用“大資料+AI ”,構建威脅情報生態
當前,網路安全威脅日益突出,勒索病毒、APT等網路攻擊愈演愈烈,呈現多樣化、複雜化、專業化的發展趨勢。《網路空間安全藍皮書》稱,網路衝突和攻擊成為國家間對抗主要形式,就在剛剛釋出的《2018年我國網際網路網路安全態勢綜述》中資料顯示,來自美國的網路攻擊數量最多。
如何有效地檢測APT等網路攻擊?利用威脅情報資料,藉助大資料分析和人工智慧技術,是目前最有效的手段。
安恆資訊首席科學家劉博表示,從生產高質量威脅情報,到使用威脅情報完善安全體系,這個過程中充滿各種挑戰,難以依賴單方面的力量,這就需要構建完整的生態。
圖:構建威脅情報完整生態
世界各國網路空間戰略和政策也都指明瞭,需要加強網路威脅情報和資訊共享能力建設。2015年,美國發布《國家安全戰略》,設立“網路威脅情報整合中心”;歐盟釋出五年《歐盟安全議程》(2015-2020),主要包括加強歐盟成員國之間的資訊共享,增強歐洲刑警組織與各成員國的合作等。
安恆首席科學家劉博認為,網路空間威脅情報能力的建設,需要從融合威脅情報資料、“大資料+AI”智慧分析、協同處置等角度著手,形成流程的閉環。
融合:構建大資料多源情報生態
威脅情報能力的基礎,是威脅情報的收集。安恆的威脅情報從何而來?主要包含以下幾個渠道:
1、雲端監測:安恆玄武盾每日產生數億攻擊日誌
2、全網蜜罐/流量捕獲:美歐日等全球各地部署蜜罐流量探針
3、網路空間測繪:每週更新全球43億資產資訊
4、國內外開源/商用情報:200+開源與商用情報源
5、安恆使用者分析情報:安恆各類裝置,服務分析經客戶允許後產生的精準情報
6、威脅情報聯盟共享:CNCERT等聯盟情報共享
圖:多源威脅情報
安恆資訊依託SaaS監測服務、雲防護服務、蜜罐網路、全球資產探測等能力,同時整合國內外200餘家情報源,採用雲沙箱、機器學習與專家分析等方式,提煉形成面向伺服器安全的高質量威脅情報中心——IoC信譽庫、網路資產庫、安全事件庫、專家情報庫四大核心情報庫。
細化來看:
1、威脅捕獲:捕獲全球惡意攻擊樣本
安恆蜜罐虛擬出網路資訊系統來吸引攻擊者攻擊,對惡意程式碼和攻擊行為的資訊採集和分析,形成安全威脅情報,集中到安恆資料大腦(態勢感知平臺威脅情報採集中心),為攻擊檢測策略提供參考。
2、Sumap網路空間測繪:發現全球資產風險
Sumap全球網路空間超級雷達,43億IP掃描空間,利用全網快速掃描引擎,2小時全網極速掃描,完成全網資產探測、漏洞掃描和風險趨勢分析。4年多的全球掃描資料積累,利用非同步無狀態的批次橫向資產檢測技術,形成全球資產指紋畫像與風險庫。
圖:海量指紋與風險庫
3、國內外開源/商用情報/威脅情報聯盟共享
安恆資料大腦集成了開源情報、商用情報、戰略情報、機讀情報、威脅情報聯盟共享等多維情報,形成威脅情報生態。
安恆資訊將來源於網路空間測繪、大資料智慧安全分析(AI)、網路流量分析(NTA)、高階威脅監測(APT)、使用者行為分析(UBA)的本地化威脅情報,藉助智慧安全分析提煉高價值威脅情報,以提高安全事件的檢測效率和精準度,輔助態勢感知。
智慧分析與威脅情報結合:大資料+ AI
面對海量告警的資訊過載,我們如何實而不虛的發揮資料和情報的價值?在我們過去的探索中,我們發現有效融合情報的能力作為關鍵要素,能幫助安全運營人員快速、精準的識別受攻擊物件和完成攻擊者畫像。
利用大資料和人工智慧技術,能有效地發揮威脅情報的價值,應用於多個場景:
全域性監控與感知
藉助安恆AiLPHA深度感知智慧引擎DSI,全面多維度特徵提取與畫像,透過聚類異常模型、時序基線異常模型等機器學習演算法模型與威脅情報相結合,提高準確率與檢新率。
2、加密流量處理—監督式機器學習
據 Gartner 預測,到 2019 年,80% 的網站流量都會被加密。攻擊者可利用加密流量進行APT攻擊。安恆資訊利用背景流量資料(contexual flow data)識別TLS加密惡意流量,採用SVM等分類器((有監督機器學習)對加密流量的高維特徵空間進行分類,結合威脅情報從而識別加密的惡意流量。
3、基於邊界流量中的威脅檢測預警
透過近百次安保實踐,安恆資訊發現每一百臺伺服器當中事先植入後門的比例是29%,內網出現已經淪陷主機的機率接近100%。安恆資訊憑藉大資料威脅情報和全流量的能力支撐,對網路流量進行實時分析和檢測,對可疑網路行為進行告警,全方位發現失陷主機、從海量攻擊事件中識別針對性攻擊。
4、高階威脅檢測(APT)
透過對攻擊行為的模型/知識庫與檢測告警結合威脅情報分析,判斷意圖明確的針對性攻擊、預期有嚴重影響的入侵行為、APT組織等。
協同處置:SOAR智慧研判、編排與響應
威脅情報需要形成一個閉環,透過SOAR智慧編排技術,將人、技術和流程整合,提供快速智慧的研判和應急響應能力,自動化分析研判、處置聯動、通報預警,流程化完成事件管理,提高協作溝通效率。
應用案例:某大型會議網路安保活動智慧處置
1。透過制定安全分析規則、統計模型,進行網路安全事件實時監測;
2。當發生安全事件快速進行攻擊來源分析、攻擊上下文分析、安全事件邏輯關聯分析;
3。對攻擊者進行威脅情報碰撞、攻擊指紋分析、攻擊特徵分析
4。對影響範圍分析,分析攻擊目標,確定攻擊的影響範圍
5。透過智慧研判,確定安全事件的性質、攻擊來源、危害程度等
6。進行智慧相應,例如:聯動處置、通報預警、自動分析報告、對接工單平臺。
案例:威脅情報在護網行動的應用
2017年某省公安廳舉行網路安全攻防應急演練,安恆資訊為其提供技術保障。
技術支援
:給演練提供了場地、網路、攻擊IP、現場監控、安全實時檢測、漏洞記錄平臺及攻擊進展情況大屏展示等全方位技術保障。演練全程採取“背靠背”的方式進行,即事先不通知、攻擊源不明確、攻擊目標不明確、攻擊手段不明確,完全接近於實戰。
演練成果
:攻擊方累計發起了15萬次攻擊,採用多種攻擊手段,發現問題超過百處,典型問題包括弱口令、檔案上傳、命令執行、邏輯漏洞等。提升被攻擊目標防禦和應急處置能力,同時鍛鍊了浙江網警接警、出警、取證的能力。
威脅情報應用
:藍方安全裝置發現一個攻擊行為,快速研判攻擊,將該攻擊以情報方式共享至情報中心,海量的情報資料透過大資料AI演算法提高情報準確率後,同步給其他安全裝置,對下次訪問流量進行情報碰撞,快速預警。
知己知彼,方能百戰不殆。威脅情報作為網路空間治理的重要一環,需要政府部門、科研院校、網路安全企業、運維服務支撐單位、行業安全專家等形成情報協同、資料協同、能力協同,共同構建網路空間治理與協同防禦能力體系。
