安全运营中心之自动化攻击溯源

0x00、业务需求

早期的安全运营中心，主要的功能就是SIEM把能收集的基础日志、安全日志收集存储到一起，然后把这些简单的做一些规则性的关联分析就叫SOC。伴随着科技的发展，安全产品可以有效的收集更精准的基础数据，例如EDR产品中的，基础进程数据、网络访问数据。NTA产品中的全流量数据。安全日志也不简单的IDS规则产生的告警日志，而是通过机器学习发现的异常网络访问日志，DGA域名访问等高级入侵事件。那么怎样把这些日志有效的关联在一起，形成用户想要的定向攻击事件日志？个人认为云安全产品首先可以在这个方面得到收益，因为日志可以高度集中，和归一化。

0x01、图分析应用

威胁狩猎成熟模型：

level 0：主要依靠自动警报，很少或没有常规数据收集。

level 1：结合威胁情报指标搜索，中等或高水平的常规数据收集。

level 2：遵循他人创建的数据分析程序，高或非常高水平的常规数据收集。

level 3：创建新的数据分析流程，高或非常高水平的常规数据收集。

level 4：自动化大多数可成功分析的业务流程，高或非常高水平的常规数据收集。

我们就要达到level 4，当然这需要一些前提条件：

1、拥有完整的网络基础数据，包括netflow、LB/VPC fow log、pcap等精准的基础网络连接数据

2、拥有完整的端点基础数据，包括进程、网络、软件安装、账号数据等。

3、拥有完整的安全数据，包括防火墙/IDS告警数据，威胁情报告警数据、端点威胁数据等。

然后通过分析引擎和风险评估引擎得出结论。

那么如何把这些数据关联在一起呢？答案是：图分析技术

网络攻击和防御是在复杂的环境中进行的，有许多因素有助于攻击成功，例如：网络拓扑，主机配置，漏洞，防火墙设置，入侵检测系统，任务依赖关系以及许多其他元素都可以发挥作用。为了超越对安全状况的初步评估，组织需要将孤立的数据合并到面对网络威胁的网络范围攻击漏洞和任务准备的更高级别知识中。

网络环境总是在变化，添加和删除机器，应用补丁，安装应用程序，更改防火墙规则等等，这些都会对安全状况产生潜在影响。入侵警报和防病毒警告需要引起注意，甚至看似良性的事件（如登录，服务连接和文件共享访问）也可能与对手活动相关联。

我们碰到的问题往往不是缺乏可用的信息，而是能够将不同的信息部分组合成一个整体情况，以获得情景意识，最佳行动方案和维持任务准备。安全分析师和运营商可能会被来自多种工具的各种控制台所淹没;每个工具仅提供对所考虑的整个空间的一个方面的有限视图。安全信息和事件管理（SIEM）等工具可以通过规范化数据并在通用框架下将其整合在一起来提供帮助。但数据仍然是单独的信息，而不是网络范围的漏洞路径，对手活动和潜在的任务影响的综合模型。

我们的目标是最大限度地发现潜在威胁和任务影响的能力，同时最大限度地减少将多个不同数据源组织成有意义的关系所需的时间。

例如，在广为人知的Target零售商数据泄露事件中（Harris和Perlroth，2014），据透露，网络防御者实际上已经意识到攻击的某个特定方面的警报，但认为这是误报。我们可以推测，如果这些维护者理解了该警报的潜在下游后果，他们会更仔细地考虑，进行额外的调查等。目标是提供维护者真正知情决策所需的更高阶相关性对于目标数据泄露，攻击始于合作伙伴（承包商）网络内的被入侵主机。这种情况的常见方式是通过特洛伊木马恶意软件。针对此类恶意软件的警报在许多环境中以高频率发生，并且通常被认为是低业务风险（即，主要是针对个别客户端的风险）。但是，在目标违规情况下，承包商中受感染的主机成为目标网络的起点。其他几个步骤是违规行为的一部分，攻击者逐渐增加了控制范围，直到他们达到攻击目标（扩展大规模信用卡数据）。关键的教训是，存在多个攻击步骤，具有多个相应的检测机会。然而，此类警报和其他指示符发生在事件噪声的大背景中。由于人类维护者考虑所有可能的多步推理并不实际，因此需要实现自动化。此外，通过将这种推断集中在任务关键型网络资产上，维护者可以做出更明智的决策（并减少要考虑的真正关键事件的数量）。这也可以先发制人，以发现和减少这些关键的漏洞路径。

为了帮助解决这些挑战，我们引入了自动化溯源系统，一种用于网络战分析，可视化和知识管理的工具。它将孤立的数据和事件整合到一个持续的整体情况中，以获得决策支持。它在关键任务资产的背景下优先考虑暴露的漏洞，映射到潜在的威胁。面对实际的攻击，它会将入侵警报与已知的漏洞路径相关联，并建议响应攻击的最佳行动方案。对于攻击后取证，它显示了可能需要更深入检查的易受攻击的路径。

自动化溯源系统构建了一个攻击图模型，可以通过网络映射潜在的攻击路径。这包括可能有助于攻击成功的任何网络属性，例如网络拓扑，防火墙规则，主机配置和漏洞。动态演变的攻击图提供了适当的响应攻击和保护关键任务资产的上下文。然后，它会摄取网络事件，例如入侵检测警报和其他传感器输出，包括数据包捕获。它还包含了任务依赖性，显示了任务目标，任务和信息如何依赖于网络资产。融合来自各种数据源的信息，以构建其统一的基于图形的模型。

网络基础设施层捕获网络在拓扑上的分段和组织方式，传感器的位置等。网络状态层考虑网络基础设施中可能影响网络攻击/防御的元素，例如主机配置，漏洞，服务，共享资源，防火墙政策等。网络威胁层描述了潜在的对手威胁，以应对防御态势。这包括威胁情报（例如，在可信赖的合作伙伴之间共享）以及警报事件流和其他行为指标。最后，任务依赖层捕获各种任务组件之间的依赖关系（从高级目标到支持目标的任务，再到任务所需的信息等），以及支持任务组件的特定网络资产。

自动化溯源系统有可能大大缩短分析周期。它提供将网络威胁映射到特定网络环境所需的网络特定上下文，减少误报并建议最佳。

在众多安全产品中，Sqrrl（2018年1月被Amazon收购）提供网络威胁狩猎平台我认为做的最好。但是估计AWS收购后，拿来做内部SOC中心的建设了，没有把这种安全能力输出出来。

0x02、总结和展望

本文给大家一个速率如何做自动化攻击溯源，使用图分析技术。同时，也告诉大家，安全运营中心，不仅是日志的存储展示平台，需要有深度分析的能力。不是垃圾进，垃圾出。