Lockheed Martin 公司的《Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains》 [1] ,除了大家耳聞能詳的殺鏈模型,更多在介紹如何利用殺鏈進行安全分析和情報能力建設。這部分內容之前介紹不多,於是根據自己的理解形成壹則讀書筆記在此分享。
文章發表於2011年,時值 APT 興起。文中認為,傳統“以漏洞為中心”的防禦機制失效。同時傳統的事件響應方法也並不適用,原因在於傳統方法有兩個錯誤的前提假設:響應只會發生在失陷之後(對應殺鏈模型,需要在入侵前期進行響應),且失陷由可修補的缺陷導致(對應APT中采用0-day)。因此,針對 APT 入侵的事件響應,需要在分析方法、流程以及技術上的演進。甚而希望基於對威脅的理解,能預計到並能緩解未來的入侵風險。
在此背景下,三位作者提出了以殺鏈為分析框架,並進壹步闡述如何分析攻擊對手,如何生成和應用情報,如何進行動態檢測、防禦和響應,建立“情報驅動的網絡防禦(Intelligence-driven Computer Network Defense 或 Intelligence Driven Defense)”。
所謂情報驅動防禦,文中認為是壹種以威脅為中心的風險管理戰略,核心是針對對手的分析,包括了解對方的能力、目標、原則以及局限性,幫助防守方獲得彈性的安全態勢(resilient security posture),並有效指導安全投資的優先級(比如針對某個戰役識別到的風險采取措施,或者高度聚焦於某個攻擊對手或技術的安全措施)。情報驅動防禦必然是壹個持續、叠代的過程,通過分析、協同發現指標,利用“指標”去檢測新的攻擊活動,在調查過程又獲得更豐富的指標。所謂彈性,是指從完整殺鏈看待入侵的檢測、防禦和響應,可以通過前面某個階段的已知指標遏制鏈條後續的未知攻擊;針對攻擊方技戰術重復性的特點,只要防守方能識別到、並快於對手利用這壹特點,必然會增加對手的攻擊成本。
下面先簡要介紹殺鏈在整個情報驅動防禦模型中的作用,然後重點介紹情報驅動的安全分析以及情報能力的建設。
作者認為,在APT 場景下需要對入侵有壹個全新的理解,也即入侵是攻擊者分階段的進展而不局限於單次事件。於是他們將美國軍方的 Kill Chain 概念(F2T2EA模型)應用到信息安全領域,用七個階段結構化整個入侵過程:踩點 (Reconnaissance)、組裝(Weaponization)、投送(Delivery)、攻擊(Exploitation)、植入(Installation)、控制(C2)、收割(Actions on Objectives)。對應入侵每壹階段,防守方通過對入侵信息的了解,分析提煉出描述入侵信息的指標(Indicator)形成情報,並映射為相應的行動步驟(courses of action,CoA ),起到檢測、緩解以及響應的作用。
除了階段性的解構,殺鏈模型有如下兩個重要價值,在動態攻防對抗中,使防守方可能具備優勢。
關於情報驅動的安全分析,文中介紹了兩類重要的方法:入侵重構(Intrusion Reconstruction )和戰役分析(Campaign Analysis )。
殺鏈分析用於指導分析師完整地理解入侵過程。在這種新的分析模型下,分析師需要盡可能多地發現每階段的屬性,而不局限於單點信息。文中介紹了兩種入侵重構的分析場景例子。壹種是檢測到入侵後期的活動,分析師需要完成針對之前所有階段的分析。第二種檢測發生在入侵前期,則需要對後續階段做分析。
第壹種情況,如下圖所示,在C2控制階段檢測到某次入侵。分析師必須認為攻擊者在之前所有階段都已成功,並需要對此進行還原分析。舉例來說,如不能復現入侵的投送階段,那麽就不可能在同壹對手下次入侵的投送階段采取有效的行動。而攻擊方考慮經濟性,壹定會重用工具和架構,防守方在殺鏈中應用這類情報,將迫使對手在後續入侵中進行調整。
第二種情況,則是指針對失敗入侵的分析也同樣重要。文中提出了壹種叫合成分析(Synthesis)的方法,如下圖所示。防守方需要對已檢測和防禦到的入侵活動、盡可能全面地收集和分析數據,合成出未來入侵中可能繞過當前有效防禦機制、在後續階段采用的技戰術。文中舉例說明,基於已知指標,阻斷掉了壹次定向惡意郵件。通過殺鏈分析,發現在後續階段會用到新的exploit或者後門。防守方針對該分析結果,比攻擊方更快采取措施,則可繼續保持戰術優勢。
文章第四節有壹個實際案例分析,針對第壹次入侵,應用情報防禦了壹個已知 0-day。通過每壹次入侵的完整分析,獲得更多指標。最後針對第三次入侵,通過投送階段的已知指標(downstream IP地址:216.abc.xyz.76)遏制住了本次入侵後續階段的未知0-day攻擊。
上面入侵重構主要基於殺鏈的完整分析,而基於多次入侵的橫向關聯分析則可以識別彼此***性和重疊指標。上升到戰略級別,防守方可以識別或定義戰役(Campaigns ),將多年的活動與特定的持續威脅聯系起來。通過戰役分析,可以確定入侵者的模式與行為、技戰術以及過程(TTP),旨在檢測他們是“如何”操縱的、而不僅僅是他們做了“什麽”。對於防守方的價值在於,基於逐個戰役評估自身的安全能力,並基於單個戰役的風險評估,制定戰略行動路線彌補差距。戰役分析的另壹核心目標在於理解對手的攻擊意圖和目標,從而可能高度聚焦於針對某個攻擊對手或技術的安全措施。
文中抽象出了兩種戰役分析方法。下圖中左邊的兩次入侵,在殺鏈各階段具有高度相關性,通過裏面***性指標(白色)可以確認它們同屬壹個戰役。右邊的三次入侵,則具有不同程度的關聯性。其中相對穩定、保持壹致性的白色拐點指標,可被識別為關鍵指標,也即很大程度在同壹戰役的後續入侵中會被重復使用到的指標。這於防守方而言是可利用的有利條件。
源: [5]
介紹了這篇文章中核心的情報驅動分析方法,勢必會提出對情報能力的要求。情報能力建設本身是壹個比較大的話題,下面僅介紹文中作者提出的理論。
文中定義指標(Indicator)為“情報”的基本要素,用於客觀描述入侵的信息,具體分為三類:
如前所述,情報驅動防禦必然是壹個持續、叠代過程,分析師通過分析、協同發現指標,將其應用到工具中做進壹步完善,再將這些指標用於檢測新的入侵活動。在針對這項活動的調查過程中,分析師通常又會獲得更多的指標,而這些指標將受到同壹套活動和指標狀態的約束。這壹行動周期和相應的指標狀態形成了下圖所示的指標生命周期。
源: [6]
關於指標的有效性,需要考慮如下幾種可能:
綜上,這篇文章最主要闡述了三個主題:
最後想說,其實這篇文章不但是威脅情報領域的經典,也更深地闡述了彈性防禦這種較主動防禦更高階的防禦方式。