写点什么

攻防演练 | 关于蓝队攻击研判的 3 大要点解读

作者:青藤云安全
  • 2022 年 5 月 18 日
  • 本文字数:4145 字

    阅读完需:约 14 分钟

攻防演练 | 关于蓝队攻击研判的3大要点解读

在上一篇文章《攻防演练中常见的8种攻击方式及应对指南》中,笔者总体介绍了攻防演练中常见的八种攻击方式及针对各种攻击的响应方式。响应作为遏制攻击、缩小攻击影响面的具体执行阶段,被视为攻防演练中的关键一步。


但在对检测到的事件进行处置之前,有一个对事件从识别到评估的过程。这个过程被称为“攻击研判”,攻击研判相当于整个事件响应流程的“军师”,承担分析判断安全事件和决定处置方式的任务。为了帮助企业组织在攻防演练中更好地理解、部署、实施安全事件响应,本文重点以攻击研判为主题,从团队角色分类、具体实施步骤和创新服务模式 3 个方面对其进行详细解读。


攻击研判的定义及重要性


网络安全中的攻击研判,可以理解为人工层面对攻击事件进行再分析的行为。安全人员针对安全系统或工具发出的告警,通过结合已有的经验和相关工具,来判断其是否为真实存在的攻击,并根据判断结果做出响应的响应、给出处置建议。


一般来说,对攻击事件的分析研判通常从以下 4 个维度进行:

  • 对已发现攻击的来源进行研判;

  • 综合分析攻击技术、工具和路径,判断其威胁性大小;

  • 攻击意图研判;

  • 处置方式判断。


攻击研判,可以看作安全防护流程最为关键的一环。它上承安全告警的分析,下接安全处置的实施,是安全防护过程中技术含量最高的一步。


一个企业组织,拥有攻击研判能力是至关重要的。这样在发生告警的时候,它可以做出正确的判断,进而实施有效的措施,使情况恢复控制。攻击研判,同时也是事件响应过程中最具挑战性的环节:确定是否发生了事件,事件影响面有多大,后续如何遏制或根除异常、可疑活动。


攻击研判中的团队角色分类


为了有效地处理网络安全事件,企业组织需要一个专门从事攻击研判的团队。这个团队的任务是当安全告警发出时,按照既定计划对事件及时进行分析和判断。


以下是一个组织内进行全面、协调的攻击研判所需的角色列表。用户可以根据企业组织的规模、结构以及监管和行业要求来定制此列表。例如,一个人可以担任几个角色,或者几个人可以协调分担一个角色的责任。

表 1 攻击研判中的人员角色与任务


攻击研判团队由专业安全人员组成,每个人在处理事件时都发挥着重要作用。


安全运营中心。对每个安全警报进行分类、收集证据并确定适当的行动。轮班工作的分析师必须对网络安全威胁有广泛的了解,他们能够访问各种安全平台和工具,例如 SIEM 和 EDR 解决方案。这些工具会生大量的警报,安全分析师需要能够理解和解释这些数据。如果事件为高优先级或超出技能范围,则需上报事件管理团队。


研判管理团队。管理团队向相关人员提供证据、建议和意见,并确定事件的节奏,确定需要完成哪些任务、谁来完成,以及应该在什么时候完成。所有事件流转和通信也都由管理团队完成。


安全专家团队。他们只参与重要或高优先级的事件。与运营中心的分析师拥有广泛的技能组合不同,专家团队由具有专业技能的个人组成,例如恶意软件分析师和数字取证专家。该团队提供专家技术建议和分析,并由管理团队分配任务。


威胁狩猎团队。尝试确定事件的根本原因并还原攻击路径,为后续响应工作提供信息。确定对手能够在环境中访问和操作的条件。这些条件将为事件分类和事件后续活动提供信息,以调整网络和系统,使其实现更好的安全防护功能。

攻击研判的 6 个步骤

攻击研判属于安全事件响应的一部分,为了更好地了解攻击研判在整个事件响应过程中的作用,我们可以把列出包括攻击研判在内的事件响应全流程,其中蓝色部分属于攻击研判的流程部分。

图 1 安全事件响应的完整流程


在攻防实战中,根据告警发生后防守方的响应流程,我们可以把攻击研判服务,划分为以下 6 个步骤:


1.攻击告警真实性研判


在接到告警研判服务请求后,安全专家通过内置的研判溯源模型并结合实际环境,快速分析告警主机的进程和操作审计事件,确认告警的真假以及攻击者还做了其他哪些操作,明确告警主机是不是已被入侵,安全专家进行系统性的梳理并给出详细的研判分析报告。

图 2 攻击研判的结果分类


如上图所示,对在系统发出警报后好做出响应的处置以前,需要对警报进行确认,是误报,还是真的有告警事件发生?如果告警是真实的,那么攻击者是正在试图入侵的过程中,还是已经成功入侵?只有确认告警事件为攻击者已经成功入侵后,才会启动响应处置。


告警研判的结果和对应措施也可以用下表直观地展示出来:如上图所示,对在系统发出警报后好做出响应的处置以前,需要对警报进行确认,是误报,还是真的有告警事件发生?如果告警是真实的,那么攻击者是正在试图入侵的过程中,还是已经成功入侵?只有确认告警事件为攻击者已经成功入侵后,才会启动响应处置。


告警研判的结果和对应措施也可以用下表直观地展示出来:

表 2 攻击研判的结果分类及响应措施


2. 攻击事件调查


一旦确定了告警的真实性,安全专家要通过主机、流量侧的日志以及系统告警等信息,对攻击事件进行调查。并根据攻击行为特征建立一套通用的方法论,生成《XXX 事件调查报告》。用户可以根据这套方法论在自己的安全设备中添加检测规则,以便在下次面对相同攻击的时候快速做出响应。


在这个过程中,请参阅以下关键问题以全面了解攻击事件:

  • 最初的攻击媒介是什么?(即,攻击方如何获得对网络的初始访问权限?)

  • 攻击方如何访问环境?

  • 攻击方是否利用漏洞来获得访问权或特权?

  • 攻击方如何维持指挥和控制?

  • 攻击方在网络或设备上是否有持久性?

  • 持久性的方法是什么(例如,恶意软件后门、webshell、合法凭证、远程工具等)?

  • 哪些账户已被盗用,这些账户是什么权限级别(例如,域管理员、本地管理员、用户账户等)?

  •  使用什么方法进行侦察?

  • 是否发生横向移动?如何进行横向移动(例如,RDP、网络共享、恶意软件等)?

  • 数据是否被泄露,如果有,是什么类型的,通过什么机制?


3.失陷范围排查


安全事件发生时,对于横向移动主机,安全专家首先会根据现有信息找出一台确认失陷的主机,然后以这台失陷主机的数据以及它的互联关系为线索,在用户系统中展开内网溯源,确认是否存在被横向渗透的主机,并循环此过程逐步找出所有失陷主机,确认攻击影响面及具体的失陷范围。

图 3 根据攻击者 TTP 确定失陷主机范围


4.攻击过程还原


攻击溯源是事件响应的关键,也是安全能力提升的关键。通过对被攻击资产的分析与溯源,还原攻击路径与攻击手法,用户不仅能够有效提升攻防演练效果,还可增强常态化安全防御能力,将攻击事件转换为防御势能,避免二次攻击事件的发生。


5.防守方成果报告整理


在攻防演练中,防守方在完成攻击确认到调查、还原的整个流程之后,需要整理出一份防守报告,阐述攻击的真实性、攻击的覆盖范围、攻击者的攻击路径及行为。并将报告提交给组织方,即可得分。


6.  攻击清除处置建议


最后,根据对攻击者所用技术和攻击路径的反向梳理结果,安全团队要综合分析对方的攻击动机和意图,以及用户自身的防护水平及目的,给出合理的处置建议。


以上 6 个步骤是安全专家在攻防演练或日常防护中所要实施的攻击研判流程,不同企业的攻击研判服务都大致如此。但虽然流程基本一致,不同企业组织的攻击研判质量却参差不齐,究其原因,在于研判模式的区别。


攻防演练是实战化的安全能力考验,各种高级、未知、高隐藏型攻击威胁,已成为攻防演练的主流攻击方式。一般情况下,攻防演练中的攻击不可能只持续一次,它一定是长时间、周期性、多 IP 的攻击。这时候要想在系统发出告警后,实现全面、高效率的研判和处置,研判模式必须由单纯的“服务型”向“产品+服务”型转变,除了专业安全人员的服务以外,还需要高可用、高易用的分析研判工具,两者有机结合,才能在面临不同攻击时实现准确、快速、有效的攻击研判。


想了解更多网络攻击类型及应对方式

可扫码查看《2022 网络威胁形势研究报告》


基于网络安全“黑匣子”的攻击研判服务新模式


上文提到了攻击研判团队的角色分类,其实,安全人员除了自己的技能以外,还需要相应的安全工具来支持攻击研判工作。当然,这些工具不能取代安全人员本身。两者只有相互配合,才能更好地履行每个角色所担负的责任。青藤正是基于被称为“网络安全黑匣子”的青藤猎鹰·威胁狩猎平台才实现了更高效的攻击研判服务模式。


黑匣子,又叫做“飞行记录器”,是安在客机上用来记录客机飞行信息的重要载体。它可向调查人员提供飞机在失事前一段时间内的飞行情况,是事故分析的重要证据来源,找到黑匣子往往意味着离“真相”更近了一步。


与“黑匣子”的溯源取证功能类似,青藤猎鹰凭借其“溯源已知威胁、捕获未知威胁”的能力成为攻击研判的重要工具,并提供了「产品+服务」的攻击研判创新服务模式,可应用于告警真实性确认、攻击事件调查、攻击路径还原等多个流程。


图 4 青藤猎鹰在攻击研判中的作用机制


1.快速确定告警的真实性


根据收集的情报数据,青藤猎鹰会确定威胁狩猎的目标;界定调查范围,选择要进行狩猎的系统及相关的数据源;然后制定详细的狩猎计划,采用相关技术和工具来分析不同来源的数据,确认系统中是否存在威胁。


2.多种告警类型深入查询


青藤猎鹰可以通过青藤自研的一个类 SQL 查询引擎,使用统一的方式对所有数据进行检索,支持 10 余类告警查询,包括暴力破解、异常登录、反弹 shell、Web 后门、可疑操作、内存后门等。


3.全方位还原攻击路径和流程


在确认攻击事件后,青藤猎鹰可基于主机 Agent 的事件采集,对攻击事件进行快速溯源,回溯分析黑客攻陷了哪些机器及其横向移动的路径链条,进而切断攻击源头。


4.联合多种安全工具协同防御


青藤猎鹰还可与其他安全产品联动,通过连接 IPS/WAF/蜜罐等网络安全检测设备进行事件调查,实现了网络安全监控、事件研判、分析溯源、应急处置等各项工作的协同。青藤猎鹰的重点是完善内网层面的告警验证和主机层横向溯源,与流量平台形成了良好的组合。


作为有 6 年多攻防实战经验的安全厂商,青藤除了提供「产品+服务」的创新安全模式以外,还基于“平战结合”理念,把战时经验固化到日常安全运营,形成常态化安全运营对抗能力。目前已服务 1000+涉及金融、运营商、能源、电力、政府、军工等行业的攻防演练项目,实现所有关基行业的全面覆盖,并在省、市级及行业攻防演习中多次取得第一,其产品和服务都受到了行业的广泛认可。


此外,通过对各行业各种类客户的服务经验的充分总结,青藤在内部形成了一套快捷、简单的攻防演练运行模式。服务期间可通过专家团队与规范化服务流程保证服务的全面性、高效性、专业性、可靠性。

用户头像

还未添加个人签名 2021.11.03 加入

还未添加个人简介

评论

发布
暂无评论
攻防演练 | 关于蓝队攻击研判的3大要点解读_安全攻防_青藤云安全_InfoQ写作社区