为什么事件响应必须采用杀伤链视角
事件响应 (IR) 确实在发展进步,但仍旧难以超越单个事件角度看清全局。IR 工具固然行之有效,尤其是在编排和自动化技术的发展将很多 IR 工具转变成安全编排、自动化与响应 (SOAR) 工具之后,但这些工具却受到视野狭窄的限制。
由于大型网络攻击基本不会是单一事件,采取基于杀伤链的视角明显成为 IR 演进之路的下一个站点。杀伤链更像是一系列事件的时间线,这些事件往往以不那么明显的方式联系在一起。
MITRE 基于杀伤链概念创建了 ATT&CK 矩阵,可帮助安全运营团队加速威胁检测与响应。具体到事件响应上,为什么从杀伤链的角度概念化网络攻击是检测和中断重大攻击的最佳方式呢?
为说明重大网络攻击通常不是单一事件,而是一系列朝向目标迈进的攻击动作,我们可以先来解析下最近的一起重大网络犯罪活动:FIN7 网络犯罪组织利用 CARBANAK 后门制造的银行劫案。
这一系列让犯罪黑客赚得盆满钵满的银行劫案,可不是入侵银行网络从 ATM 机上取钱那么简单,都是时间跨度很长的操作,有时甚至持续数月。2018 年一家欧洲银行遭到的攻击就涉及鱼叉式网络钓鱼、漏洞扫描、域控制器入侵、Cobalt Strike Beacon、主机入侵、远程访问、信息渗漏等等。
执行所有这些动作的时候,攻击者相当专业地保持了低调,极端难以检测。绝大部分黑客操作选择正常上班时间执行,混入银行常规业务活动当中。但某些黑客活动,比如数据渗漏,却在晚间和周末进行,且采取短时会话方式,避免出现流量高峰引起银行职员注意。
很明显,对付CARBANAK 这样的高级持续性威胁,从基于事件的角度检测和响应并非理想方式。鉴于攻击者手法高端,他们的很多动作可能单独看来都是合法的。只有放在鱼叉式网络钓鱼攻击杀伤链上下文中观察,其恶意目的才会显现。
从传统的事件响应角度看,封锁被标记动作就是最终目标。于是,发现一封鱼叉式网络钓鱼邮件,标记之,封禁发送方,完事。但实际上,这么做并未解决攻击中的其他元素,攻击仍在进行。很可能有其他十几封邮件躲过了检测,而你压根儿没想着去找出它们。若采取杀伤链视角,你会意识到,这是遭遇了鱼叉式网络钓鱼攻击,得开始查找杀伤链中的其他环节。基于那封已检测出的恶意电子邮件,你可以搜索发往潜在鱼叉式网络钓鱼目标的其他电子邮件。只要再找到一封,你就可以根据攻击者的下一个目标找寻这波攻击的其他踪迹。采用该框架,防御者可绘制出一张包含很多事件、攻击指标、终端和外部实体的关联网。当攻击链从该关联网中呈现出来的时候,防御者也就有了抢在攻击者触碰最终目标之前掐断该攻击链条的绝佳机会。
随着 IR 技术的发展,“事件响应” 这个词就越来越不恰当了,因为事件响应不再是纯被动响应过程。IR 一直以来担负的是减小攻击影响、了解攻击具体情况和修复被利用漏洞的任务。但现在,从攻击链的角度出发,“事件” 可能只是攻击中的一小部分,防御者有机会在伤害造成前主动介入。
对手看起来似乎总是魔高一丈,基于事件的响应、基于特征码的检测,以及其他传统安全方法永远不能完全弥补该差距,无论这些传统方式执行得有多好。安全团队需融入基于意图的响应、基于行为的检测,从杀伤链的角度出发,领先对手一步。支撑这一转变的技术正在兴起,事件响应的未来甚为明朗。