块将非实时的多源异构威胁情报和实时的沙箱样本分析信息进行采集,并进行语义的过滤、融合及推理后存储至基于攻击组织本体构建的知识库中。其中,上下文采集模块的主要功能是从异构、复杂多样的信息源中获取上下文信息,一方面包括非实时的非结构化和半结构化的网页,公开性质的博客论坛,结构化(SITX)的开源威胁情报以及本地积累的攻击组织的威胁情报信息等;另一方面也包括结构化的网络威胁检测设备产生的告警日志和实时动态沙箱的恶意软件分析报告。
然后,基于攻击组织本体定义范式化安全事件的模板,在大数据流式计算框架下实现流式处理引擎将海量多模态数据进行解析,理解成为复合安全事件模板的范式化安全事件。由于攻击者进行实际的入侵活动时往往不只利用一种攻击手段,而是在更广的时间域内利用一系列相互关联的攻击方法进行攻击,所以在进行攻击行为的监测和追踪时,需要将更大时间区间内的事件进行关联,从而获得更加全面和准确的攻击行为场景。为了达到这个目的,需要在范式化安全事件的基础上,进一步基于攻击链模型将多个事件进行关联,生成包含多个事件的攻击链。按照事件时间序列,将某一时间段内的所有针对同一目标IP的事件整合生成攻击链,事件插入行为链的过程如图2所示。通过利用攻击组织知识库进行事件威胁上下文语义的富化、攻击链关联和攻击组织特征关联计算,最终发现攻击组织相关的高危事件。
图2 攻击链生成流程
除了上述基于上下文感知计算框架的APT组织追踪方法,绿盟科技还提出了其他APT组织活跃监控技术,例如,基于特征图聚类的未知攻击组织发现方法,下图为攻击团伙活动监控界面,包括攻击团伙的活动情况以及团伙态势地图等信息,可以从海量、多源、异构的数据中实时、快速和有效地发现攻击组织。
图3 攻击团伙活动监控界面
2020年10月至2021年9月期间,绿盟科技共监测并研判有效的APT组织的活跃线索有57个,平均每个月活跃组织约19个。其中,从2020年12月至2021年2月期间APT组织极为活跃,平均活跃组织将近每月30个。
图4 APT组织活跃态势
03 总结
虽然在诸多威胁感知场景下,基于统计机器学习的智能分析方法取得了重要的突破,但在面对动态复杂的网络行为分析时,感知层输入往往缺乏有安全语义的规范化建模,数据层恶意攻击的误报情况(非真实攻击)难以避免,多维度的感知分析结果,仍需要安全专家深度地参与研判与关联分析,才能完整还原攻击全貌,这限制了APT等高级复杂攻击技战术的分析自动化水平的提升。因此,面向APT组织画像归因的研究, 需要利用安全知识图谱统一描述APT攻击每个阶段的TTPs,实现对APT攻击的自动化威胁追踪,掌握攻击者的攻击特征、发掘潜在的危机,甚至防堵未来的攻击,这需要网络安全人员持续地共同探索。