ISC2022流量威胁狩猎圆桌论坛总结

发表于 更新于 分类于 阅读次数:

流量威胁狩猎圆桌论坛

俄乌战争对网络安全攻防、特别是流量分析技术的发展有哪些影响

战前攻击形式

俄乌战争的网络攻防行为主要在战前和战中两个部分,战前主要是探明关键信息系统的威胁和缺陷,主要以网络地址、网络资源、网络拓扑以及敏感信息收集、高价值目标等重要信息收集,主要以APT攻击为主。

战时攻击形式

在战争开始后,开始对重要目标进行DDoS攻击,乌克兰的关键IP掉线率超过50%。在战争中出现了一个新的DDoS攻击类型--众筹式DDoS攻击,就是攻击者在网上公开攻击目标,通过煽动的方式是大量黑客自发的对目标进行DDoS攻击,甚至发动人民群众自发的去访问这些网站,同时将漏洞利用等攻击流量隐藏在DDoS攻击的海量流量中进行检测绕过。最终利用漏洞进行数据窃取和擦除,同时采用页面篡改、社工、关闭社交账号等手段进行舆论和舆情的攻击,利用漏洞、鱼叉、钓鱼的方法就需要一个前置条件--对目标的完全控制,在对目标进行完全控制的过程中,可以对流量进行监测和阻断。

防御方式

平时可以采用类似黑名单的宽松机制,战时可以采用类似白名单的严格机制。同时在2021年后,在重保行动和护网行动后裔,安全发展从网络安全提升到到网络对抗能力的层面,以应对网络战这种极限的情况,并对网络战进行思考。

针对这种情况,可以采用多种检测手段相结合的方法对不同协议层的流量进行检测,高速流量下,尤其是在战时流量攀升到TB以上级别时,基于签名的方法仍是主流,同时需要从威胁情报、机器学习,数据分析等方法进行研判。

针对DDoS攻击以及web攻击的监测和阻挡能力需要加强,可以通过运营商或者自身购买的设备进行流量清洗,目前防护方法比较少,防护效果比较有限。

如何构建合理的安全运营体系,基于网络流量的威胁分析如何能够实现平战两用

针对战时高级防护以及平时相当防护的两种场景,构建合理的安全运营体系,需要包括资产管理、防护检测、证据留存、响应处置、评估加固等能力,并且形成闭环。同时需要配备相应的运维团队 、软硬设置、数据治理等资源,并且从基础层面、效果层面、价值层面进行安全运营的评价体系。

同时指定标准操作流程(SOP)、能力工具的平台化、 运维流程的自动化,以及人机结合四个方面,同时进行数据标准化处理进行全链条甚至全数据的资源监控,将数据统一到安全运维平台,避免数据孤岛和数据链路的断层,将网络数据、主机数据、用户数据进行结合,是安全运营覆盖全生命周期。并结合成本、需求以及关心的领域 找到针对不同客户的运营方案。

检测方法主要包括加密流量分析和异常网络行为挖掘和告警结果研判,包括基线刻画,描绘攻击画像以及指纹信息收集。

针对平战两用,需要明确二者区别,例如平时主要关注攻击成功的情形,战时可能还需要关注扫描行为和攻击尝试等攻击失败的情形,以及两个场景下的功能需求的兼容。

对战时和平时两种不同场景下的安全能力建设,十年磨一剑,平时能力建设,战时能力应用。平时可以采用类似黑名单的宽松机制,战时可以采用类似白名单的严格机制。360拥有300亿的样本以及50亿的恶意样本。基于样本分析,近三年公布了40多个境外的APT组织,数据是安全运营基础。

同时安全告警存在误报,因此要进行二次分析,同时通过流量元数据进行整体分析已掌握网络态势。同时需要健全海量数据存储和快速查询的算法和机制。

海量告警如何提高准确度,告警如何能做到可以让一般人快速研判

海量告警产生的原因是检测规则的粗粒度和业务无关告警,因此需要提高规则的准确性。

通过恶意样本分析产生威胁情报,结合威胁情报检测APT弥补告警误报,同时采用SOAR的方法,采用正则和关联分析的方法实现告警之间的关联,提高告警准确度。同时输出告警对应的异常载荷数据,根据载荷payload来判断告警是否准确。

同时一次攻击行动会包含多个攻击动作,并不是孤立的,因此可以通过构建攻击场景对告警信息进行筛选,并对攻击动作进行时空关联分析。通过这种多阶段的方法,探索结合ATT&CK以及机器学习等智能算法进行综合分析,还可以结合Kill Chain对告警进行攻击阶段的划分,通过针对性的分析降低数据量,比如说可以主要针对已失陷设备。

方便一般人进行快速研判,需要构建具有研判能力的SOC系统,这种系统构建存在难度,需要不断完善。

加密流量对流量分析有哪些挑战和先进技术成果

基于数据隐私的需求,攻击流量大部分已经转向加密流量,这是一个网络发展不可逆的趋势,chrome浏览器上97%的流量都是加密的,Zscaler的报告表明流量加密工具2021年比2020年增长了三倍,使用TLS加密的方式占比40%。同时加密算法以及加密方式也在不断变化,这使得过去的检测方法可能难以适应新出现的加密方式,使得攻击产生的流量更具有隐蔽性。商业场景下的加密流量可以根据证书进行解密后检测,但是办公场景下的加密流量难以进行解密检测。

技术成果:

针对加密流量的检测先驱是思科,通过流量统计数据结合智能算法进行检测。自定义根证书,对流量进行解密后检测,同时结合威胁情报的方法。

  1. 基于签名的检测:TLS v1.3 后效果不好
  2. 基于指纹的检测:应用识别方面效果不错,例如JA3
  3. 基于 ML 的检测方法:目前有 LR, RF 等模型应用,采用CNN和RNN深度模型的方法,对数据要求高,不可解释
  4. 基线等其他维度进行辅助验证,同时需要云网边端的安全协同检测,尤其是终端解密后的数据进行检测方法。
  5. 知识图谱进行网络分析

难点与应对方法:

加密流量下特征信息不足,可用特征和有效特征较少。

检测模型的概念漂移,存在检测模型能力过时的问题。

加密数据的解密与标准,存在侵犯数据泄露的风险。对数据要求高,需要完整的会话信息。

流量吞吐大,性能难以保证。行为特征需要一段时间内流量数据进行存储,因此计算资源消耗较大,可以结合白名单的机制进行缓解。

攻击行为的不同阶段产生的加密攻击流量存在区别,因此需要一个复合型的模型。

加密流量检测可解释性和可验证性比较差,需要基线等其他维度进行辅助验证,同时需要云网边端的安全协同验证。

误报较高,不可解释,由于对业务稳定性和高可用性的影响导致应用场景受限,不可用于安全运营,是能用于态势感知展示。