為什么事件響應必須采用殺傷鏈視角
責編:gltian |2019-07-31 17:45:32事件響應 (IR) 確實在發展進步,但仍舊難以超越單個事件角度看清全局。IR 工具固然行之有效,尤其是在編排和自動化技術的發展將很多 IR 工具轉變成安全編排、自動化與響應 (SOAR) 工具之后,但這些工具卻受到視野狹窄的限制。
由于大型網絡攻擊基本不會是單一事件,采取基于殺傷鏈的視角明顯成為 IR 演進之路的下一個站點。殺傷鏈更像是一系列事件的時間線,這些事件往往以不那么明顯的方式聯系在一起。
MITRE 基于殺傷鏈概念創建了 ATT&CK 矩陣,可幫助安全運營團隊加速威脅檢測與響應。具體到事件響應上,為什么從殺傷鏈的角度概念化網絡攻擊是檢測和中斷重大攻擊的最佳方式呢?
CARBANAK
為說明重大網絡攻擊通常不是單一事件,而是一系列朝向目標邁進的攻擊動作,我們可以先來解析下最近的一起重大網絡犯罪活動:FIN7 網絡犯罪組織利用 CARBANAK 后門制造的銀行劫案。
這一系列讓犯罪黑客賺得盆滿缽滿的銀行劫案,可不是入侵銀行網絡從 ATM 機上取錢那么簡單,都是時間跨度很長的操作,有時甚至持續數月。2018 年一家歐洲銀行遭到的攻擊就涉及魚叉式網絡釣魚、漏洞掃描、域控制器入侵、Cobalt Strike Beacon、主機入侵、遠程訪問、信息滲漏等等。
執行所有這些動作的時候,攻擊者相當專業地保持了低調,極端難以檢測。絕大部分黑客操作選擇正常上班時間執行,混入銀行常規業務活動當中。但某些黑客活動,比如數據滲漏,卻在晚間和周末進行,且采取短時會話方式,避免出現流量高峰引起銀行職員注意。
切斷殺傷鏈
很明顯,對付CARBANAK 這樣的高級持續性威脅,從基于事件的角度檢測和響應并非理想方式。鑒于攻擊者手法高端,他們的很多動作可能單獨看來都是合法的。只有放在魚叉式網絡釣魚攻擊殺傷鏈上下文中觀察,其惡意目的才會顯現。
從傳統的事件響應角度看,封鎖被標記動作就是最終目標。于是,發現一封魚叉式網絡釣魚郵件,標記之,封禁發送方,完事。但實際上,這么做并未解決攻擊中的其他元素,攻擊仍在進行。很可能有其他十幾封郵件躲過了檢測,而你壓根兒沒想著去找出它們。若采取殺傷鏈視角,你會意識到,這是遭遇了魚叉式網絡釣魚攻擊,得開始查找殺傷鏈中的其他環節。基于那封已檢測出的惡意電子郵件,你可以搜索發往潛在魚叉式網絡釣魚目標的其他電子郵件。只要再找到一封,你就可以根據攻擊者的下一個目標找尋這波攻擊的其他蹤跡。采用該框架,防御者可繪制出一張包含很多事件、攻擊指標、終端和外部實體的關聯網。當攻擊鏈從該關聯網中呈現出來的時候,防御者也就有了搶在攻擊者觸碰最終目標之前掐斷該攻擊鏈條的絕佳機會。
搶先一步
隨著 IR 技術的發展,“事件響應” 這個詞就越來越不恰當了,因為事件響應不再是純被動響應過程。IR 一直以來擔負的是減小攻擊影響、了解攻擊具體情況和修復被利用漏洞的任務。但現在,從攻擊鏈的角度出發,“事件” 可能只是攻擊中的一小部分,防御者有機會在傷害造成前主動介入。
對手看起來似乎總是魔高一丈,基于事件的響應、基于特征碼的檢測,以及其他傳統安全方法永遠不能完全彌補該差距,無論這些傳統方式執行得有多好。安全團隊需融入基于意圖的響應、基于行為的檢測,從殺傷鏈的角度出發,領先對手一步。支撐這一轉變的技術正在興起,事件響應的未來甚為明朗。