APT攻擊溯源的背景
近年來,APT(高級持續(xù)性威脅)攻擊愈發(fā)猖獗,為了更好的對抗APT攻擊,往往需要多種安全能力組合防守,在這其中威脅溯源是必不可少的一環(huán)。高質量的威脅溯源可以揭示攻擊者在網(wǎng)絡中的行動路徑,快速定位到攻擊源頭,有助于從全局視角看清威脅入侵途徑和影響范圍,為企業(yè)安全團隊提供足夠的信息,制定更加精準、高效的應對策略。
然而在現(xiàn)實中,高質量的威脅溯源析往往只有經(jīng)驗老到、熟悉各類攻擊技巧的安全分析師才能勝任,而且還需要花費大量精力,從海量數(shù)據(jù)中一步步調查取證,才能完成最終的溯源分析工作。因此威脅溯源對大部分企業(yè)來說門檻較高,也是國內外EDR產(chǎn)品重點攻堅的業(yè)界壁壘之一。
APT攻擊溯源的挑戰(zhàn)
通俗來講,威脅溯源即是對APT攻擊入侵及產(chǎn)生威脅過程的還原,如何完整地還原整個攻擊過程,且確保攻擊過程純凈無干擾,是衡量威脅溯源能力的核心指標,二者缺一不可。
完整度指標高,但純凈度指標低,雖然能夠還原攻擊過程,但會雜糅大量非攻擊行為,安全運營人員還需要花費大量時間進一步分析和提取核心攻擊路徑。
反之若純凈度指標很高,但完整度低,雖然呈現(xiàn)了真實的攻擊行為,但由于信息不完整,無法串聯(lián)起整個攻擊鏈條,也就無法溯源到攻擊源頭,同樣也是一次失敗的威脅溯源。
因此只有當完整度和純凈度都達到100%以后,才可以稱之為一次完美的威脅溯源,這也是當前EDR產(chǎn)品追求的終極溯源能力,就好比一個完美的人工智能機器人,可以精確的從海量的行為中提取出 APT團隊的所有犯罪行為,且不會夾雜其他非威脅行為,如同抽絲剝繭一樣完美的還原犯罪現(xiàn)場。
騰訊iOA如何解決?
為了提供高完整度和高純凈度的威脅溯源能力,騰訊iOA-EDR自研了下一代全鏈路精準溯源系統(tǒng),大幅度降低了威脅溯源的難度,提升了企業(yè)安全運營團隊分析和處置的工作效率。
?全面的數(shù)據(jù)采集是基礎
數(shù)據(jù)采集是威脅溯源的第一步,它為威脅溯源提供了基礎數(shù)據(jù)和分析依據(jù),騰訊iOA-EDR圍繞ATT&CK攻擊鏈自研了一整套數(shù)據(jù)采集引擎,包含了超過200種數(shù)據(jù)采集探針。
除了用戶態(tài)事件采集以外,iOA-EDR還提供了高穩(wěn)定性的內核級探針,可全方位監(jiān)控系統(tǒng)級別的操作,捕獲更詳細和更準確的系統(tǒng)行為數(shù)據(jù),實現(xiàn)對文件、進程、注冊表、網(wǎng)絡等核心數(shù)據(jù)的采集,最大程度避免數(shù)據(jù)漏采的情況發(fā)生。
由于內核級探針直接運行在操作系統(tǒng)內核層,雖然數(shù)據(jù)采集更加全面精準且難以繞過,但也需要與不同版本和不同類型的操作系統(tǒng)實現(xiàn)兼容,為了保障終端的兼容性和穩(wěn)定性,這就需要EDR廠商有強大的終端安全底蘊,依托騰訊安全數(shù)十年來服務海量用戶的經(jīng)驗積淀,iOA-EDR在數(shù)據(jù)采集全面的同時,也實現(xiàn)了終端兼容性和穩(wěn)定性的平衡。
同時,iOA-EDR還提供了API注入探針,當入侵進程調用可疑的API時,API注入探針會首先捕獲該調用信息,并記錄相關的參數(shù)和上下文信息,實現(xiàn)“沙盒式”采集入侵進程。
?如何對抗斷鏈是關鍵
全面的數(shù)據(jù)采集是精準溯源的前提,iOA-EDR已經(jīng)憑借全面的數(shù)據(jù)采集探針構建了強大的數(shù)據(jù)基石。但想要保證完整的攻擊鏈路還原,還需要攻克另一大難關,即“斷鏈攻擊”。
在實戰(zhàn)攻防中,APT攻擊往往會使用各式各樣的斷鏈隱藏技術進行攻擊,包括無文件攻擊,隱藏腳本攻擊、借用系統(tǒng)服務命令啟動等等,以此來繞過常規(guī)EDR的安全檢測,在這些高級攻擊手段的偽裝下下,一般的EDR產(chǎn)品往往無法發(fā)現(xiàn)APT攻擊的真實行蹤,誤以為是系統(tǒng)服務或常用軟件的合法行為,從而放任風險行為發(fā)生。
為了檢出斷鏈攻擊行為,iOA-EDR自研了完整的斷鏈修復引擎,可以修復前述各類隱藏斷鏈的攻擊方式,通過增強的注入探針,細粒度記錄特殊行為,結合時序、文件、進程等綜合特征信息對可疑行為進行多步驟關聯(lián),精準發(fā)現(xiàn)惡意行為,讓攻擊威脅無所遁形。形成一套體系化的攻擊行為可見能力。
iOA-EDR結合強大的自研采集引擎和創(chuàng)新性的斷鏈修復技術,成功攻克了數(shù)據(jù)完整性的難題,接下來就是精準還原攻擊鏈路。
?精準的路徑還原是目標
實際上高純凈度還原攻擊鏈路,比采集完整數(shù)據(jù)的難度更高,還原攻擊鏈路需要對攻擊行為和其他行為做精準區(qū)分,這就好比有一個盜竊團隊潛伏在火車站里,把火車站全部封了容易,但是想要從正常人中找到盜竊團伙,這就需要一雙“火眼金睛”來發(fā)現(xiàn)盜竊團隊的蛛絲馬跡了。
為了從海量信息中抽絲剝繭,提取出“盜竊團伙”的攻擊全鏈路,騰訊iOA團隊自研了一套基于大數(shù)據(jù)的上下文智能染色圖譜引擎,參考了防疫時期全面檢測、精準防控的防護思路,通過層層過濾和篩選實現(xiàn)了精準的攻擊鏈路還原。
1. 從攻擊鏈路末尾開始,也就是從最容易識別的威脅破壞行為入手,類似疫情中有明顯感染癥狀的人群,采用多色標記感染圖譜模型。將高可疑的攻擊節(jié)點染成紅色,紅色節(jié)點又能通過圖譜關聯(lián)其行為鏈路,將其他可疑感染節(jié)點染為紅色。
2. 考慮到攻擊者在攻擊時,經(jīng)常使用暗度陳倉的戰(zhàn)法,通過借殼合法的系統(tǒng)服務、常用軟件來隱藏自身攻擊的行為,這類節(jié)點會被圖譜引擎暫時標記為黃色風險節(jié)點。
3. 在檢測過程中,若判定目標節(jié)點的上下文信息均為安全信息,則默認為無需關注,對于不用關注的干擾節(jié)點則標記為灰色節(jié)點。
基于完整的攻擊圖譜,沿著攻擊鏈路末尾不斷搜索和關聯(lián)相關節(jié)點,通過不同節(jié)點之間的關聯(lián)關系來標記出不同的顏色,最終自動化的構建出一套精確完整的APT攻擊鏈路圖,直達威脅產(chǎn)生源頭,為下一步安全決策提供有效依據(jù)。
在實戰(zhàn)攻防過程中,有數(shù)據(jù)顯示,通過傳統(tǒng)的人工查詢和分析方式進行溯源通常需要花費1天時間,且需要高級安全工程師介入。而使用iOA-EDR實現(xiàn)精準溯源,可將溯源時間降低至10分鐘以內,且只需有基礎安全運營經(jīng)驗的分析師就可以勝任。騰訊iOA-EDR的精準溯源能力讓威脅溯源的門檻大大降低,大幅度提升了企業(yè)的溯源效率。
(免責聲明:本網(wǎng)站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏,概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內容可能涉嫌侵犯其知識產(chǎn)權或存在不實內容時,應及時向本網(wǎng)站提出書面權利通知或不實情況說明,并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關文章源頭核實,溝通刪除相關內容或斷開相關鏈接。 )