安全场景(3)高级威胁发现
安全场景 - 高级威胁发现
CSKB: A Cyber Security Knowledge Base Based on Knowledge Graph
一、背景
APT 一般具有三个特性,即高级性、持续性和危害性。在 APT 的攻击模型方面,包括了杀伤链模型、钻石模型、TTP模型和ATT&CK模型等。
1.1 威胁模型
(a) 杀伤链模型
杀伤链模型,最初起源于军事中的 C5KISR 系统中的 K(kill),后由洛克希德-马丁公司(全球最大的国防工程承包商,根据 Cybersecurity 500 名单,洛克希德-马丁公司在全球上市网络安全企业中位列前十)提出网络安全杀伤链七步模型,用来识别和防护网络入侵行为。网络安全杀伤链七步模型包括侦测、武器化、投递、漏洞利用、安装、控制和目标行动等。
(b) 钻石模型
钻石模型是由 Sergio Caltagirone、Andrew Pendergast、Christopher Betz 在 2013 年论文 The Diamond Model of Intrusion Analysis 中提出的一个针对网络入侵攻击的分析框架模型。该模型由四个核心特征组成,分别为:对手(adversary)、能力(capability)、基础设施(infrastructure)和受害者(victim)。四个核心特征间用连线表示相互间的基本关系,并按 照菱形排列,从而形成类似“钻石”形状的结构,因此得名为“钻石模型”。同时,模型还定义了社会-政治关系(对手和受害者之间的)和技术能力(用于确保能力和基础设施可操 作性的)两个重要的扩展元特征。该模型也认为,无论何种入侵活动,其基本的元素都是一个一个的事件,而每个事件都可以由上述四个基本核心特征组成。
(c) TTP模型
TTP,该术语来自于三个英文词汇的首字母组合,即战术 Tactics、技术 Techniques 和过程 Procedures,是描述高级威胁组织网络攻击的重要指标,出自于《美国国防部军事及相关术语词典》,最早用于军事领域和反恐活动,后延伸到信息安全领域,并被用来描述相应 的过程。TTP 在网络情报中是核心信息,它与指标、事件、活动、攻击者、攻击目标有着密切的关联关系。
(d) ATT&CK模型
ATT&CK 也就是 Adversarial Tactics, Techniques, and Common Knowledge。顾名思义,这并不是一项技术,而是“对抗战术、技术和常识”框架,是更加底层“知识库”的基础框架,是由攻击者在攻击企业时会利用的 12 种战术和 244 种企业技术组成的精选知识库。它的着眼点不是单个的 IOC,而是 IOC 处于攻击过程中的上下文,也就是从点扩展到了面扩展到了链。当 ATT&CK 把那些翻阅字典一样,轻易地找到相对应的常见战术动作,甚至做到杀伤链还原,更好地应对攻击。
APT 最经典的防护模型之一则是滑动标尺模型,它来源于美国系统网络安全协会(SANS),主要应对日益复杂的网络环境和不断变化的攻击手段。
滑动标尺模型分为五大类别,这五大类别之间具有连续关系,并有效展示了防御逐步提升的理念。这五大类别不是固定不变的,且重要程度不是均等的, 每个类别的某些措施与相邻类别密切相关,实现网络安全目标,组织应构建安全根基和文化,并不断完善,滑动标尺模型还能潜在促进组织的安全成熟进程。