加密視角下的威脅情報(bào)能力建設(shè)與提升
責(zé)編:gltian |2023-06-06 14:12:56近年來,隨著加密手段在網(wǎng)絡(luò)攻擊中占比不斷攀升,攻防演練場景下的加密技術(shù)應(yīng)用也日趨多樣與復(fù)雜,加密威脅逐步成為傳統(tǒng)安全防護(hù)體系面臨的重要挑戰(zhàn)。在此背景下,構(gòu)建和提升加密視角下的威脅情報(bào)能力,是對抗加密威脅的重要手段,也是更全面地掌握攻擊方完整情報(bào)信息的重要基礎(chǔ)。
傳統(tǒng)威脅情報(bào)在面對加密流量威脅時(shí),與安全產(chǎn)品的聯(lián)動(dòng)更多從IOC著手,對于加密流量的通信特征缺少關(guān)注。為解決這一問題,可以圍繞加密資產(chǎn)信息、加密要素信息等加密特征,構(gòu)建加密威脅情報(bào)能力,應(yīng)對加密流量威脅。觀成科技研究認(rèn)為,在攻防演練場景中,對于加密威脅情報(bào)能力,可以從四個(gè)方面進(jìn)行建設(shè)和提升,分別是風(fēng)險(xiǎn)加密資產(chǎn)識別、限定域指紋構(gòu)建、同源加密威脅關(guān)聯(lián)和攻擊設(shè)施主動(dòng)探測。
01 風(fēng)險(xiǎn)加密資產(chǎn)識別
資產(chǎn)盤點(diǎn)與暴露面收斂是大多數(shù)攻防演練活動(dòng)啟動(dòng)階段和備戰(zhàn)階段需要重點(diǎn)關(guān)注的事項(xiàng),對加密資產(chǎn)進(jìn)行盤點(diǎn)及風(fēng)險(xiǎn)收斂同樣重要。從加密要素角度出發(fā),可以從三個(gè)方面識別風(fēng)險(xiǎn)加密資產(chǎn):
- 加密協(xié)議層面:關(guān)注協(xié)議版本、加密套件、擴(kuò)展項(xiàng),尤其是使用低版本協(xié)議、弱加密算法、弱簽名算法的資產(chǎn);
- 數(shù)字證書層面:關(guān)注證書版本、證書序列號、證書有效期、證書自簽名、證書頒發(fā)者與使用者、證書擴(kuò)展性、證書公鑰、證書簽名、證書鏈,尤其是過期證書、自簽名證書;
- 加密數(shù)據(jù)層面:關(guān)注加密算法,尤其是使用弱加密算法對數(shù)據(jù)進(jìn)行加密處理的資產(chǎn)。
02 限定域指紋構(gòu)造
常見針對加密資產(chǎn)的指紋,如JA3、JA3S和JARM等,可以有效識別目標(biāo)加密資產(chǎn),但也同樣面臨著指紋碰撞的問題,當(dāng)這些指紋應(yīng)用于加密威脅情報(bào)時(shí),就會產(chǎn)生一定誤報(bào)。為提升指紋準(zhǔn)確性,可以基于加密要素信息,進(jìn)一步構(gòu)造更為精確地限定域指紋庫。
限定域指紋可以針對客戶端和服務(wù)端分別展開,主要依據(jù)TLS版本、加密套件、擴(kuò)展信息及其他信息進(jìn)行計(jì)算得到。在一些場景下,可以聯(lián)合客戶端和服務(wù)端信息,進(jìn)一步提升準(zhǔn)確性,構(gòu)建完全限定域指紋應(yīng)用于威脅檢測中。
03
同源加密威脅關(guān)聯(lián)
同類別的網(wǎng)絡(luò)資產(chǎn)具有一定的相似性,而加密資產(chǎn)同樣具有類似的特征,可以基于網(wǎng)絡(luò)空間資產(chǎn)測繪技術(shù),有效結(jié)合攻擊方使用的攻擊武器、攻擊資源中所提取的加密要素信息,針對攻防演練場景下的黑客工具、熱門商業(yè)木馬及惡意家族等進(jìn)行精細(xì)化威脅關(guān)聯(lián),快速發(fā)現(xiàn)同源加密威脅,達(dá)到“克敵機(jī)先”的效果。
比如,針對HTTPS協(xié)議的網(wǎng)絡(luò)資產(chǎn),分析師可以從響應(yīng)頭、響應(yīng)體及證書等多個(gè)維度提取相似性特征,通過這些相似性特征,可以進(jìn)一步關(guān)聯(lián)與挖掘。通過這種方式,可以對已發(fā)現(xiàn)的攻擊設(shè)施進(jìn)一步延伸和拓展,形成同源加密威脅資產(chǎn)列表,應(yīng)用于加密威脅感知中。
04
攻擊設(shè)施主動(dòng)探測
反向C&C通道是攻防演練場景下的常用通信手段,而C&C的識別與發(fā)現(xiàn)是加密威脅情報(bào)能力的重要體現(xiàn)。在前期準(zhǔn)備階段,需要跟蹤分析黑客工具、熱門商業(yè)木馬及惡意家族,可以基于通信樣本的行為特征、通信信息和加密要素信息,提取加密特征,構(gòu)造上線包、心跳包與指令響應(yīng)包,進(jìn)而進(jìn)行主動(dòng)探測獲取C&C信息,提前掌握攻擊設(shè)施。
在保障階段,需要及時(shí)應(yīng)對變種攻擊,從變種中發(fā)現(xiàn)固定特征或變化特征。對于固定特征,本質(zhì)屬于同類威脅,一部分可以在同源加密威脅關(guān)聯(lián)中發(fā)現(xiàn),另一部分可以主動(dòng)探測中掌握。對于變化特征,應(yīng)及時(shí)構(gòu)造探測特征并進(jìn)行實(shí)時(shí)探測,獲取相關(guān)配置C&C信息,實(shí)時(shí)感知并掌握攻擊方攻擊設(shè)施資源。
來源:安全牛
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運(yùn)”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧