入侵和反入侵始終是網路安全的核心命題,「不知攻、焉知防」甚至成為網路安全的主流思想。雖然美創科技並不認可「以攻定防」的基本思路,但不否認:更多地掌控和了解入侵模式和手段是入侵對抗的重要手段。入侵本身分為外部入侵和內部入侵,二者具有截然不同的特徵:外部入侵就如同女性購物,要到處逛逛;內部入侵則如同男性購物,簡單直接,直達目標。本文主要考慮外部入侵,不太多涉及內部入侵,這是兩個完全不同的課題。
殺傷鏈、att&ck和網路威脅框架(ctf)
簡單地依據已知的攻擊給出防禦措施,對於防禦者而言完全是夢魘。為了有效進行入侵對抗,可以通過構建有效的入侵模型和網路威脅框架進行更加有效的防禦,把入侵防禦從完全被動的防禦轉變為主動防禦和積極防禦。殺傷鏈、att&ck和網路威脅框架(ctf)是過去網路攻防的主要成果,提供了積極防禦指南。
殺傷鏈是由著名的洛克希德-馬丁公司在2023年提出的,把入侵過程分為7個階段:偵察跟蹤、**構建、載荷投遞、漏洞利用、安裝植入、命令與控制、目標達成。殺傷鏈第一次明確把攻擊過程模型化,使防禦者可以做到分階段防禦。只要在達成攻擊之前檢測並進行干預,就可以把傷害降到最低。
att&ck是mitre公司在2023年提出的戰術知識庫,或者是ttp(戰術、技術和過程),可以很好地彌補殺傷鏈的高層抽象、ioc以及特徵之間的高度落差,對於攻擊行為進行分類和特徵化,讓攻擊防禦不再基於瑣碎的觀測點。ioc強調的是乙個威脅點,tpp則強調一類威脅行為,並且實現了威脅行為的階段劃分。網路威脅歸因始終是安全最重要的事宜之一,att&ck第一次讓使用者可以看懂網路安全威脅。att&ck戰術庫進行了一定程度的分類和抽象,使其在一定程度上具備了防禦未知威脅(ioc)的能力。
網路威脅框架(ntctf)最新版本由nsa/css(美國****局/美國**安全域性)在2023年11月發布,可以認為是由odni(美國國家情報主任辦公室)的ctf公升級而來。ntctf是乙個基於att&ck重新構造的網路威脅入侵過程模型,通過階段、目標、行為、關鍵短語4個層次來構建。ntctf把入侵過程分為6個階段:行動管理、準備活動、接觸目標和進攻突防、持久化駐留潛伏、效果、持續支撐作業。每個階段都由目標、行為和關鍵短語來提供支撐。其中行為的核心支撐點就是att&ck戰術知識庫。
無論是殺傷鏈、att&ck還是ntctf都非常龐大,本文無法展開。如需進一步了解,可以參見相應***和報告。
入侵生命週期v1.0
美創科技為了更好地進行入侵檢測和防禦,參照各種安全威脅框架和自身的實踐與思考,提出了基於入侵生命週期的攻擊管理模型,作為美創新一代安全架構的三大支柱之一。
入侵生命週期v1.0把入侵過程劃分為7個階段:探索發現、入侵和感染、探索感知、傳播、持久化、攻擊和利用、恢復。入侵生命週期v1.0 同樣以att&ck作為基本戰術知識庫,匹配到不同的入侵階段。需要注意的是,並非所有的入侵都會經歷這7個階段,也沒有絕對的線性次序。
探索發現
在這個階段中,攻擊者會先鎖定攻擊物件,然後利用某些技術手段,盡可能多地獲取目標暴露出來的資訊,如通過埠掃瞄、指紋探測等方式,發現敏感埠及版本資訊,進而尋找攻擊點,為下一步入侵做準備。
入侵和感染
在這個階段,入侵者會根據「探索發現」階段所發現的重要資訊,來對目標暴露出的攻擊面進行攻擊嘗試,在「探索發現」階段收集到的資訊越多,攻擊物件所暴露的攻擊面也就越多,攻擊更易成功。
探索感知
入侵者在成功進入系統內部後,由於是首次進入所以會出現對內部環境不熟悉的情況,這時入侵者的動作一般會是對當前所處環境進行探索,摸清內部大致的網路結構,常常伴隨著被入侵本機的敏感資訊收集以及對內網大量的埠進行掃瞄,後續根據入侵者的目的進行下一步操作。
傳播
在此階段,入侵者根據上一階段在內網探索感知收集到的資訊,選擇特定的攻擊手法。如若發現內部是域環境,入侵者可能會嘗試先攻破域控伺服器,再傳播其他機器。若是工作組環境,可能會利用收集到的埠和服務資訊,選擇特定漏洞進行批量掃瞄攻擊,來盡可能多地繼續獲得其他計算機的控制權。
持久化
入侵者在對資產進行惡意操作後,為了能夠減少再次連線的攻擊成本,方便下次進入,會進行「留後門」的操作,常見的後門如:建立計畫任務,定時連線遠端伺服器;設定開機啟動程式,在每次開機時觸發執行特定惡意程式;新建系統管理員賬號等。這樣便於入侵者下次快速登入並控制該系統。
攻擊和利用
者在此階段便會開始對目標資產進行惡意操作,按照入侵者意願,對能利用的資料進行竊取、利用;對作業系統、敏感檔案進行破壞、刪除。所有的防禦手段都應該極力阻止入侵者進行到這一階段。
恢復
入侵者在執行所有的攻擊操作時,往往會在系統上留下大量的行為日誌,因此在這一階段,入侵者會對記錄自身痕跡的所有日誌進行處理,或刪除或混淆,從而消滅證據,逃避追蹤。
與殺傷鏈和網路安全威脅框架(ntctf)等威脅框架相比,美創科技入侵生命週期在主體上差異不大,但有兩個明顯特點:
❖ 對於探索性行為給予了更高的重視,提倡關注探索性行為的特徵,將入侵盡可能地防禦在初始階段;
❖ 把資產作為堡壘嵌入到每乙個階段之中,對每個入侵階段的關注點更多的是其涉及到的資訊資產,而不僅僅是攻擊的利用手法。
零信任架構和入侵生命週期的緊密融合
入侵生命週期v 1.0與傳統的入侵模型最典型的差異化特徵就是和零信任架構緊密融合,以資產為堡壘嵌入到每乙個階段之中,以資產為錨定點展開攻擊行為體的檢測。
傳統上,無論是殺傷鏈、att&ck,還是ntctf,都是以行為作為主要檢測點進行。由於行為的中性特徵和無法預見性,在檢測中更多的是採用一種跟隨策略。在嵌入資產堡壘這個錨點之後,就建立起了乙個個觀測點,可以近距離觀察入侵行為。特別是資產錨點是大部分入侵的主要目標,是入侵者在行進過程中無法繞行的堡壘。由於我們為每乙個資產堡壘都建立起了明確的邊界和行為,從而使入侵者在這個堡壘點可以直接被觀測和響應。在美創零信任架構中,資產是被定義出來的,也就是軟體定義資產,從而使我們可以在入侵道路上設定各種不同型別的堡壘和觀測點。這些堡壘和觀測點可以是網路、埠、命令、文件、服務、應用程式、業務操作等。
在入侵檢測中,誘餌是被定義的重要的虛擬資產之一。與真正的實際資產相比,誘餌最大的優勢在於其易檢測性。誘餌由於和業務無關,我們可以在誘餌上配置最為完備的檢測措施,有足夠的時間來完成溯源、二次身份確認等各種高消耗工作。誘餌的另乙個好處在於其風險行為的高度確定性,絕大部分作用於誘餌的行為幾乎都是有害的、與入侵相關的。
通過零信任架構和入侵生命週期的緊密融合,當入侵者在非定義資產上探索時,我們可以在堡壘對其進行觀測;當入侵者探索定義的資產堡壘時,我們可以在堡壘對入侵者進行驗證、標記,並進行防禦。