高級持續性威脅(APT)正日益成為針對政府和企業重要資產的不可忽視的網絡空間重大威脅。由於APT攻擊往往具有明確的攻擊意圖,並且其攻擊手段具備極高的隱蔽性和潛伏性,傳統的網絡檢測手段通常無法有效對其進行檢測。近年來,APT攻擊的檢測和防禦技術逐漸引起各國政府和網絡安全研究者的關注。
一、發達國家APT組織治理相關研究
1.1 戰略層面,美國強調“美國優先”和“以實力促和平”
特朗普政府先後發佈《國家安全戰略報告》、《國防部網絡戰略》和《國家網絡戰略》,詮釋了特朗普的“美國優先”的戰略,強調“網絡威懾”和“以實力促和平”,突出強調網絡戰的重要性,將“軍事和武力”作用置於外交和國務之前,強調保護美國基礎設施來保證美國的持續繁榮。同時強調人工智能(AI)對於經濟增長重要性。
1.2 法規層面,美國立法進行APT組織跟蹤
2018年9月5日,美國眾議院投票通過《2018網絡威懾與響應法案》,旨在阻止和制裁未來國家支持的針對美國的網絡攻擊,以保護美國的政治、經濟和關鍵基礎設施免受侵害。該法案要求美國總統確認高級持續威脅(APT)組織名單,並在《聯邦公報》(Federal Register)中公佈並定期更新。
1.3 攻擊層面,美軍研發基於知識圖譜的先進網絡戰工具
2010年9月,《華盛頓郵報》披露,五角大樓力求在網絡戰爭中先發制人,並達到欺騙、拒止、分離、降級、毀壞的“5D”效果。網絡戰攻擊層面的研究是美國政府以及下屬的研究機構一直以來的重點,根據美國近年來圍繞網絡戰構建的模型來看,以多層次知識圖譜映射戰場網絡,結合靶場演練進行模型驗證是一個重要研究的方向。
1.3.1 DARPA的Plan X用知識圖譜描繪戰場地圖支撐VR作戰
PLAN X是DARPA在2012年公佈的一個項目,主要目標是開發革命性的技術,在實時、大規模和動態的網絡環境中理解、規劃和管理網絡戰。基於一個建立好的通用地圖,幫助軍方網絡操作人員利用可視化的方式在戰場中執行網絡入侵的任務。PLAN X利用自動化構建戰場網絡圖譜的技術,將戰場中網絡地圖、作戰單元、能力集轉化為圖譜中節點和邊的集合,基於作戰人員預先設定的戰術目標,進行自動化圖譜搜索,找到最佳入侵路徑和入侵方案,提供給作戰人員。
1.3.2 MITRE公司的CyGraph原型支撐網絡作戰
CyGraph是MITRE在圖模型研究方面的原型系統。CyGraph使用了層級的圖結構,包括網絡架構(Network Infrastructure)、安全狀態(Security Posture)、網絡威脅(Cyber Threats)、任務依賴(Mission Dependencies)四個層次的圖數據,用於支持針對關鍵資產保護的攻擊面識別和攻擊態勢理解等任務。
圖1.1 CyGraph的多層圖譜結構
1.4 防禦層面,研發基於ATT&CK的新一代APT描述語言模型
ATT&CK是一個反映各個攻擊生命週期的攻擊行為的模型和知識庫。ATT&CK採用知識庫分析對手攻擊方法,評估現有防護體系,同時可以和靶場結合,進行攻擊仿真測試和自動化驗證,同時多家國外安全廠商利用其檢測追蹤APT組織的實際效果。
圖1.2 ATT&CK 針對lazarus和APT15的TTP能力對比分析
二、基於知識圖譜的APT組織追蹤實踐
基於知識圖譜的APT追蹤實踐是以威脅元語模型為核心,採用自頂向下的方式構建APT知識圖譜。
2.1 基於威脅元語模型的實體類構建
APT知識類型定義參考各類現行的安全標準規範,如攻擊機制的通用攻擊模式枚舉和分類(CAPEC),惡意軟件屬性枚舉和特徵(MAEC)以及公共漏洞和暴露(CVE)等,設計了十二個知識類型:攻擊模式、戰役、防禦措施、身份、威脅指示器、入侵集、惡意代碼、可觀察實體、報告、攻擊者、工具、漏洞。
2.2 APT知識圖譜本體結構
知識類型定義只將描述APT組織特徵的相關信息形成孤立的知識結點,知識節點之間並無語義關係。語義設計一方面提取美國國家漏洞庫(NVD)中包含的漏洞、脆弱性、資產、攻擊機制相關的專家知識,其次參照STIX定義的七類關係,STIX2.0對象關係總覽如下圖2.1所示。
圖 2.1 STIX2.0結構圖
彙總歸納APT報告中涉及的多類語義關係,包括“指示”、“利用”、“屬於”等語義關係,構建如圖2.2所示本體結構。
圖 2.2 APT知識圖譜本體結構
2.3 APT攻擊組織知識庫構建
本文以自上而下的方式建立APT知識庫,首先進行信息抽取對齊的操作,以APT知識圖譜本體為基礎,從海量數據中提取APT組織相關的知識實體、屬性及知識關係。之後根據APT知識本體中定義的知識屬性進行屬性消歧融合補充,輸出APT知識庫。
APT組織相關信息來源有結構化的數據(結構化的情報數據庫、STIX情報)、半結構化數據(Alienvault等開源情報社區網站、IBM x-force情報社區網站、MISP、ATT&CK)、非結構化數據(Talos安全博客、Github APT報告)。
2.4 實驗及應用
本文構建的APT主題知識圖譜目前收錄APT組織257個,如圖2.3所示。
圖2.3 APT組織總覽
結合構建的知識圖譜本體結構,通過語義搜索的方式針對APT32攻擊組織進行了畫像,如圖2.4、2.5所示。
圖2.4 APT32 鑽石模型
圖 2.5 APT 32畫像
畫像信息包括APT32組織控制的基礎設施、技術手段以及攻擊工具。結合APT畫像知識,通過APT組織特徵的實時監控比對,標註事件的組織關聯性,實現APT組織活躍情況的實時監測統計。
基於在某環境下IDS和沙箱探針設備,4臺服務器組成的大數據分析集群實驗環境,結合知識圖譜提供的APT組織畫像特徵,在2019年6月2日至6月9日時間段上共發現5個APT組織的活躍情況,結果如圖2.6所示。
圖2.6 APT組織追蹤
三、對策建議
1、完善針對APT攻擊相關的政策法規的制定。目前我國政府尚未專門針對APT攻擊出臺響應的政策與法規,這對於促進、規範和指導國內APT攻擊的分析與檢測工作非常不利。
2、推薦共建、共研共享的研究生態。我國政府和企業的合作還需要進一步深化,構建能夠在行業和國家層面通行的技術方案和模型標準。
3、構建統一的情報共享格式,加強情報的共享。GB/T 36643-2018《信息安全技術 網絡安全威脅信息格式規範》自推行以來,依然沒有很好地在國內政企當中得到廣泛的應用。
4、加強通用威脅元語模型的構建。我國目前尚未完整構建起一整套通用威脅元語,用於支撐統一的威脅情報表達格式和APT相關威脅情報及知識的共享。
四、結語
本文從戰略、法規和具體技術模型層面梳理了美國網絡空間戰略的變化,以及APT檢測追蹤相關技術及模型;並且通過構建完整的APT主題知識圖譜支撐進行APT組織的追蹤,經過實際的演練和測試,驗證了這一技術方案的可行性。並且提出一些促進我國APT檢測和追蹤能力提升的一些對策建議。
閱讀更多 安全牛 的文章
