作为攻击溯源的领先企业,中睿天下已在无数个场合被问到这两个问题:
“攻击溯源,是抓黑客么?”
“作为企业,攻击溯源对我有什么价值?”
近日,借助一次甲乙方共聚一堂进行思想碰撞的机会,中睿天下副总经理谢辉借助实际案例讲述了攻击溯源的意义,并详细阐述了攻击溯源解决方案在各种场景化的应用情况。
中睿天下副总经理谢辉
攻击溯源的主要价值不是抓黑客。
早在2017年,国外专家就探讨过“溯源有什么价值”。鉴于溯源过于困难,有些人持反对意见,指出“可致分析师因认知偏差而做出误导性假设”。不过,更多支持的声音提到,“为进行强有力的防御,安全团队需要学习更多攻击策略将攻击知识转换成防御优势,需要知道对手是谁”。FireEye的约翰·米勒称:“溯源可使安全团队了解攻击者的意图,也就能采取合适的对策。”而从漏洞修复的角度看“知道是谁在攻击,确定漏洞修复的优先级会更容易”。溯源为攻击者分类,确定谁在攻击,攻击者能力有多大,有什么资源,这样“对下一步应采取什么行动有了底,同时有助于决定要不要牵涉进司法部门”。
众说纷纭,总结下来就是:
-
溯源的主要价值不在于追捕攻击者。如果期待抓黑客,可能发现花在溯源上的时间毫无收获。
-
溯源更大的价值在于:
-
了解对手,不局限于已知漏洞,发现未知的新型网络攻击行为;
-
了解攻击者的意图、实力等,针对性采取合适的对策;
-
确定海量事件的优先级,知道下一步该做什么;
-
指导从预防到响应的整个过程,更好地进行防御。
睿眼界面:攻击溯源时间轴
综上,我们可以得出结论攻击溯源≠抓黑客。相比溯源攻击者身份并起诉,攻击溯源更重要的价值在于通过溯源和还原攻击过程,更多地了解对手,指导从监测到响应的整个防御体系建设,提高安全防护的效率、效益和效果,实现精准防护。
这也与等保2.0《GBT22239-2019信息安全技术网络安全等级保护基本要求》中的要求有着异曲同工之妙:
-
应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析。
-
当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目标、攻击时间,在发生严重入侵事件时应提供报警。
-
立足现有的大量事件采集、数据挖掘、智能事件关联和基于业务的运维监控技术,解决海量数据处理瓶颈,通过对审计数据快速提取,满足信息处理中对检索速度和准确性的需求; 同时,还应建立事件分析模型,发现高级安全威胁,并追查威胁路径和定位威胁源头,实现对攻击行为的有效防范和追查。
-
大数据平台应跟踪和记录数据采集、处理、分析和挖掘等过程,保证溯源数据能重现相应过程,溯源数据满足合规审计要求。
睿云•态势感知平台溯源界面
伴随“大云物移”等新技术发展,中睿天下围绕物联网、工业互联网、智慧城市、智慧医疗、智慧能源等纵深行业,提供基于“攻击溯源”的网络安全监测及态势感知综合解决方案。
当前,中睿天下已成功探索出“攻击溯源”在央企网络安全体系中六大场景应用,包括:
-
识别0DAY等未知威胁。基于攻击者视角,将攻击知识转为防御优势,研发基于攻击伤害的威胁发现模型,覆盖上千种攻击手法,有效识别已知/未知威胁。2017年3月struts2漏洞大面积爆发时,睿眼成功检测并告警struts2漏洞利用的未知攻击成功事件。
-
攻击溯源。智能对攻击状态进行成功研判,分辨并聚焦真正重要的攻击事件,解决海量告警处理的问题。同时对威胁进行溯源分析,详细还原整个攻击过程。
-
应对勒索病毒。Wannacry爆发期间,事前预防阶段利用资产督查快速发现网络中开放危险端口的主机,事中监测阶段发现内网发起的SMB漏洞攻击,事后处置阶段利用 DNS审计监测wanacry的开关域名,快速定位中招主机。
-
主机溯源处置。当发现主机异常进行应急事件处置时,采用睿眼·终端,可快速识别windows和Linux主机中存在的木马、后门、黑客入侵痕迹等,并溯源分析还原黑客事件,让普通安全人员具备专家水平。
-
重大活动保障。各种重大活动安全保障期间,配合「睿眼」等强大的威胁检测能力及大数据分析溯源能力,中睿天下提供可管理的威胁检测与响应服务(MDR服务),包括威胁监测、威胁预警、应急响应、取证溯源等。
-
态势感知平台。引入“开关量”概念,建立起贴近一线生产的安全调度中心,通过一块可视化大屏实现“内外网安全监控”和“安全设备运行状态监控”等,实现整体的统一调度、指挥、联动等。目前,睿云·态势感知平台已在国家电网成功落地应用。
参考文献:
-
《攻击溯源的价值到底在哪里》
-
《GBT22239-2019信息安全技术网络安全等级保护基本要求》
