4.3.4.1 定义内涵
威胁情报归因(Threat Intelligence Attribution)的含义是基于威胁情报中的关键要素,例如技战术 模式、攻击基础设施
、恶意软件基因、攻击意图与目标等,突破攻击行为伪装,识别、定位特定的攻击 者、攻击组织等威胁主体,为事件的取证、溯源、归因供基础,为防御反制措施的实施供高置信度 证据支持。
4.3.4.2 技术背景
APT等外部高级威胁行为,具有高破坏性
、对抗性和隐匿性。对攻击个人与组织的追踪与定位,是 攻击行为、攻击活动分析的关键环节。在网络安全运营工作流中,外部威胁源的定位与跟踪,将直接关 系到企业和组织整体风险策略的制定,例如威胁情报订阅、防御策略生成机制、策略执行置信度、事件 报告结构完整性等多方面,是运营能力的重要组成。因此,基于威胁情报的归因溯源技术已成为网络安 全运营技术的必行方向之一。
4.3.4.3 思路方案
基于威胁情报实现攻击行为、事件归因的关键,在于情报的深度关联与置信度评估。在情报深度关 联方面,最重要的驱动力还是情报的标准化与规范化。这一点上 STIX 2.0情报标准、ATT&CK 技战术矩 阵、CAPEC 攻击和脆弱性枚举库等开源数据库、标准的完善,推进了整个网络空间
威胁情报体系水平 交互的完备化。此外,情报与本地化分析检测数据的联动,是情报细粒度语义富化等垂直交互的重要组成。 经典的数据驱动情报关联方法包括基于草图取( Graph Sketches)的情报聚类方法、基于子图模式搜 索的情报行为匹配、基于基因 / 血缘分析的恶意样本关联、基于知识图谱的语义推理关联等。情报关联 之外,威胁归因的关键在于提升情报数据的置信度。置信度的评价一般通过基于区块链的情报信誉机制、 基于证据关联命中评级方法、基于情报数据共享多方计算融合等方式实现。整体来看,威胁情报归因的 可用性首先是机制保障驱动的,并通过数据智能支持证据强化。如图 25 所示,研究者出了增强网络 攻击归因框架 [30],该框架融合了多层次主动、被动的攻击检测与对抗技术,并构建人机协同的分析闭环, 以有效定位攻击事件所关联的攻击组织。
4.3.4.4 关键挑战
基于威胁情报的攻击组织归因,最本质的挑战包含两个方面,一个是数据层次的融合问题;另一个 是由攻防的高度对抗性导致的可信度问题。具体表现在:
攻击者的高度对抗性
攻击的组织化、产业化,在恶意软件定制化、攻击代理池化、网络连接黑箱化、身份窃取混淆等多 个维度,为攻击者身份的识别和定位带来巨大挑战,目前尚未有单一自动化
技术方案,能够产生证据链 丰富完整的归因溯源成果。因此融合蜜罐、黑产情报、企业内部线索等多方面数据并在关键实体与关系 上进行对齐融合是归因分析的基础。
负责的归因结论
归因结论的置信度直接关系到策略执行、防御反制、损失定责等多方面的技术联动。尤其是针对 组织级、国家级关键信息基础设施的攻击归因,需要精确定位、证据确凿,以有效支撑高层次决策。 归因结论的鲁棒性
依赖负责任的数据智能,目前仍然存在策略偏见、透明度低、因果性差等多方面的 技术挑战。
4.3.5.1 定义内涵
告警分诊(Alert Triage)与误报缓解的含义是基于告警统计、时序、语义、关联等维度上下文,对 告警进行自动化分类,并评估其威胁等级,向运营者供基于风险的告警排序列表,降低误报对事件调 查的干扰。
4.3.5.2 技术背景
随着防御方检测能力深度和广度的增加,安全运营中心被动接入的告警规模如今已膨胀百倍千倍不 止。安全运营团队逐渐被持续的、同质化、低信息量、欠语义化的告警所击溃,狩猎真实威胁犹如大海 捞针。通过自动化的告警分类分级技术,能够极大程度上缓解对攻防专家经验的依赖,升安全运营中 心的投入产出比。
4.3.5.3 思路方案
告警分诊的关键在于充分取、过滤、组装、推断告警关联的事件上下文,并以可量化、可理解的 方式向运营人员提供风险排序值。从上下文自动化构建的角度,可划分为以下多个维度:
统计上下文,主要是指告警及其关联实体、行为的统计频率、共现频率建模。一个统计建模的
经典假设是:从异常检测和大数定理的角度看,高频次告警所蕴含的威胁信息较少。
语义上下文,指告警间的触发时序和组合模式,指示了指定的事件规律或用户行为模式,通过
主题分析、词嵌入等基于语言模型的建模方法,能够挖掘潜在的语义关联,升告警的关联分 析语义内涵。
信息上下文,指相关网络实体的信息流传递过程。通过系统级的数据、实体及行为标注,结合
先验规则和基于图的标签传播算法,以估计、推断敏感数据的关键传播路径。
意图上下文,指告警涉及技术的高层战术意图抽象。通过 Kill Chain、ATT&CK等威胁建模方式,
可以把告警直接对应到指定的战术阶段当中。更动态的,可通过抽象的行为模板或统计方法, 自动抽取实时数据的抽象意图。
上下文的取不限于以上方式,关键是从风险驱动的各个维度,包括资产、脆弱性、威胁等,取 告警关联的“故事细节”。细节的丰富程度,决定了告警分诊的置信度参数。如图 26 所示,通过对系 统级溯源数据(Provenance)的细粒度图谱构建,结合进程、文件、网络等实体的频率共现关系,能 够识别出关联系统行为最异常的告警,有效降低误报告警的影响 [31]。
4.3.5.4 关键挑战
告警分诊和误报识别,是一项综合的风险评估技术。在有限的资源投入下,根据企业环境的风险偏好, 有效的进行威胁线索排序,能够支撑安全运营威胁狩猎任务的展开。然而,该项技术仍然面临诸多方面 的技术挑战:
风险的量化与目标对齐
如前所述,风险是驱动安全运营相关活动开展的关键指标,告警与事件的调查顺序,亦需要可量化 的风险度量模式。从资产、脆弱性、威胁等维度吸纳的数据及其之上的数据模式,如果没有理论或规范 驱动的计算度量方案,将导致实际事件处理效果与运营目标的偏离,如 MTTD、MTTR 等指标的恶化。
分诊结果的可解释性
该项技术同样面临大部分数据驱动运营技术的共性问题⸺ 可解释性的问题。相对传统依赖黑白名 单、预设规则等方式的静态分诊与误报识别方式,数据驱动通过语言模型、图模型等手段,以抽象特征 驱动分诊流程。分诊结果需要被一线处置的运营人员所理解,才能进一步支持告警的调查进程。因此, 增强分诊数据诊断模型及流程的透明性尤为关键。
绿盟 AISecOps智能安全运营技术白皮书 2020
信通院 中国数字经济发展报告(2022年)