域名預(yù)訂/競(jìng)價(jià)，好“米”不錯(cuò)過

作者：余凱@瀚思科技副總裁

2019 年相當(dāng)不太平，除了全球貿(mào)易戰(zhàn)，安全行業(yè)也暗潮涌動(dòng)。上月底，Gartner WEB 應(yīng)用防火墻 (WAF) 魔力象限領(lǐng)導(dǎo)者 之一某企業(yè)a 承認(rèn)遭到黑客入侵【1】，該企業(yè) 一直宣稱其核心能力和使命是保護(hù)客戶的應(yīng)用和數(shù)據(jù)安全，入侵事件的發(fā)生貌似尷尬。然而今年 5 月，國(guó)外主流媒體報(bào)道【2】全球排名前三安全廠商悉數(shù)被黑客組織 Fxmsp 攻破，源代碼遭到泄漏。時(shí)間線向前回溯，谷歌 2018 年因?yàn)閿?shù)據(jù)泄漏終止 Google+ 服務(wù)【3】，微軟于 2017 年承認(rèn) Windows 10 源代碼泄漏【4】，卡巴斯基 2015 年主動(dòng)披露內(nèi)部網(wǎng)絡(luò)被以色列黑客攻陷【5】。新聞追蹤至此，大家可以停止笑話 該企業(yè) 了，問題遠(yuǎn)比想象嚴(yán)重，而且沒有人可以袖手旁觀。

基于上述入侵事實(shí)，如果某家廠商宣稱其產(chǎn)品技術(shù)能讓客戶安心無憂抵御黑客攻擊，果斷可列為笑談;即便是多做一些努力澄清，宣稱持續(xù)提升員工安全意識(shí)和流程，也僅僅是在基線路徑上多走了一步，然而遠(yuǎn)遠(yuǎn)不夠。上述事件背后的公司代表行業(yè)安全能力的上限，更多的公司面對(duì)黑客攻擊，大概率是落到四個(gè)象限：被黑了自己不知道、被黑了公眾不知道、即將被黑、不值得被黑。國(guó)外同行一般會(huì)說 “assume breach”【6】【7】(假定失陷)，上月 ISC 大會(huì)上 360 集團(tuán) CEO 周鴻祎的措辭是 “沒有攻不破的網(wǎng)絡(luò)”，甚至 “敵已在我”。這個(gè)觀念很多人會(huì)感到意外，但這是事實(shí)，我們需要更加坦誠的面對(duì)問題并做深層次的反思。

黑鐵時(shí)代：人與人間的攻防對(duì)抗

我記憶里開始持續(xù)關(guān)注高級(jí)威脅對(duì)抗始于 2010 年 Google 披露極光行動(dòng)【8】，印象深刻是因?yàn)楫?dāng)日證實(shí)我們研發(fā)的漏洞分析引擎 (SAL，Script Analyzer Lineup) 可以完全不做修改和升級(jí)檢測(cè)到利用零日漏洞 (CVE-2010-0249) 的攻擊代碼，團(tuán)隊(duì)歡呼雀躍場(chǎng)景歷歷在目。不曾想到，這只是起點(diǎn)，整個(gè)行業(yè)更加波瀾壯闊的攻防對(duì)抗序幕拉開了。以 “波瀾壯闊” 形容并非代表正義的一方以壓倒性的優(yōu)勢(shì)碾壓對(duì)手大快人心。事實(shí)恰恰相反，那是 “黑鐵時(shí)代”，攻擊一方漸入佳境，而當(dāng)時(shí)絕大多數(shù)的安全廠商長(zhǎng)期專注病毒，對(duì)以漏洞開始的黑客入侵沒有特別多的辦法抵御，甚至并不甚了解基于腳本和文檔等攻擊的手法。同時(shí)，華語安全圈開始流行一句話 “未知攻、焉知防”。“未知攻、焉知防” 講的是顛撲不破的道理，可喜的是，近年來大量的安全演講和文章仍然反復(fù)被提到，道理深入人心。以此為起點(diǎn)，我們?cè)囅胍幌拢粢阎?huì)怎樣?讓我們先從美國(guó)一家著名的安全公司火眼 (FireEye) 說起?；鹧酃?2004 年成立，早期獲得美國(guó)中央情報(bào)局投資，最初的安全基因來自老牌安全廠商 McAfee，2013 年起通過收購 Mandiant 大舉進(jìn)入高級(jí)威脅攻防 APT 市場(chǎng)并成功在美國(guó)納斯達(dá)克上市?；鹧酃玖闳昭芯繄F(tuán)隊(duì)和 Mandiant 安全服務(wù)團(tuán)隊(duì)擁有一群非常優(yōu)秀的白帽子黑客，在 2013 年和 2014 年，全球絕大多數(shù)的基于零日漏洞的 APT 攻擊都是由這兩個(gè)團(tuán)隊(duì)合作發(fā)現(xiàn)，而這也推動(dòng)火眼基于沙箱的全線產(chǎn)品迅速被市場(chǎng)接受。我當(dāng)時(shí)在服務(wù)的公司領(lǐng)導(dǎo)高級(jí)威脅核心技術(shù)團(tuán)隊(duì)，恰好負(fù)責(zé)與 FireEye 對(duì)標(biāo)產(chǎn)品的技術(shù)研發(fā)，通過多次一線實(shí)戰(zhàn) PK，發(fā)現(xiàn)火眼的產(chǎn)品距離市場(chǎng)宣傳的能力相距甚遠(yuǎn)，甚至很多火眼自己發(fā)現(xiàn)的零日漏洞利用以及 APT 攻擊稍作變換就無法檢測(cè)，換言之發(fā)現(xiàn)高級(jí)威脅攻擊主要靠人，而人的局限決定了百密一疏成為必然，同時(shí)安全能力無法復(fù)制?；鹧凼悄莻€(gè)時(shí)代高級(jí)威脅攻防領(lǐng)域超一流的公司，在檢測(cè)黑客攻擊上，其他安全廠商并沒有質(zhì)的突破。這段經(jīng)歷讓我相信，即便知攻，距離知防仍有巨大的鴻溝，亟需有突破性的變革與創(chuàng)新。其實(shí)回看安全行業(yè)這么多年，基本沒有擺脫這個(gè)格局，有很多原因：1)黑產(chǎn)暴利，國(guó)家級(jí)攻擊不惜成本。有興趣可以看 GandCrab 勒索病毒團(tuán)隊(duì)的感人故事【9】，以及了解NSA如何開發(fā)核武級(jí)攻擊代碼【10】。2)白帽子黑客研究攻擊有巨大的聲譽(yù)和獎(jiǎng)勵(lì)，如同優(yōu)秀的藝術(shù)家天馬行空。但甲方的安全產(chǎn)品運(yùn)維和乙方的安全產(chǎn)品研發(fā)都需要全面、系統(tǒng)和長(zhǎng)期的付出，同時(shí)對(duì)組織而言不創(chuàng)造利潤(rùn)而是成本中心，常常受制于安全預(yù)算捉襟見肘以及面向業(yè)務(wù)的組織流程。3)經(jīng)費(fèi)問題并非不可解決，畢竟頭部客戶有經(jīng)濟(jì)實(shí)力，也有解決安全風(fēng)險(xiǎn)的動(dòng)力。問題是，如同 “堯聽四岳，用鯀治水。九年而水不息，功用不成”。行業(yè)頭部客戶領(lǐng)導(dǎo)長(zhǎng)期以來無法接受巨大的安全投入可能會(huì)被攻破的事實(shí)，始終沉浸在甲方萬無一失、御敵于國(guó)門之外的不可能完成的承諾中，反復(fù)圍繞漏洞與病毒的做 “天” “壤” 之別的 “堵” “堙” 文章。病毒防御是 “壤”，雖然簡(jiǎn)單卻永遠(yuǎn)要追病毒的變化導(dǎo)致病毒庫膨脹。漏洞防御是 “天”，零日漏洞無處不在，遇到便是面對(duì)降維打擊。

青銅時(shí)代：聚焦黑客行為的產(chǎn)品改進(jìn)

好消息是，經(jīng)過多年的希望與失望反復(fù)，近年來國(guó)際安全行業(yè)逐步針對(duì) “assume breach” 形成共識(shí)，同時(shí)將努力的方向同步到基于黑客行為的檢測(cè)方向上來，專業(yè)術(shù)語是 TTP(戰(zhàn)術(shù) Tactic、技術(shù) Technique、過程 Procedure)TTP 來源于軍事術(shù)語【11】，逐步應(yīng)用到網(wǎng)絡(luò)安全場(chǎng)景。1)戰(zhàn)術(shù)是攻擊行為的技術(shù)目標(biāo)2)技術(shù)是為實(shí)現(xiàn)戰(zhàn)術(shù)使用的手法3)過程是針對(duì)某個(gè)技術(shù)的特定實(shí)現(xiàn)對(duì)抗黑客攻擊，焦點(diǎn)從感染指標(biāo)(Indicator of Compromise, IOC) 轉(zhuǎn)向 TTP，由圍繞痛苦金字塔的討論展開并完成。2013 年 FireEye 的安全專家 David J. Bianco 首次提出 “痛苦金字塔”【12】 (Pyramid of Pain)。國(guó)內(nèi)對(duì)痛苦金字塔有很多介紹本文不做詳細(xì)解釋，這里基于痛苦金字塔提出核心觀點(diǎn)：1)痛苦金字塔第一層以下構(gòu)成了行業(yè)普遍采用的 IoC，他們是黑客實(shí)施攻擊的工具或成果，大概率這些工具只為此次攻擊生成，成果也只在此次攻擊出現(xiàn)。

2)真正有效的檢測(cè)是基于黑客攻擊的一系列手法，包括如何與目標(biāo)系統(tǒng)的互動(dòng)，這些手法有些是黑客人工試探，有些通過工具自動(dòng)化完成的。一個(gè)類似的比喻是，交警通過攝像頭抓取違章是不會(huì)主要依賴車牌或者車型。

3)攻擊手法不容易改變，正如違章行為相對(duì)固定?；?IoC 的防御是必要的基礎(chǔ)能力，但層次越低，效率越低。

4)基于 IoC 或類似特征碼的防御性安全設(shè)備，因?yàn)楸仨氉钄?，常常成為黑客試探和繞過的驗(yàn)證工具。同時(shí)黑客攻擊越來越傾向于以零日攻擊和社會(huì)工程學(xué)開始，以合法帳號(hào)和通用工具，甚至系統(tǒng)工具實(shí)施。這意味著，阻斷類安全產(chǎn)品對(duì)抗黑客攻擊是不夠的，需要有提供嗅探、監(jiān)測(cè)、關(guān)聯(lián)、分析和溯源的旁路型安全產(chǎn)品互補(bǔ)。

以上共識(shí)達(dá)成，各家安全廠商便各自開始努力，聚焦黑客行為 (TTP) 提升檢測(cè)能力。例如今年成功上市如日中天的 CrowdStrike 在 2014 年提出了 IoA 【13】(Indicator of Attack)，而我當(dāng)時(shí)服務(wù)的公司也提出了 EIoC 對(duì) IoC 做擴(kuò)充，一批自用的檢測(cè)惡意行為的經(jīng)驗(yàn)性規(guī)則被提出以 IoA(或其他形式，例如 EIoC)方式描述，并在各自的安全產(chǎn)品中嘗試實(shí)現(xiàn)。時(shí)間給了我們上帝視角，回想當(dāng)年在公司激烈的討論，有關(guān) IoA 和 EIoC 的潛力對(duì)比，有關(guān)如何形成規(guī)則，有關(guān)如何驗(yàn)證，如今結(jié)論都不言自明，水落石出，這些嘗試在后續(xù)幾年的實(shí)踐中都遭遇到了重大瓶頸，或者步履維艱，甚至停滯不前。

重大瓶頸產(chǎn)生的根本是所有的努力都缺乏一個(gè)重要的基礎(chǔ)：描述黑客行為 (TTP) 的語言和詞庫。這一點(diǎn)是高級(jí)威脅攻擊的獨(dú)特性決定的：

1)高級(jí)威脅攻擊自 2013 年起被公開披露，當(dāng)年只有包括 FireEye，Trend Micro，Kaspersky 等少數(shù)安全公司能看到，隨著公眾重視，國(guó)際頭部安全公司投入，更多公司也開始加入其中報(bào)道。但始終因?yàn)槭录叨让舾校瑢?dǎo)致威脅情報(bào)無法交換，眾多安全公司面對(duì)黑客組織全貌如同盲人摸象。

2)即便是在安全公司內(nèi)部，因?yàn)闆]有一個(gè)很好的描述語言和詞庫，即便是最好的安全人員發(fā)現(xiàn)了 APT 事件也無法一致的、直觀的將黑客手法完整的描述出來，再提供給核心技術(shù)和產(chǎn)品研發(fā)去做系統(tǒng)性對(duì)抗實(shí)現(xiàn)。導(dǎo)致最后產(chǎn)品仍然是基于 IoC 檢測(cè)，即便是為行為檢測(cè)而設(shè)計(jì)的 IoA 等描述也最后落入了各種威脅碼的窠臼。

3)黑客行為與正常用戶行為往往很難界定，但又有大量交集。安全產(chǎn)品缺乏記錄中性行為 (telemetry) 的能力，導(dǎo)致黑客入侵難以發(fā)現(xiàn)，這一點(diǎn)是開篇提到代表行業(yè)安全能力上限的安全公司集體失陷的直接原因。

白銀時(shí)代：統(tǒng)一語言，重裝上陣

好消息是，2013 年在 MITRE 主導(dǎo)的 Fort Meade Experiment (FMX) 研究項(xiàng)目中，ATT&CK™ (Adversary Tactics and Techniques & Common Knowledge) 模型首次被提出并迅速成為解決上述瓶頸的標(biāo)準(zhǔn)。MITRE 是一個(gè)非營(yíng)利組織，向政府和行業(yè)提供系統(tǒng)工程、研究開發(fā)和信息技術(shù)支持。ATT&CK 由 MITRE 于 2015 年正式發(fā)布，匯聚來自全球安全社區(qū)貢獻(xiàn)的基于歷史實(shí)戰(zhàn)的高級(jí)威脅攻擊戰(zhàn)術(shù)、技術(shù)，形成了針對(duì)黑客行為描述的通用語言和黑客攻擊抽象的知識(shí)庫框架。

如上圖可以看到，ATT&CK 經(jīng)過 5 年左右的發(fā)展，到 2018 年開始獲得爆發(fā)式關(guān)注。所有國(guó)際安全頭部廠商都迅速的開始在產(chǎn)品中增加針對(duì) ATT&CK 的支持，并且持續(xù)將自己看到的黑客手法和攻擊行為貢獻(xiàn) ATT&CK 知識(shí)庫。近兩年的 RSA、SANS、Blackhat、Defcon 等一線安全會(huì)議，大量廠商和研究人員基于 ATT&CK 開始交流經(jīng)驗(yàn)，同時(shí)將其工具和實(shí)踐分享至 Github 上。至此，黑客攻防終于有了情報(bào)交流的基礎(chǔ)框架和語言，類似大秦統(tǒng)一了語言、貨幣、度量衡，使得生產(chǎn)力和戰(zhàn)斗力有了突破性成長(zhǎng)。ATT&CK 建立了 “知攻” 通向 “知防” 的橋梁，使得防守方有機(jī)會(huì)將攻擊知識(shí)系統(tǒng)化的吸收并轉(zhuǎn)化為針對(duì)性的對(duì)抗能力。而安全行業(yè)經(jīng)由本文提到的白帽子黑客為知防而知攻，演進(jìn)到已知攻而專注產(chǎn)品檢測(cè)黑客行為，并最終達(dá)成共識(shí)基于 ATT&CK 知識(shí)庫協(xié)同提升產(chǎn)品知防能力，長(zhǎng)期落后的防守一方終于看到了對(duì)等對(duì)抗攻擊的曙光。

向黃金時(shí)代進(jìn)軍：右腦知攻、左腦知防

回到文章標(biāo)題，攻擊是一門藝術(shù)，需要想象力;防守是系統(tǒng)性工程，依靠理性和邏輯。如果我們把乙方安全廠商的核心能力比作安全大腦，或者把甲方用戶的安全運(yùn)維中心比作安全大腦的話，“右腦知攻、左腦知防”便是應(yīng)對(duì)黑客攻擊的最強(qiáng)大腦。一個(gè)典型的場(chǎng)景是：基于新發(fā)現(xiàn)的黑客攻擊，白帽子研究員提煉出新的戰(zhàn)術(shù) (Tactics)、技術(shù) (Technique) 和實(shí)現(xiàn)過程 (Procedure)，這等同于貢獻(xiàn)標(biāo)簽;而安全產(chǎn)品基于最新的 TTP 以收集追蹤數(shù)據(jù) (Telemetry)、識(shí)別攻擊技術(shù) (Technique) 并映射為攻擊戰(zhàn)術(shù) (Tactics)，這等同于為客戶環(huán)境大量日常數(shù)據(jù)打標(biāo)簽，這個(gè)過程可為安全大腦提供高質(zhì)量的標(biāo)簽化數(shù)據(jù)，使得機(jī)器學(xué)習(xí)能真正幫助檢測(cè)能力的提升，系統(tǒng)性發(fā)現(xiàn)和應(yīng)對(duì) APT 攻擊成為可能。本文 ATT&CK 隨筆系列的第一篇，接下來我將介紹對(duì) MITRE ATT&CK 知識(shí)庫的理解和思考、安全產(chǎn)品能力評(píng)測(cè)的演化及最近進(jìn)展，以及基于 MITRE ATT&CK 的最佳實(shí)踐，歡迎關(guān)注，敬請(qǐng)期待!

作者簡(jiǎn)介

目前就職于瀚思科技擔(dān)任副總裁，在安全技術(shù)、產(chǎn)品、市場(chǎng)具備近 20 年豐富經(jīng)驗(yàn)，擁有 3 項(xiàng)美國(guó)專利。致力于引入世界一流的攻防實(shí)踐和技術(shù)創(chuàng)新將瀚思的核心技術(shù)進(jìn)行國(guó)際化升級(jí)。他曾在全球最大的獨(dú)立安全軟件廠商趨勢(shì)科技領(lǐng)導(dǎo)高級(jí)威脅攻防核心技術(shù)團(tuán)隊(duì)，負(fù)責(zé)零日漏洞研究、攻擊檢測(cè)沙箱、漏洞檢測(cè)和過濾引擎等多個(gè)核心技術(shù)產(chǎn)品研發(fā)成績(jī)斐然，曾獲得公司最具價(jià)值員工(2012年度)和領(lǐng)袖(2015年度)獎(jiǎng)杯，2015 年榮獲 CEO 和 CIO 共同署名頒發(fā)的年度優(yōu)秀團(tuán)隊(duì)獎(jiǎng)杯。

參考文獻(xiàn)

[1] Cybersecurity Firm Imperva Discloses Breachhttps://krebsonsecurity.com/2019/08/cybersecurity-firm-imperva-discloses-breach/[2] Anti-virus vendors named in Fxmsp’s alleged source code breach respondhttps://www.scmagazine.com/home/security-news/anti-virus-vendors-named-in-fxmsps-alleged-source-code-breach-respond/[3] Google+ shutting down after data leak affecting 500,000 usershttps://arstechnica.com/tech-policy/2018/10/google-exposed-non-public-data-for-500k-users-then-kept-it-quiet/[4] Microsoft confirms some Windows 10 source code has leakedhttps://www.theverge.com/2017/6/24/15867350/microsoft-windows-10-source-code-leak

[5] The Mystery of Duqu 2.0: a sophisticated cyberespionage actor returns

https://securelist.com/the-mystery-of-duqu-2-0-a-sophisticated-cyberespionage-actor-returns/70504/

[6] Defensible Security Architecture

https://dfs.se/wp-content/uploads/2019/05/Mattias-Almeflo-Nixu-Defensible.Security.Architecture.pdf

[7] NSS LABS ANNOUNCES ANALYST COVERAGE AND NEW GROUP TEST FOR BREACH DETECTION SYSTEMS

https://www.nsslabs.com/press/2012/11/8/nss-labs-announces-analyst-coverage-and-new-group-test-for-breach-detection-systems/

[8] More Details on “Operation Aurora”

https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/more-details-on-operation-aurora/

[9] GandCrab Ransomware Shutting Down After Claiming to Earn $2 Billion

https://www.bleepingcomputer.com/news/security/gandcrab-ransomware-shutting-down-after-claiming-to-earn-2-billion/

[10] PLANS TO INFECT ‘MILLIONS’ OF COMPUTERS WITH MALWARE

https://theintercept.com/2014/03/12/nsa-plans-infect-millions-computers-malware/

[11] What’s in a name? TTPs in Info Sec

https://posts.specterops.io/whats-in-a-name-ttps-in-info-sec-14f24480ddcc

[12] The Pyramid of Pain

https://detect-respond.blogspot.com/2013/03/the-pyramid-of-pain.html

[13] IOC Security: Indicators of Attack vs. Indicators of Compromise

https://www.crowdstrike.com/blog/indicators-attack-vs-indicators-compromise/

申請(qǐng)創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！