域名預訂/競價，好“米”不錯過

作者：余凱@瀚思科技副總裁

2019 年相當不太平，除了全球貿易戰(zhàn)，安全行業(yè)也暗潮涌動。上月底，Gartner WEB 應用防火墻 (WAF) 魔力象限領導者 之一某企業(yè)a 承認遭到黑客入侵【1】，該企業(yè) 一直宣稱其核心能力和使命是保護客戶的應用和數(shù)據(jù)安全，入侵事件的發(fā)生貌似尷尬。然而今年 5 月，國外主流媒體報道【2】全球排名前三安全廠商悉數(shù)被黑客組織 Fxmsp 攻破，源代碼遭到泄漏。時間線向前回溯，谷歌 2018 年因為數(shù)據(jù)泄漏終止 Google+ 服務【3】，微軟于 2017 年承認 Windows 10 源代碼泄漏【4】，卡巴斯基 2015 年主動披露內部網(wǎng)絡被以色列黑客攻陷【5】。新聞追蹤至此，大家可以停止笑話 該企業(yè) 了，問題遠比想象嚴重，而且沒有人可以袖手旁觀。

基于上述入侵事實，如果某家廠商宣稱其產品技術能讓客戶安心無憂抵御黑客攻擊，果斷可列為笑談;即便是多做一些努力澄清，宣稱持續(xù)提升員工安全意識和流程，也僅僅是在基線路徑上多走了一步，然而遠遠不夠。上述事件背后的公司代表行業(yè)安全能力的上限，更多的公司面對黑客攻擊，大概率是落到四個象限：被黑了自己不知道、被黑了公眾不知道、即將被黑、不值得被黑。國外同行一般會說 “assume breach”【6】【7】(假定失陷)，上月 ISC 大會上 360 集團 CEO 周鴻祎的措辭是 “沒有攻不破的網(wǎng)絡”，甚至 “敵已在我”。這個觀念很多人會感到意外，但這是事實，我們需要更加坦誠的面對問題并做深層次的反思。

黑鐵時代：人與人間的攻防對抗

我記憶里開始持續(xù)關注高級威脅對抗始于 2010 年 Google 披露極光行動【8】，印象深刻是因為當日證實我們研發(fā)的漏洞分析引擎 (SAL，Script Analyzer Lineup) 可以完全不做修改和升級檢測到利用零日漏洞 (CVE-2010-0249) 的攻擊代碼，團隊歡呼雀躍場景歷歷在目。不曾想到，這只是起點，整個行業(yè)更加波瀾壯闊的攻防對抗序幕拉開了。以 “波瀾壯闊” 形容并非代表正義的一方以壓倒性的優(yōu)勢碾壓對手大快人心。事實恰恰相反，那是 “黑鐵時代”，攻擊一方漸入佳境，而當時絕大多數(shù)的安全廠商長期專注病毒，對以漏洞開始的黑客入侵沒有特別多的辦法抵御，甚至并不甚了解基于腳本和文檔等攻擊的手法。同時，華語安全圈開始流行一句話 “未知攻、焉知防”。“未知攻、焉知防” 講的是顛撲不破的道理，可喜的是，近年來大量的安全演講和文章仍然反復被提到，道理深入人心。以此為起點，我們試想一下，若已知攻會怎樣?讓我們先從美國一家著名的安全公司火眼 (FireEye) 說起?；鹧酃?2004 年成立，早期獲得美國中央情報局投資，最初的安全基因來自老牌安全廠商 McAfee，2013 年起通過收購 Mandiant 大舉進入高級威脅攻防 APT 市場并成功在美國納斯達克上市?；鹧酃玖闳昭芯繄F隊和 Mandiant 安全服務團隊擁有一群非常優(yōu)秀的白帽子黑客，在 2013 年和 2014 年，全球絕大多數(shù)的基于零日漏洞的 APT 攻擊都是由這兩個團隊合作發(fā)現(xiàn)，而這也推動火眼基于沙箱的全線產品迅速被市場接受。我當時在服務的公司領導高級威脅核心技術團隊，恰好負責與 FireEye 對標產品的技術研發(fā)，通過多次一線實戰(zhàn) PK，發(fā)現(xiàn)火眼的產品距離市場宣傳的能力相距甚遠，甚至很多火眼自己發(fā)現(xiàn)的零日漏洞利用以及 APT 攻擊稍作變換就無法檢測，換言之發(fā)現(xiàn)高級威脅攻擊主要靠人，而人的局限決定了百密一疏成為必然，同時安全能力無法復制?；鹧凼悄莻€時代高級威脅攻防領域超一流的公司，在檢測黑客攻擊上，其他安全廠商并沒有質的突破。這段經歷讓我相信，即便知攻，距離知防仍有巨大的鴻溝，亟需有突破性的變革與創(chuàng)新。其實回看安全行業(yè)這么多年，基本沒有擺脫這個格局，有很多原因：1)黑產暴利，國家級攻擊不惜成本。有興趣可以看 GandCrab 勒索病毒團隊的感人故事【9】，以及了解NSA如何開發(fā)核武級攻擊代碼【10】。2)白帽子黑客研究攻擊有巨大的聲譽和獎勵，如同優(yōu)秀的藝術家天馬行空。但甲方的安全產品運維和乙方的安全產品研發(fā)都需要全面、系統(tǒng)和長期的付出，同時對組織而言不創(chuàng)造利潤而是成本中心，常常受制于安全預算捉襟見肘以及面向業(yè)務的組織流程。3)經費問題并非不可解決，畢竟頭部客戶有經濟實力，也有解決安全風險的動力。問題是，如同 “堯聽四岳，用鯀治水。九年而水不息，功用不成”。行業(yè)頭部客戶領導長期以來無法接受巨大的安全投入可能會被攻破的事實，始終沉浸在甲方萬無一失、御敵于國門之外的不可能完成的承諾中，反復圍繞漏洞與病毒的做 “天” “壤” 之別的 “堵” “堙” 文章。病毒防御是 “壤”，雖然簡單卻永遠要追病毒的變化導致病毒庫膨脹。漏洞防御是 “天”，零日漏洞無處不在，遇到便是面對降維打擊。

青銅時代：聚焦黑客行為的產品改進

好消息是，經過多年的希望與失望反復，近年來國際安全行業(yè)逐步針對 “assume breach” 形成共識，同時將努力的方向同步到基于黑客行為的檢測方向上來，專業(yè)術語是 TTP(戰(zhàn)術 Tactic、技術 Technique、過程 Procedure)TTP 來源于軍事術語【11】，逐步應用到網(wǎng)絡安全場景。1)戰(zhàn)術是攻擊行為的技術目標2)技術是為實現(xiàn)戰(zhàn)術使用的手法3)過程是針對某個技術的特定實現(xiàn)對抗黑客攻擊，焦點從感染指標(Indicator of Compromise, IOC) 轉向 TTP，由圍繞痛苦金字塔的討論展開并完成。2013 年 FireEye 的安全專家 David J. Bianco 首次提出 “痛苦金字塔”【12】 (Pyramid of Pain)。國內對痛苦金字塔有很多介紹本文不做詳細解釋，這里基于痛苦金字塔提出核心觀點：1)痛苦金字塔第一層以下構成了行業(yè)普遍采用的 IoC，他們是黑客實施攻擊的工具或成果，大概率這些工具只為此次攻擊生成，成果也只在此次攻擊出現(xiàn)。

2)真正有效的檢測是基于黑客攻擊的一系列手法，包括如何與目標系統(tǒng)的互動，這些手法有些是黑客人工試探，有些通過工具自動化完成的。一個類似的比喻是，交警通過攝像頭抓取違章是不會主要依賴車牌或者車型。

3)攻擊手法不容易改變，正如違章行為相對固定。基于 IoC 的防御是必要的基礎能力，但層次越低，效率越低。

4)基于 IoC 或類似特征碼的防御性安全設備，因為必須阻斷，常常成為黑客試探和繞過的驗證工具。同時黑客攻擊越來越傾向于以零日攻擊和社會工程學開始，以合法帳號和通用工具，甚至系統(tǒng)工具實施。這意味著，阻斷類安全產品對抗黑客攻擊是不夠的，需要有提供嗅探、監(jiān)測、關聯(lián)、分析和溯源的旁路型安全產品互補。

以上共識達成，各家安全廠商便各自開始努力，聚焦黑客行為 (TTP) 提升檢測能力。例如今年成功上市如日中天的 CrowdStrike 在 2014 年提出了 IoA 【13】(Indicator of Attack)，而我當時服務的公司也提出了 EIoC 對 IoC 做擴充，一批自用的檢測惡意行為的經驗性規(guī)則被提出以 IoA(或其他形式，例如 EIoC)方式描述，并在各自的安全產品中嘗試實現(xiàn)。時間給了我們上帝視角，回想當年在公司激烈的討論，有關 IoA 和 EIoC 的潛力對比，有關如何形成規(guī)則，有關如何驗證，如今結論都不言自明，水落石出，這些嘗試在后續(xù)幾年的實踐中都遭遇到了重大瓶頸，或者步履維艱，甚至停滯不前。

重大瓶頸產生的根本是所有的努力都缺乏一個重要的基礎：描述黑客行為 (TTP) 的語言和詞庫。這一點是高級威脅攻擊的獨特性決定的：

1)高級威脅攻擊自 2013 年起被公開披露，當年只有包括 FireEye，Trend Micro，Kaspersky 等少數(shù)安全公司能看到，隨著公眾重視，國際頭部安全公司投入，更多公司也開始加入其中報道。但始終因為事件高度敏感，導致威脅情報無法交換，眾多安全公司面對黑客組織全貌如同盲人摸象。

2)即便是在安全公司內部，因為沒有一個很好的描述語言和詞庫，即便是最好的安全人員發(fā)現(xiàn)了 APT 事件也無法一致的、直觀的將黑客手法完整的描述出來，再提供給核心技術和產品研發(fā)去做系統(tǒng)性對抗實現(xiàn)。導致最后產品仍然是基于 IoC 檢測，即便是為行為檢測而設計的 IoA 等描述也最后落入了各種威脅碼的窠臼。

3)黑客行為與正常用戶行為往往很難界定，但又有大量交集。安全產品缺乏記錄中性行為 (telemetry) 的能力，導致黑客入侵難以發(fā)現(xiàn)，這一點是開篇提到代表行業(yè)安全能力上限的安全公司集體失陷的直接原因。

白銀時代：統(tǒng)一語言，重裝上陣

好消息是，2013 年在 MITRE 主導的 Fort Meade Experiment (FMX) 研究項目中，ATT&CK™ (Adversary Tactics and Techniques & Common Knowledge) 模型首次被提出并迅速成為解決上述瓶頸的標準。MITRE 是一個非營利組織，向政府和行業(yè)提供系統(tǒng)工程、研究開發(fā)和信息技術支持。ATT&CK 由 MITRE 于 2015 年正式發(fā)布，匯聚來自全球安全社區(qū)貢獻的基于歷史實戰(zhàn)的高級威脅攻擊戰(zhàn)術、技術，形成了針對黑客行為描述的通用語言和黑客攻擊抽象的知識庫框架。

如上圖可以看到，ATT&CK 經過 5 年左右的發(fā)展，到 2018 年開始獲得爆發(fā)式關注。所有國際安全頭部廠商都迅速的開始在產品中增加針對 ATT&CK 的支持，并且持續(xù)將自己看到的黑客手法和攻擊行為貢獻 ATT&CK 知識庫。近兩年的 RSA、SANS、Blackhat、Defcon 等一線安全會議，大量廠商和研究人員基于 ATT&CK 開始交流經驗，同時將其工具和實踐分享至 Github 上。至此，黑客攻防終于有了情報交流的基礎框架和語言，類似大秦統(tǒng)一了語言、貨幣、度量衡，使得生產力和戰(zhàn)斗力有了突破性成長。ATT&CK 建立了 “知攻” 通向 “知防” 的橋梁，使得防守方有機會將攻擊知識系統(tǒng)化的吸收并轉化為針對性的對抗能力。而安全行業(yè)經由本文提到的白帽子黑客為知防而知攻，演進到已知攻而專注產品檢測黑客行為，并最終達成共識基于 ATT&CK 知識庫協(xié)同提升產品知防能力，長期落后的防守一方終于看到了對等對抗攻擊的曙光。

向黃金時代進軍：右腦知攻、左腦知防

回到文章標題，攻擊是一門藝術，需要想象力;防守是系統(tǒng)性工程，依靠理性和邏輯。如果我們把乙方安全廠商的核心能力比作安全大腦，或者把甲方用戶的安全運維中心比作安全大腦的話，“右腦知攻、左腦知防”便是應對黑客攻擊的最強大腦。一個典型的場景是：基于新發(fā)現(xiàn)的黑客攻擊，白帽子研究員提煉出新的戰(zhàn)術 (Tactics)、技術 (Technique) 和實現(xiàn)過程 (Procedure)，這等同于貢獻標簽;而安全產品基于最新的 TTP 以收集追蹤數(shù)據(jù) (Telemetry)、識別攻擊技術 (Technique) 并映射為攻擊戰(zhàn)術 (Tactics)，這等同于為客戶環(huán)境大量日常數(shù)據(jù)打標簽，這個過程可為安全大腦提供高質量的標簽化數(shù)據(jù)，使得機器學習能真正幫助檢測能力的提升，系統(tǒng)性發(fā)現(xiàn)和應對 APT 攻擊成為可能。本文 ATT&CK 隨筆系列的第一篇，接下來我將介紹對 MITRE ATT&CK 知識庫的理解和思考、安全產品能力評測的演化及最近進展，以及基于 MITRE ATT&CK 的最佳實踐，歡迎關注，敬請期待!

作者簡介

目前就職于瀚思科技擔任副總裁，在安全技術、產品、市場具備近 20 年豐富經驗，擁有 3 項美國專利。致力于引入世界一流的攻防實踐和技術創(chuàng)新將瀚思的核心技術進行國際化升級。他曾在全球最大的獨立安全軟件廠商趨勢科技領導高級威脅攻防核心技術團隊，負責零日漏洞研究、攻擊檢測沙箱、漏洞檢測和過濾引擎等多個核心技術產品研發(fā)成績斐然，曾獲得公司最具價值員工(2012年度)和領袖(2015年度)獎杯，2015 年榮獲 CEO 和 CIO 共同署名頒發(fā)的年度優(yōu)秀團隊獎杯。

參考文獻

[1] Cybersecurity Firm Imperva Discloses Breachhttps://krebsonsecurity.com/2019/08/cybersecurity-firm-imperva-discloses-breach/[2] Anti-virus vendors named in Fxmsp’s alleged source code breach respondhttps://www.scmagazine.com/home/security-news/anti-virus-vendors-named-in-fxmsps-alleged-source-code-breach-respond/[3] Google+ shutting down after data leak affecting 500,000 usershttps://arstechnica.com/tech-policy/2018/10/google-exposed-non-public-data-for-500k-users-then-kept-it-quiet/[4] Microsoft confirms some Windows 10 source code has leakedhttps://www.theverge.com/2017/6/24/15867350/microsoft-windows-10-source-code-leak

[5] The Mystery of Duqu 2.0: a sophisticated cyberespionage actor returns

https://securelist.com/the-mystery-of-duqu-2-0-a-sophisticated-cyberespionage-actor-returns/70504/

[6] Defensible Security Architecture

https://dfs.se/wp-content/uploads/2019/05/Mattias-Almeflo-Nixu-Defensible.Security.Architecture.pdf

[7] NSS LABS ANNOUNCES ANALYST COVERAGE AND NEW GROUP TEST FOR BREACH DETECTION SYSTEMS

https://www.nsslabs.com/press/2012/11/8/nss-labs-announces-analyst-coverage-and-new-group-test-for-breach-detection-systems/

[8] More Details on “Operation Aurora”

https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/more-details-on-operation-aurora/

[9] GandCrab Ransomware Shutting Down After Claiming to Earn $2 Billion

https://www.bleepingcomputer.com/news/security/gandcrab-ransomware-shutting-down-after-claiming-to-earn-2-billion/

[10] PLANS TO INFECT ‘MILLIONS’ OF COMPUTERS WITH MALWARE

https://theintercept.com/2014/03/12/nsa-plans-infect-millions-computers-malware/

[11] What’s in a name? TTPs in Info Sec

https://posts.specterops.io/whats-in-a-name-ttps-in-info-sec-14f24480ddcc

[12] The Pyramid of Pain

https://detect-respond.blogspot.com/2013/03/the-pyramid-of-pain.html

[13] IOC Security: Indicators of Attack vs. Indicators of Compromise

https://www.crowdstrike.com/blog/indicators-attack-vs-indicators-compromise/

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！