【攻防演练庙算记三】情报先行

时间:2023年05月18日    来源:安天

攻守双方必须有对彼此敌情、行动、意图等的分析,在行动中才能知得失之计。在《孙子兵法·行军篇》中讲,兵非贵益多也,唯无武进,足以并力、料敌、取人而已。也就是说在作战前,必须对彼此所处的位置和可能的行动做到胸中有数。

《孙子兵法·用间篇》有云:成功出于众者,先知也。意指之所以一出手就能战胜敌人,功业超越众人,就在于能预先掌握敌情;同时,又补充到:先知者,不可取于鬼神,不可象于事,不可验于度,必取于人,知敌之情者也。是说要事先了解敌情,不可求神问鬼,也不可用相似的现象作类比推测,不可用日月星辰运行的位置去验证,一定要取之于人,从那些熟悉敌情的人的口中去获取。

在实战攻防演练活动持续对抗场景中,所谓的“先知”即指威胁情报;“必取于人”中的“人”即是经受过实战考验的可靠的威胁情报产品,以及拥有丰富经验的专家。

本期为【2023安天攻防演练庙算记】第三章:情报先行。

威胁情报正是网络攻防战场上“知己知彼”“掌控敌情”的关键,特别是在攻防对抗中,防守方在明处,防护的资产则是一个不能移动和隐藏的靶标;而攻击方躲在暗处,利用攻击行动匿名性、攻击针对性、攻击自由度、人性弱点等,总是可以找到突防机会。依靠威胁情报作为支撑,在提前掌握攻击方的攻击技术、攻击手法、攻击意图等方面“敌情”的基础之上,可有效缩短防御响应周期并提高针对性,对攻击方的攻击行为和攻击动作上进行阻断,驱动决策完善安全防御体系,提前部署防御策略,从而提高防御能力。

同时,在这个过程中,时间是非常重要的因素,因为攻防双方都会在指定时间内,模拟更接近于战时的对抗状态,投入足够多的攻防资源参与对抗。因此,制胜的防守不仅仅取决于技术,还取决于组织的协作和应急响应的能力;落实到威胁情报,即其供给的精准性和快速性至关重要。

所以,安天专项威胁情报服务立足于攻防对抗实战场景,打磨团队的战时情报作业流程,不断提升战时状态下的情报生产能力,通过提供更有价值的威胁情报和更专业的解决方案,以提高防守客户单位的安全保障能力,帮助客户更好地应对攻防演练的安全挑战。

图 安天实战攻防演练专项威胁情报服务示意图

安天实战攻防演练专项威胁情报服务,主要通过以下4种手段达成客户有效安全价值:

1. 提供实时最新汇聚的情报(包含机读情报和情报交换组件产品),支撑客户提前将情报更新到防御阻断策略,让情报价值真正落实进防护体系中,避免遭受相关威胁源攻击;

2. 提供分析辅助工具,把情报顺畅地提供给安全分析人员使用。针对发现的威胁线索,如可疑IP、域名、URL、邮箱、文件HASH等,可在线查询到详尽的威胁情报信息,帮助安全分析人员溯源并得分;

3. 针对攻防演练过程中暴露出的0Day、1Day等,收集样本信息,验证样本和漏洞,发布最新的查杀方法、修补建议;

4. 提供客户本地的情报生产和消费能力,包括对抗状态下的情报生产能力,同时支持多种方式的生成和分发流程,以满足客户各类实战场景需求。

安天针对部分客户网络策略更为严格的场景,进行了专门的设计:考虑了隔离网不能第一时间更新情报库的情况,基于近23年反病毒引擎技术的耕耘,安天为客户提供了恶意执行体的特异性向量情报,基于执行体的恶意行为和同源特征,即使在隔离网络条件下,也有良好的能力展现。

在实战攻防演练场景中,防守方需要面对攻击方持续多维的攻击,所以,充分地了解攻击方的整体情况,才能根据攻击特点建立完善的、能有效抵御攻击威胁的安全防护体系。针对攻防演练各个阶段中,专项威胁情报服务的价值如下。

1.启动阶段:资产清查,暴露面情报收集

安天将基于防守客户单位的业务场景为客户做资产梳理和网络安全防护调研,并对客户的网络安全架构进行评估,给出优化方案。

期间可运用安天捕风蜜罐系统在互联网部署ERP、OA、VPN系统、虚拟化桌面系统、邮件服务系统等高交互蜜罐资产,并选择部分蜜罐资产预置不同的弱口令、漏洞等诱骗攻击者;即使攻击方扫描蜜罐资产并进行漏洞利用,捕风蜜罐系统亦可无感知反制攻击方。同时,散播虚假信息“蜜饵”,干扰攻击者收集情报,使其选择攻击目标时产生误判,指数级地增加攻击者的攻击成本,延缓攻击进程的同时,将攻击者不断诱导引入蜜罐陷阱,从而诱捕攻击者,保护真实资产。

2.备战阶段:结合脆弱性情报进行加固,并把情报消费能力落实进防护体系

安天会通过基线检查、漏洞扫描、渗透测试等各种方式对目标系统进行安全检测和安全加固,并通过威胁检测与处置服务分析漏洞。

同时,还可利用排查到的资产及系统信息,通过威胁情报查询系统找到目标系统的暴露面,从而有针对性地进行加固。如交互式查询了解已知的威胁线索,包括可疑IP、可疑域名、可疑URL、可疑邮箱,以及可疑的文件HASH,安天威胁情报综合分析平台(ATID)将展示详尽的威胁相关情报。帮助分析人员缩短情报搜集与分析处理的时间,提升工作效率。

查询IP:支持对亿级的互联网IP地址详细信息进行查询,包括IP的相关情报、地理位置、开放服务和端口信息、IP反向解析域名等信息;

查询域名:支持对数十亿的域名详细信息进行查询,包括域名的相关情报、Whois信息、子域名、域名解析记录和开源情报等信息;

查询URL:支持对亿级的URL威胁情报进行查询;

查询邮箱:支持对数千万左右的邮箱威胁情报进行查询;

查询文件HASH:支持对数十亿的样本详细信息进行查询,包括了样本的相关威胁情报、静态信息、动态行为信息、多引擎检测结果、数字证书等等。

3.迎战阶段:在外部打通情报视野,在内部落实情报生产分发

正式进入实战攻防演练对抗阶段时,安天将基于自身的威胁情报平台和蜜罐为防守客户单位提供威胁情报服务,协助客户全方位掌握演练期间的攻击相关威胁情报:

1. 攻击IP情报

防守客户单位可以通过安天云端威胁情报中心实时获取最新的攻击IP威胁情报,同时可以将这些攻击IP更新到防御阻断策略里,起到提前防御阻断的作用,有效避免被使用这些攻击IP的攻击方入侵。

2. 攻击手段情报

每日提供最新的攻击手段威胁情报,包括0Day漏洞、远程控制木马、物理接触攻击手段、钓鱼攻击手段等,防守客户单位获得情报后可以提前防御,有效避免因这些攻击导致系统被攻陷,进而造成被持续扣分出局的情况。

3. 溯源分析查询

当监测到可疑IP、可疑域名、可疑URL、可疑邮箱、未知文件时,可以通过安天追影威胁情报平台(TIP),快速查询分析得到详尽的威胁情报信息,帮助分析人员缩短情报搜集与分析处理的时间,提升工作效率。

4.总结阶段:汇总情报

在实战攻防演练活动结束后的总结环节,安天将为防守客户单位复盘活动期间的攻防情况,对活动期间攻击成功的事件和防守成功的事件进行复盘。安天将根据活动过程中的工作记录,回顾演练工作的全过程,整理与安全事件相关的各种信息,进行总结,除了为客户提供网络安全方面的措施和建议,还将协助客户建立自己威胁情报库,完善安全防御机制,优化安全防护体系。

专项威胁情报服务价值

1. 全量威胁情报获取,通过与安天威胁捕获系统联动,在发现攻击前期行为后,对攻击样本进行情报检索查询和关联,发现更多攻击线索。

2. 基于威胁情报关联分析与恶意代码同源性分析方法,结合海量威胁知识库,还原威胁事件和攻击手法等信息,支撑安全分析人员对事件追踪溯源。

在2022年大型实战攻防演练活动中,安天专项威胁情报服务为某客户单位监测并阻断网络攻击高达近4万起,溯源加分500分。

附录:关键产品价值简介

2023年安天产品攻防演练防守实战价值列表

防护类别

安全产品

产品价值

威胁情报

威胁情报综合分析平台

安天威胁情报综合分析平台可以有效支撑安全事件分析工作,针对攻击者的攻击工具、攻击资源、攻击手段进行全面揭示,形成追踪溯源的能力,最大程度地减少搜集情报和威胁分析时间。该平台集成探针进行联动和采集,能够高质量联动多种安全产品。客户可以将不同安全产品作为消费情报的节点,对该节点的情报命中进行检测和响应。也可以将各节点作为威胁信息生产点,在本平台上结合自带情报进行调查分析。在攻防演练实战场景中,把检测和响应的情报知识第一时间下发至客户的防御体系。

威胁分析

追影威胁分析系统

追影借助包括安天下一代检测引擎在内的多组鉴定机制组合对输入对象进行判定分析,可有效检出分析鉴定各类已知与未知威胁,尤其对基于格式文档的0Day漏洞攻击具备优秀的检出能力,深度揭示威胁行为细节,输出详实报告。在攻防演练实战场景中,追影可有效检出高级威胁,并与安全产品联动,增强整体安全防护能力。

威胁捕获

捕风蜜罐系统

捕风是部署在网络环境中用于诱骗攻击者的设备级主动防御型网络安全系统,内置多种流行服务和漏洞,支持全场景仿真模拟诱骗。捕风创建的仿真环境在吸引攻击者注意力,保护真实资产的同时,可以及时感知攻击并进行预防,能够捕获攻击者利用的攻击工具并记录攻击全过程。在攻防演练实战场景中,捕风可诱捕攻击方的攻击行为,获取攻击者社交ID、设备指纹等信息,建立攻击者画像,为反制攻击方提供有效支撑。

下期预告

下期为【2023安天攻防演练庙算记】第四章:无通其使。

将分享安天如何针对钓鱼社工邮件提供针对性的防护措施,有效支撑防守客户单位网络邮件系统,提升防御能力。