4.安全知识图谱探索者余凯
专家简介
余凯,现任360政企安全集团副总裁、360安全大脑知识云和本地安全大脑负责人。长期从事网络安全核心技术研发与产品管理工作,致力于实践、创新世界一流的攻防对抗技术和网络空间安全知识图谱体系。前瀚思科技副总裁,在安全技术、产品、市场等方面具备近20年的丰富经验,拥有多项美国专利,推动瀚思成为唯一参加MITRE ATT&CK评测的中国安全厂商。
“攻防对抗不对等”困境实质是防守方长久以来仅面向自身做免疫修复而非基于实战攻击行为提升纵深防御。发现未知攻击,首先是检测已知攻击,而更大的前提是能全面定义已知的攻击行为。ATT&CK建立了从“知攻”通向“知防”的桥梁,360在长期攻防对抗实践中构建了独有的全景攻防知识图谱,并融入安全大脑体系为客户提供超越合规的抗攻击能力评价平台和服务。
——余凯
没有攻不破的网络
2020年,不仅让我们体验了史上最复杂的病毒疫情“新冠肺炎”,也让我们在年末看到了史上最复杂的黑客攻击“SolarWinds”。2020年12月13日,知名网络和系统监测管理软件制造商SolarWinds公司旗下的Orion基础设施管理平台发布环境遭到黑客组织供应链攻击。黑客篡改了系统所使用的库文件,绕过安全检查机制,并在官方安装包和在线升级程序包中的核心服务组件植入了“后门程序”。SolarWinds覆盖客户包括“财富美国500强”企业、美国十大电信公司、美军所有五大部队和美国政府的多个部门。微软和FireEye明确表明出现组织失陷和数据泄漏,美国国务院、商务部、财政部、国土安全部、国防部、国家卫生研究院承认被入侵。这两件事很容易验证一个观点,正如人体始终要面对未知病毒入侵,组织遭受黑客攻击和失陷也无法避免,即便是当下拥有顶级安全能力的微软、FireEye或美军、美国政府也概莫能外。无法避免并不代表无可应对,SolarWinds事件中的一个信息值得我们反思:FireEye意识到遭受入侵后主动曝光,紧接着是微软、Crowdstrike、MalwareByte等也开始披露内部调研的攻击细节。随后美国防务智库MITRE开始向公众更新并持续发布SolarWinds相关攻防技战术,同时MITRE向FireEye多个公司和个人致谢所提供的技术细节。
这个国家背影下的民间协同,使得防御者有机会看到SolarWinds攻击图谱全景,这是美国近年来安全体系化创新的最新高点。
对抗未知攻击的行动指导
我们常常说攻防对抗严重不对等,防守方需要做好每个系统的每个细节,而黑客只要找到一条路径就能长驱直入。这种困境出现的实质是防守方长久以来仅面向自身做免疫修复而非基于实战攻击行为提升纵深防御,陷入知己而不知彼的被动局面。倘若防守方有机会在已知攻击路径节点都设卡检查,形成天罗地网,就极大提升了入侵的门槛,因为黑客可以在局部做创新,但很难在攻击的每一步都做创新,这时防守方只需监测到已知黑客行为就能报警并基于预案开展入侵追踪、溯源联动和遏制入侵。因此发现未知攻击,首先是检测已知攻击,而更大的前提是能全面定义已知的攻击行为。
ATT&CK是检测与响应能力的基础
2013年在MITRE主导的Fort Meade Experiment(FMX)研究项目中,ATT&CK(Adversary Tactics and Techniques&Common Knowledge)模型首次被提出。ATT&CK由MITRE于2015年正式发布,汇聚来自全球安全社区贡献的基于历史实战的高级威胁攻击战术、技术,形成了针对黑客行为描述的通用语言和黑客攻击抽象的知识库框架。MITRE作为美国防务智库是一个非营利组织,向政府和行业提供系统工程、研究开发和信息技术支持,除了ATT&CK攻防技战术知识库,还维护CVE标准体系和威胁情报标准体系。
ATT&CK是一个全新的威胁模型。为什么已经有了那么多威胁模型,还要引入一个全新的?
MITRE为美国政府所做的Cyber Threat Modeling: Survey, Assessment, and Representative Framework(《网络安全建模:调查、评估和典型框架》)将威胁模型框架分为以下三类:
(1)面向风险管理的模型,例如著名的美国国家标准及技术研究院提出的网络安全框架NIST Cybersecurity Framework;以及更加著名的洛克希德·马丁定义的杀伤链Lockheed Martin Cyber Kill Chain。
(2)面向安全软件设计开发测试的模型,例如Microsoft提出的STRIDE模型,Intel提出的TARA模型。
(3)面向威胁信息分享的模型,例如MITRE定义的STIX模型,美国国家情报总监定义的网络威胁模型ODNI CTF。
其中第一类中的杀伤链模型在业界赫赫有名,应用广泛,其定义了网络攻击的七个阶段,增强了普通人对网络攻击的理解,呼应了纵深防御策略,为企业安全规划提供了参照。
可以说,引入ATT&CK解决了杀伤链模型的重大局限:
(1)杀伤链模型起源于网络入侵防御早期,突出了病毒和漏洞相关的外线防守(Perimeter Defense),无法反映现代黑客入侵的变化,例如无文件攻击,利用合法工具的离地攻击(living off the land),同时对入侵后长达数月经年的黑客行为只以少量笔墨笼统描述为远程控制及扩散,给人一种至此防御已经失败的错觉。而现实恰恰告诉我们,失陷是不得不面对的常态,从黑客成功入侵后到成功获取数据或造成重大影响前,长时间跨度的内线对抗(Interior Defense)大有可为。同时,内线对抗相关的其他场景例如内鬼威胁并未涵盖。
(2)杀伤链模型只引领大家在“一万米高空”看黑客入侵和攻防对抗,知其然而不知其所以然,攻击威胁可以被感知却因没有细节而无法转化为对抗能力,因此组织安全建设可参照攻击阶段来确定该买什么产品,却无法评估其效果,安全建设陷入安全合规有无选择,却无法衡量有效性,进而无法进行针对性改进。
ATT&CK创造性地统一了黑客行为描述,对杀伤链模型提到的黑客入侵生命周期做了完整的映射,并超越模型本身,进一步持续构建和积累黑客行为知识库,从而填平了长期以来防守远落后于攻击的沟壑,类似大秦统一了文字、货币、度量衡,生产力和战斗力有了突破性成长。ATT&CK知识库最大的亮点和独特价值是,技术细节都来源于MITRE和社区对于实战的分析并持续更新扩充,为防守方基于已知而对抗未知提供了明确而强大的行动指导,成为了应对未知攻击“检测”和“响应”能力建设的基础。
实战定义数据,数据驱动安全
2015年笔者正在负责公司沙箱技术研发,开始只是参考其补全恶意文件执行的行为定义,到2018年ATT&CK开始获得爆发式关注,我们和当时几乎所有国际安全头部厂商都迅速开始在产品中增加针对ATT&CK的支持,并且持续将自己看到的黑客手法和攻击行为贡献给ATT&CK知识库。
前面提到ATT&CK是美国国家背影下的民间协同平台,是其近年来安全体系化创新的最新高点,而更大意义是在冰山之下:
ATT&CK诞生之日起,多数人关注的是与技战术相关的实现过程,所谓“一花一世界,一叶一如来”,每个技战术(Tactic、Technique)都有万千实现可能,而这部分MITRE并未公布。因此只有长期战斗在高级威胁对抗一线的厂商才能如鱼得水,通过参照其模型和体系,让艺术般灵光乍现的攻防对抗点的体系化和知识化成为可能。
而现实中,很多厂商能讲各种安全理论,但其实并没有经历过真正的国家级大规模实战对抗,也没有发现过APT攻击,是无法做出真正有效的安全产品和体系规划的。我们常说“数据驱动安全”,其实还有半句应该放在前面:“实战定义数据”。当前多数组织部署的态势感知攻击检测效果不佳,基础问题在于探针的数据没有应对实战对抗需求打点和采集。在错的数据上分析,再有经验的专家或者AI算法模型都无法施展。
在360,我们很早就开始了这方面工作,大家都知道,在过去的15年里,360持续服务和保护中国10亿消费者和数千万中小企业。因为360做免费杀毒,无论是一个病毒木马的作者,还是有组织的勒索软件犯罪集团,或是其他国家的网军,只要想在中国入侵任何一个电脑,基本上都免不了要跟360打交道,他们都希望能想办法越过360产品的检测和查杀。所以这15年来我们一直陷入和这些人长期的、非常艰苦的攻防对抗,而这些付出和努力不仅让360收获了全球最好的终端安全软件,全球规模最大的安全大数据,东半球最大的网络安全攻防专家团队,同时还构建了自己的ATT&CK知识库。它与MITRE ATT&CK最大的不同是它的东半球视角,依托360高级威胁研究院、实战云、漏洞研究院、安全工程院、网络安全研究院、安全服务团队等多个核心安全团队的实战和研究成果,大量扩充了360视野内独特的技战术细节,同时创造性地增加了漏洞利用技战术知识库并持续更新,形成了360独有的全景攻防知识图谱。
评估验证效能,差距驱动改进
“实战定义数据,数据驱动安全”,应该还有半句加在后面:“评估验证效能,差距驱动改进”。长期以来组织安全负责人都很难回答安全体系防护效能以及投入收益比的问题。普遍的共识是安全产品不能不买但又无法证明物有所值,这背后主要的挑战是如何系统化衡量、评估和改进安全防护的抗攻击能力。
MITRE给出的建议是进行咨询式展示评估。2017年MITRE接受美国政府的咨询服务希望评测行业内的高级威胁检测和响应类产品,MITRE与Endgame、Crowdstrike合作设计了一套评测方法,并为评测定了一个全新的名字:入侵者模拟(Adversary Emulation)。入侵者模拟是ATT&CK评测的核心理念和实施基础,其本质是ATT&CK+红队,即红队模拟ATT&CK描述的入侵者攻击行为。
我们从2018年开始参与MITRE基于ATT&CK的入侵者模拟产品评测。2018年基于APT3组织技战术做评测,2019年基于APT29,2020年基于Carbanak+FIN7。下面是2019年我们参与APT29评测所见的高级持续攻击作战图。
基于ATT&CK知识库的入侵者模拟技术可用以衡量、验证防护产品和体系的效能,并形成差距清单,为改进提供指导和持续验证。最近几年无论是美国联邦政府、美国国防部,还是头部安全厂商Palo Alto、FireEye等都加速了对这个方向的探索。
从2019年开始我们将在MITRE亲历的入侵者模拟技术工程化、自动化,与360全景攻防知识图谱一并融入了360安全大脑体系,对内驱动360自身产品持续改进,对外为客户提供超越合规的抗攻击能力评估平台和服务。目前已经在国内多家头部金融客户推广,更应用于备战即将到来的大型攻防实战演练,获得了客户的赞誉好评。
MITRE官方推荐了如下ATT&CK适用的场景,我们也在持续实践和探索自己的道路:
● 入侵者模拟;
● 红队和蓝军建设;
● 威胁防护检测产品能力衡量;
● 抗攻击能力差距分析以确认安全规划建设优先级;
● 安全运营成熟度评估;
● 攻击组织归因分析参考。
习近平总书记说:“网络安全的本质在于对抗,对抗的本质在于攻防两端能力的较量”。攻击是一门艺术,需要想象力;防守是系统性工程,依靠理性和逻辑。ATT&CK建立了从“知攻”通向“知防”的桥梁,攻防对抗中长期易攻难防的局面有望缓解,我们愿与同行一起携手建设中国网络安全知识图谱,共同提升数字基建和信创体系对抗高级威胁攻击的能力。