域名預(yù)訂/競價，好“米”不錯過

作者：余凱@瀚思科技副總裁

2019 年相當不太平，除了全球貿(mào)易戰(zhàn)，安全行業(yè)也暗潮涌動。上月底，Gartner WEB 應(yīng)用防火墻 (WAF) 魔力象限領(lǐng)導(dǎo)者 之一某企業(yè)a 承認遭到黑客入侵【1】，該企業(yè) 一直宣稱其核心能力和使命是保護客戶的應(yīng)用和數(shù)據(jù)安全，入侵事件的發(fā)生貌似尷尬。然而今年 5 月，國外主流媒體報道【2】全球排名前三安全廠商悉數(shù)被黑客組織 Fxmsp 攻破，源代碼遭到泄漏。時間線向前回溯，谷歌 2018 年因為數(shù)據(jù)泄漏終止 Google+ 服務(wù)【3】，微軟于 2017 年承認 Windows 10 源代碼泄漏【4】，卡巴斯基 2015 年主動披露內(nèi)部網(wǎng)絡(luò)被以色列黑客攻陷【5】。新聞追蹤至此，大家可以停止笑話 該企業(yè) 了，問題遠比想象嚴重，而且沒有人可以袖手旁觀。

基于上述入侵事實，如果某家廠商宣稱其產(chǎn)品技術(shù)能讓客戶安心無憂抵御黑客攻擊，果斷可列為笑談;即便是多做一些努力澄清，宣稱持續(xù)提升員工安全意識和流程，也僅僅是在基線路徑上多走了一步，然而遠遠不夠。上述事件背后的公司代表行業(yè)安全能力的上限，更多的公司面對黑客攻擊，大概率是落到四個象限：被黑了自己不知道、被黑了公眾不知道、即將被黑、不值得被黑。國外同行一般會說 “assume breach”【6】【7】(假定失陷)，上月 ISC 大會上 360 集團 CEO 周鴻祎的措辭是 “沒有攻不破的網(wǎng)絡(luò)”，甚至 “敵已在我”。這個觀念很多人會感到意外，但這是事實，我們需要更加坦誠的面對問題并做深層次的反思。

黑鐵時代：人與人間的攻防對抗

我記憶里開始持續(xù)關(guān)注高級威脅對抗始于 2010 年 Google 披露極光行動【8】，印象深刻是因為當日證實我們研發(fā)的漏洞分析引擎 (SAL，Script Analyzer Lineup) 可以完全不做修改和升級檢測到利用零日漏洞 (CVE-2010-0249) 的攻擊代碼，團隊歡呼雀躍場景歷歷在目。不曾想到，這只是起點，整個行業(yè)更加波瀾壯闊的攻防對抗序幕拉開了。以 “波瀾壯闊” 形容并非代表正義的一方以壓倒性的優(yōu)勢碾壓對手大快人心。事實恰恰相反，那是 “黑鐵時代”，攻擊一方漸入佳境，而當時絕大多數(shù)的安全廠商長期專注病毒，對以漏洞開始的黑客入侵沒有特別多的辦法抵御，甚至并不甚了解基于腳本和文檔等攻擊的手法。同時，華語安全圈開始流行一句話 “未知攻、焉知防”。“未知攻、焉知防” 講的是顛撲不破的道理，可喜的是，近年來大量的安全演講和文章仍然反復(fù)被提到，道理深入人心。以此為起點，我們試想一下，若已知攻會怎樣?讓我們先從美國一家著名的安全公司火眼 (FireEye) 說起。火眼公司 2004 年成立，早期獲得美國中央情報局投資，最初的安全基因來自老牌安全廠商 McAfee，2013 年起通過收購 Mandiant 大舉進入高級威脅攻防 APT 市場并成功在美國納斯達克上市?；鹧酃玖闳昭芯繄F隊和 Mandiant 安全服務(wù)團隊擁有一群非常優(yōu)秀的白帽子黑客，在 2013 年和 2014 年，全球絕大多數(shù)的基于零日漏洞的 APT 攻擊都是由這兩個團隊合作發(fā)現(xiàn)，而這也推動火眼基于沙箱的全線產(chǎn)品迅速被市場接受。我當時在服務(wù)的公司領(lǐng)導(dǎo)高級威脅核心技術(shù)團隊，恰好負責與 FireEye 對標產(chǎn)品的技術(shù)研發(fā)，通過多次一線實戰(zhàn) PK，發(fā)現(xiàn)火眼的產(chǎn)品距離市場宣傳的能力相距甚遠，甚至很多火眼自己發(fā)現(xiàn)的零日漏洞利用以及 APT 攻擊稍作變換就無法檢測，換言之發(fā)現(xiàn)高級威脅攻擊主要靠人，而人的局限決定了百密一疏成為必然，同時安全能力無法復(fù)制?；鹧凼悄莻€時代高級威脅攻防領(lǐng)域超一流的公司，在檢測黑客攻擊上，其他安全廠商并沒有質(zhì)的突破。這段經(jīng)歷讓我相信，即便知攻，距離知防仍有巨大的鴻溝，亟需有突破性的變革與創(chuàng)新。其實回看安全行業(yè)這么多年，基本沒有擺脫這個格局，有很多原因：1)黑產(chǎn)暴利，國家級攻擊不惜成本。有興趣可以看 GandCrab 勒索病毒團隊的感人故事【9】，以及了解NSA如何開發(fā)核武級攻擊代碼【10】。2)白帽子黑客研究攻擊有巨大的聲譽和獎勵，如同優(yōu)秀的藝術(shù)家天馬行空。但甲方的安全產(chǎn)品運維和乙方的安全產(chǎn)品研發(fā)都需要全面、系統(tǒng)和長期的付出，同時對組織而言不創(chuàng)造利潤而是成本中心，常常受制于安全預(yù)算捉襟見肘以及面向業(yè)務(wù)的組織流程。3)經(jīng)費問題并非不可解決，畢竟頭部客戶有經(jīng)濟實力，也有解決安全風險的動力。問題是，如同 “堯聽四岳，用鯀治水。九年而水不息，功用不成”。行業(yè)頭部客戶領(lǐng)導(dǎo)長期以來無法接受巨大的安全投入可能會被攻破的事實，始終沉浸在甲方萬無一失、御敵于國門之外的不可能完成的承諾中，反復(fù)圍繞漏洞與病毒的做 “天” “壤” 之別的 “堵” “堙” 文章。病毒防御是 “壤”，雖然簡單卻永遠要追病毒的變化導(dǎo)致病毒庫膨脹。漏洞防御是 “天”，零日漏洞無處不在，遇到便是面對降維打擊。

青銅時代：聚焦黑客行為的產(chǎn)品改進

好消息是，經(jīng)過多年的希望與失望反復(fù)，近年來國際安全行業(yè)逐步針對 “assume breach” 形成共識，同時將努力的方向同步到基于黑客行為的檢測方向上來，專業(yè)術(shù)語是 TTP(戰(zhàn)術(shù) Tactic、技術(shù) Technique、過程 Procedure)TTP 來源于軍事術(shù)語【11】，逐步應(yīng)用到網(wǎng)絡(luò)安全場景。1)戰(zhàn)術(shù)是攻擊行為的技術(shù)目標2)技術(shù)是為實現(xiàn)戰(zhàn)術(shù)使用的手法3)過程是針對某個技術(shù)的特定實現(xiàn)對抗黑客攻擊，焦點從感染指標(Indicator of Compromise, IOC) 轉(zhuǎn)向 TTP，由圍繞痛苦金字塔的討論展開并完成。2013 年 FireEye 的安全專家 David J. Bianco 首次提出 “痛苦金字塔”【12】 (Pyramid of Pain)。國內(nèi)對痛苦金字塔有很多介紹本文不做詳細解釋，這里基于痛苦金字塔提出核心觀點：1)痛苦金字塔第一層以下構(gòu)成了行業(yè)普遍采用的 IoC，他們是黑客實施攻擊的工具或成果，大概率這些工具只為此次攻擊生成，成果也只在此次攻擊出現(xiàn)。

2)真正有效的檢測是基于黑客攻擊的一系列手法，包括如何與目標系統(tǒng)的互動，這些手法有些是黑客人工試探，有些通過工具自動化完成的。一個類似的比喻是，交警通過攝像頭抓取違章是不會主要依賴車牌或者車型。

3)攻擊手法不容易改變，正如違章行為相對固定?；?IoC 的防御是必要的基礎(chǔ)能力，但層次越低，效率越低。

4)基于 IoC 或類似特征碼的防御性安全設(shè)備，因為必須阻斷，常常成為黑客試探和繞過的驗證工具。同時黑客攻擊越來越傾向于以零日攻擊和社會工程學(xué)開始，以合法帳號和通用工具，甚至系統(tǒng)工具實施。這意味著，阻斷類安全產(chǎn)品對抗黑客攻擊是不夠的，需要有提供嗅探、監(jiān)測、關(guān)聯(lián)、分析和溯源的旁路型安全產(chǎn)品互補。

以上共識達成，各家安全廠商便各自開始努力，聚焦黑客行為 (TTP) 提升檢測能力。例如今年成功上市如日中天的 CrowdStrike 在 2014 年提出了 IoA 【13】(Indicator of Attack)，而我當時服務(wù)的公司也提出了 EIoC 對 IoC 做擴充，一批自用的檢測惡意行為的經(jīng)驗性規(guī)則被提出以 IoA(或其他形式，例如 EIoC)方式描述，并在各自的安全產(chǎn)品中嘗試實現(xiàn)。時間給了我們上帝視角，回想當年在公司激烈的討論，有關(guān) IoA 和 EIoC 的潛力對比，有關(guān)如何形成規(guī)則，有關(guān)如何驗證，如今結(jié)論都不言自明，水落石出，這些嘗試在后續(xù)幾年的實踐中都遭遇到了重大瓶頸，或者步履維艱，甚至停滯不前。

重大瓶頸產(chǎn)生的根本是所有的努力都缺乏一個重要的基礎(chǔ)：描述黑客行為 (TTP) 的語言和詞庫。這一點是高級威脅攻擊的獨特性決定的：

1)高級威脅攻擊自 2013 年起被公開披露，當年只有包括 FireEye，Trend Micro，Kaspersky 等少數(shù)安全公司能看到，隨著公眾重視，國際頭部安全公司投入，更多公司也開始加入其中報道。但始終因為事件高度敏感，導(dǎo)致威脅情報無法交換，眾多安全公司面對黑客組織全貌如同盲人摸象。

2)即便是在安全公司內(nèi)部，因為沒有一個很好的描述語言和詞庫，即便是最好的安全人員發(fā)現(xiàn)了 APT 事件也無法一致的、直觀的將黑客手法完整的描述出來，再提供給核心技術(shù)和產(chǎn)品研發(fā)去做系統(tǒng)性對抗實現(xiàn)。導(dǎo)致最后產(chǎn)品仍然是基于 IoC 檢測，即便是為行為檢測而設(shè)計的 IoA 等描述也最后落入了各種威脅碼的窠臼。

3)黑客行為與正常用戶行為往往很難界定，但又有大量交集。安全產(chǎn)品缺乏記錄中性行為 (telemetry) 的能力，導(dǎo)致黑客入侵難以發(fā)現(xiàn)，這一點是開篇提到代表行業(yè)安全能力上限的安全公司集體失陷的直接原因。

白銀時代：統(tǒng)一語言，重裝上陣

好消息是，2013 年在 MITRE 主導(dǎo)的 Fort Meade Experiment (FMX) 研究項目中，ATT&CK™ (Adversary Tactics and Techniques & Common Knowledge) 模型首次被提出并迅速成為解決上述瓶頸的標準。MITRE 是一個非營利組織，向政府和行業(yè)提供系統(tǒng)工程、研究開發(fā)和信息技術(shù)支持。ATT&CK 由 MITRE 于 2015 年正式發(fā)布，匯聚來自全球安全社區(qū)貢獻的基于歷史實戰(zhàn)的高級威脅攻擊戰(zhàn)術(shù)、技術(shù)，形成了針對黑客行為描述的通用語言和黑客攻擊抽象的知識庫框架。

如上圖可以看到，ATT&CK 經(jīng)過 5 年左右的發(fā)展，到 2018 年開始獲得爆發(fā)式關(guān)注。所有國際安全頭部廠商都迅速的開始在產(chǎn)品中增加針對 ATT&CK 的支持，并且持續(xù)將自己看到的黑客手法和攻擊行為貢獻 ATT&CK 知識庫。近兩年的 RSA、SANS、Blackhat、Defcon 等一線安全會議，大量廠商和研究人員基于 ATT&CK 開始交流經(jīng)驗，同時將其工具和實踐分享至 Github 上。至此，黑客攻防終于有了情報交流的基礎(chǔ)框架和語言，類似大秦統(tǒng)一了語言、貨幣、度量衡，使得生產(chǎn)力和戰(zhàn)斗力有了突破性成長。ATT&CK 建立了 “知攻” 通向 “知防” 的橋梁，使得防守方有機會將攻擊知識系統(tǒng)化的吸收并轉(zhuǎn)化為針對性的對抗能力。而安全行業(yè)經(jīng)由本文提到的白帽子黑客為知防而知攻，演進到已知攻而專注產(chǎn)品檢測黑客行為，并最終達成共識基于 ATT&CK 知識庫協(xié)同提升產(chǎn)品知防能力，長期落后的防守一方終于看到了對等對抗攻擊的曙光。

向黃金時代進軍：右腦知攻、左腦知防

回到文章標題，攻擊是一門藝術(shù)，需要想象力;防守是系統(tǒng)性工程，依靠理性和邏輯。如果我們把乙方安全廠商的核心能力比作安全大腦，或者把甲方用戶的安全運維中心比作安全大腦的話，“右腦知攻、左腦知防”便是應(yīng)對黑客攻擊的最強大腦。一個典型的場景是：基于新發(fā)現(xiàn)的黑客攻擊，白帽子研究員提煉出新的戰(zhàn)術(shù) (Tactics)、技術(shù) (Technique) 和實現(xiàn)過程 (Procedure)，這等同于貢獻標簽;而安全產(chǎn)品基于最新的 TTP 以收集追蹤數(shù)據(jù) (Telemetry)、識別攻擊技術(shù) (Technique) 并映射為攻擊戰(zhàn)術(shù) (Tactics)，這等同于為客戶環(huán)境大量日常數(shù)據(jù)打標簽，這個過程可為安全大腦提供高質(zhì)量的標簽化數(shù)據(jù)，使得機器學(xué)習(xí)能真正幫助檢測能力的提升，系統(tǒng)性發(fā)現(xiàn)和應(yīng)對 APT 攻擊成為可能。本文 ATT&CK 隨筆系列的第一篇，接下來我將介紹對 MITRE ATT&CK 知識庫的理解和思考、安全產(chǎn)品能力評測的演化及最近進展，以及基于 MITRE ATT&CK 的最佳實踐，歡迎關(guān)注，敬請期待!

作者簡介

目前就職于瀚思科技擔任副總裁，在安全技術(shù)、產(chǎn)品、市場具備近 20 年豐富經(jīng)驗，擁有 3 項美國專利。致力于引入世界一流的攻防實踐和技術(shù)創(chuàng)新將瀚思的核心技術(shù)進行國際化升級。他曾在全球最大的獨立安全軟件廠商趨勢科技領(lǐng)導(dǎo)高級威脅攻防核心技術(shù)團隊，負責零日漏洞研究、攻擊檢測沙箱、漏洞檢測和過濾引擎等多個核心技術(shù)產(chǎn)品研發(fā)成績斐然，曾獲得公司最具價值員工(2012年度)和領(lǐng)袖(2015年度)獎杯，2015 年榮獲 CEO 和 CIO 共同署名頒發(fā)的年度優(yōu)秀團隊獎杯。

參考文獻

[1] Cybersecurity Firm Imperva Discloses Breachhttps://krebsonsecurity.com/2019/08/cybersecurity-firm-imperva-discloses-breach/[2] Anti-virus vendors named in Fxmsp’s alleged source code breach respondhttps://www.scmagazine.com/home/security-news/anti-virus-vendors-named-in-fxmsps-alleged-source-code-breach-respond/[3] Google+ shutting down after data leak affecting 500,000 usershttps://arstechnica.com/tech-policy/2018/10/google-exposed-non-public-data-for-500k-users-then-kept-it-quiet/[4] Microsoft confirms some Windows 10 source code has leakedhttps://www.theverge.com/2017/6/24/15867350/microsoft-windows-10-source-code-leak

[5] The Mystery of Duqu 2.0: a sophisticated cyberespionage actor returns

https://securelist.com/the-mystery-of-duqu-2-0-a-sophisticated-cyberespionage-actor-returns/70504/

[6] Defensible Security Architecture

https://dfs.se/wp-content/uploads/2019/05/Mattias-Almeflo-Nixu-Defensible.Security.Architecture.pdf

[7] NSS LABS ANNOUNCES ANALYST COVERAGE AND NEW GROUP TEST FOR BREACH DETECTION SYSTEMS

https://www.nsslabs.com/press/2012/11/8/nss-labs-announces-analyst-coverage-and-new-group-test-for-breach-detection-systems/

[8] More Details on “Operation Aurora”

https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/more-details-on-operation-aurora/

[9] GandCrab Ransomware Shutting Down After Claiming to Earn $2 Billion

https://www.bleepingcomputer.com/news/security/gandcrab-ransomware-shutting-down-after-claiming-to-earn-2-billion/

[10] PLANS TO INFECT ‘MILLIONS’ OF COMPUTERS WITH MALWARE

https://theintercept.com/2014/03/12/nsa-plans-infect-millions-computers-malware/

[11] What’s in a name? TTPs in Info Sec

https://posts.specterops.io/whats-in-a-name-ttps-in-info-sec-14f24480ddcc

[12] The Pyramid of Pain

https://detect-respond.blogspot.com/2013/03/the-pyramid-of-pain.html

[13] IOC Security: Indicators of Attack vs. Indicators of Compromise

https://www.crowdstrike.com/blog/indicators-attack-vs-indicators-compromise/

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！