// 文丨科大讯飞信息安全管理部 安全运营部
摘要
ABSTRACT
不论企业安全部门大小,安全人员每天处置企业遭受的各种形形色色的攻击中,可能有超过90%都是扫描、爆破类的低级别攻击,很大程度上分散了安全人员的注意力。有些事件只有当EDR、HIDS这些终端告警触发时,安全人员才意识到攻击者已经突破到内部。不管是Nday也好还是0day也罢,亦或是钓鱼攻击、水坑攻击,总有一款适合企业防御网中薄弱的一环。当失陷真正发生时,如何快速抑制和反制才是企业安全防护的压轴能力。
在讯飞内部,我们正尝试引入威胁情报的能力去填补事件处置中的一些短板,目前有一些案例和工作成效,分享出来和大家共同交流。
威胁情报驱动事件响应
谈到威胁情报驱动的事件响应,其最基础的工作就是情报数据的建立。根据各自渠道和业务的需求不同,情报已经由以往的基础威胁情报慢慢拓展出和业务强相关的业务情报。本期我们重点讨论的还是基础的威胁情报,后面有机会再跟大家分享一下业务活动相关的情报案例。在企业情报体系建立初期,最快速且有效积累情报数据的方式就是引入商业情报。业内不乏很多做情报的优秀公司,比如:微步、奇安信/360、天际友盟等。我们在选择时,无非根据情报数量(漏报率)、情报质量(精准率/召回率)、ROI等因素去考量是否采购以及采购哪一家的数据,这个由各家根据实际环境和需求来决定。
引入情报数据之后,我们可以通过SOAR结合情报来执行自动化封禁的方案处置上文中90%告警的一半左右的告警量,为安全人员节约出大量的精力去攻克真正的威胁事件。当然其中会有很多细节需要注意,比如:基于不同类型事件对应的网络层封禁时要联动不同的设备、业务之间封禁的范围需要明细划分、所有业务的黑白名单的收集和过滤等注意事项。
封禁时间根据事件级别和响应程度又有所不同,这里给出一些基本的建议,实际情况可以根据自身网络情况和业务需求进行调整。
封禁策略建议
上面90%的告警剩下的另一半往往是由于情报数据的覆盖度不够导致,接下来可能需要的是通过本地情报生产去弥补这一块的空缺。由于篇幅所限,这块内容我们计划于后期重点分享。
剩下的篇幅,我们来介绍一下企业内部面临的一些重点难题。比如:高级攻击手法推陈出新,日益隐蔽,难以检测;防御产品无法完全覆盖检测,存在被绕过的风险;一般企业缺少大规模的红蓝对抗,无法发现更多安全问题;情报收集同步存在滞后性,无法及时发现入侵。
为了解决这些问题,我们引入了情报中一个较为特殊的方向——威胁狩猎。
威胁狩猎实践
威胁狩猎是一个高级安全功能,集成了主动防御、创新技术、技术专家以及深度威胁情报来发现和阻止恶意的并且极难检测的攻击行为。同时,这些攻击行为也是传统自动化的防御无法检测出来的。需要提前掌握攻击者某些基本模糊特征和线索,然后基于情报,通过旁路流量检测、系统日志检测或主机行为检测来挖掘正在进行的攻击行为或已经失陷的内网主机,其效果随着线索或情报的准确性、及时性和多样性而变化。其基本流程如下:
威胁狩猎基本流程
关于如何落实威胁狩猎,我们可以通过攻击手法、皇冠珍珠分析法、漏洞利用痕迹、基于IOCs狩猎这四个途径来开展工作。
威胁狩猎方式
上面介绍了一些威胁狩猎的方法论,接下来笔者通过一些日常工作和重点案例来说明威胁狩猎的应用。
案例一:基于IOCs威胁狩猎
数据采集
我们可以采集特定情报,来弥补情报消费过程中特殊告警的滞后性。比如通过fofa或者其他空间扫描器全自动发现Cobalt Strike beacon,如下图:
特殊情报数据对比
数据碰撞
在数据采集后和SOC日志进行碰撞,形成自动化狩猎,如下图:
自动化狩猎
案例二:溯源案例1
安全监测
2023年08.08,我们在安全运营中监测到特殊攻击payload,攻击日志如下图:
检测出攻击者所使用的payload为深信服终端检测响应平台(EDR)漏洞,漏洞编号为CNVD-2020-46552,漏洞详情如下图:
并且攻击者频繁对公司的业务系统扫描探测,通过画像信息判定该攻击者为非讯飞的白帽子成员,攻击者扫描探测日志如下图:
溯源分析
结合外部威胁情报信息可得知,攻击者长期使用端口扫描工具和深信服相关漏洞来实施攻击,如下图:
通过源IP与安全设备采集的日志相互碰撞,发现攻击者的baiduid为欧***,查看其baidu贴吧的发帖历史记录,发现攻击者泄露了QQ号,如下图:
再通过泄露的QQ号结合社工库查询到攻击者的手机号,如下图:
攻击者画像
从攻击者的攻击日志来看,攻击者的基础设施并不是很丰富,而且以单一漏洞扫描(Nday)为核心能力,在攻击的过程之中攻击者并没有使用代理工具来隐匿自己的IP出口,推测属于“脚本小子”之类的级别,法律意识淡薄。
案例三:溯源案例2
安全监测
2023年11.29,在安全运营中监测到攻击者在使用EDR多个漏洞尝试攻击,如下图:
同时有扫描探测以及用户权限尝试获取的行为,如下图:
溯源分析
结合外部威胁情报信息可得知,攻击者使用漏洞扫描工具来实施攻击如下图:
该IP的主要攻击画像如下图:
通过源IP与安全设备采集的日志相互碰撞,发现攻击者的baiduid为2i*****,根据该ID的特殊性来看,直接使用搜索引擎进行搜索,查到对应的微信号,同时也是手机号。
攻击者画像
从攻击者的攻击日志来看,攻击者的基础设施较为丰富,能够熟练使用漏洞扫描工具。在未授权的情况之下,频繁对我司业务系统进行攻击尝试,体现了其法律意识的薄弱。
小结
SUMMARY
随着国家对网络安全的重视,网络安全法的推广越来越普及。上面提及的个人攻击者可能还未意识到针对企业的未授权攻击已经触犯了法律法规,我们在保留追究其责任的权利的同时,更多的是想提醒相关从业者,希望大家遵守网络安全法,通过合理的、授权的渠道来对各企业互联网资产进行测试。
本文提到的也只是威胁情报个别的应用场景,每个都需要很长的篇幅才能够被解释清楚,把它们放到一篇文章中,就只能浅尝辄止了。当然,讯飞安全目前对威胁情报的涉足也是初窥门径,我们需要有更好的创意、更多的投入,威胁情报才能发挥其本应发挥的作用。
原文始发于微信公众号(讯飞安全):分享|讯飞威胁情报实践分享(一)
