作為攻擊溯源的領先企業,中睿天下已在無數個場合被問到這兩個問題:
“攻擊溯源,是抓駭客麼?”
“作為企業,攻擊溯源對我有什麼價值?”
近日,藉助一次甲乙方共聚一堂進行思想碰撞的機會,中睿天下副總經理謝輝藉助實際案例講述了攻擊溯源的意義,並詳細闡述了攻擊溯源解決方案在各種場景化的應用情況。
中睿天下副總經理謝輝
攻擊溯源的主要價值不是抓駭客。
早在2017年,國外專家就探討過“溯源有什麼價值”。鑑於溯源過於困難,有些人持反對意見,指出“可致分析師因認知偏差而做出誤導性假設”。不過,更多支援的聲音提到,“為進行強有力的防禦,安全團隊需要學習更多攻擊策略將攻擊知識轉換成防禦優勢,
需要知道對手是誰
”。FireEye的約翰·米勒稱:“溯源可使安全團隊瞭解攻擊者的意圖,也就能
採取合適的對策
。”而從漏洞修復的角度看“知道是誰在攻擊,
確定漏洞修復的優先順序
會更容易”。溯源為攻擊者分類,確定誰在攻擊,攻擊者能力有多大,有什麼資源,這樣“對
下一步應採取什麼行動
有了底,同時有助於決定要不要牽涉進司法部門”。
眾說紛紜,總結下來就是:
溯源的主要價值不在於追捕攻擊者。如果期待抓駭客,可能發現花在溯源上的時間毫無收穫。
溯源更大的價值在於:
瞭解對手,不侷限於已知漏洞,
發現未知的新型網路攻擊行為
;
瞭解攻擊者的意圖、實力等,
針對性採取合適的對策
;
確定海量事件的優先順序,知道
下一步該做什麼
;
指導從預防到響應的整個過程
,更好地進行防禦。
睿眼介面:攻擊溯源時間軸
綜上,我們可以得出結論攻擊溯源≠抓駭客。相比溯源攻擊者身份並起訴,攻擊溯源更重要的價值在於透過溯源和還原攻擊過程,更多地瞭解對手,指導從監測到響應的整個防禦體系建設,提高安全防護的效率、效益和效果,實現精準防護。
這也與等保2。0《GBT22239-2019資訊保安技術網路安全等級保護基本要求》中的要求有著異曲同工之妙:
應採取技術措施對網路行為進行分析,實現對網路攻擊特別是
新型網路攻擊行為
的分析。
當檢測到攻擊行為時,
記錄攻擊源IP、攻擊型別、攻擊目標、攻擊時間
,在發生嚴重入侵事件時應提供報警。
立足現有的大量事件採集、資料探勘、智慧事件關聯和基於業務的運維監控技術,解決海量資料處理瓶頸,透過對審計資料快速提取,滿足資訊處理中對檢索速度和準確性的需求; 同時,還應建立事件分析模型,發現高階安全威脅,並
追查威脅路徑和定位威脅源頭
,實現對攻擊行為的有效防範和追查。
大資料平臺應跟蹤和記錄資料採集、處理、分析和挖掘等過程,
保證溯源資料能重現相應過程
,溯源資料滿足合規審計要求。
睿雲•態勢感知平臺溯源介面
伴隨“大雲物移”等新技術發展,中睿天下圍繞物聯網、工業網際網路、智慧城市、智慧醫療、智慧能源等縱深行業,提供基於“攻擊溯源”的網路安全監測及態勢感知綜合解決方案。
當前,中睿天下已成功探索出“攻擊溯源”在央企網路安全體系中六大場景應用,包括:
識別0DAY等未知威脅。基於攻擊者視角,將攻擊知識轉為防禦優勢,研發基於攻擊傷害的威脅發現模型,覆蓋上千種攻擊手法,有效識別已知/未知威脅。2017年3月struts2漏洞大面積爆發時,睿眼成功檢測並告警struts2漏洞利用的未知攻擊成功事件。
攻擊溯源。智慧對攻擊狀態進行成功研判,分辨並聚焦真正重要的攻擊事件,解決海量告警處理的問題。同時對威脅進行溯源分析,詳細還原整個攻擊過程。
應對勒索病毒。Wannacry爆發期間,事前預防階段利用資產督查快速發現網路中開放危險埠的主機,事中監測階段發現內網發起的SMB漏洞攻擊,事後處置階段利用 DNS審計監測wanacry的開關域名,快速定位中招主機。
主機溯源處置。當發現主機異常進行應急事件處置時,採用睿眼·終端,可快速識別windows和Linux主機中存在的木馬、後門、駭客入侵痕跡等,並溯源分析還原駭客事件,讓普通安全人員具備專家水平。
重大活動保障。各種重大活動安全保障期間,配合「睿眼」等強大的威脅檢測能力及大資料分析溯源能力,中睿天下提供可管理的威脅檢測與響應服務(MDR服務),包括威脅監測、威脅預警、應急響應、取證溯源等。
態勢感知平臺。引入“開關量”概念,建立起貼近一線生產的安全排程中心,透過一塊視覺化大屏實現“內外網安全監控”和“安全裝置執行狀態監控”等,實現整體的統一排程、指揮、聯動等。目前,睿雲·態勢感知平臺已在國家電網成功落地應用。
參考文獻:
《攻擊溯源的價值到底在哪裡》
《GBT22239-2019資訊保安技術網路安全等級保護基本要求》