助力民航网安 安天力推实战化威胁猎杀

时间 :  2019年08月09日  来源:  安天


       以“坚守网络空间 护航民航强国”为主题的2019民航网络安全年会于8月8日至9日在哈尔滨举行,年会由中国民用航空局人事科教司指导、中国民航大学主办、民航东北地区管理局协办。来自行业内外的领导、专家、网络安全从业人员等300余人齐聚一堂,交流分享民航网络安全热点问题。作为引领威胁检测与防御能力发展的网络安全国家队,安天在大会报告环节力推实战化威胁猎杀服务。

安天技术负责人解读威胁猎杀

        年会上,安天带来了题为《实战化威胁猎杀,让威胁无所遁形》的报告,强调了在“敌已在内、敌情不明”的严峻形势下开展威胁猎杀工作的必须性;解读了威胁猎杀的定义与要素,详细介绍了安天正在规划完善的威胁猎杀服务的整体运行流程,并总结了安天此前在与方程式、海莲花等高级网空威胁行为体隔空对决的经验教训。

安天复盘“方程式组织”攻击中东SWIFT服务商EastNets全过程

敌已在内,敌情不明

        回顾关键信息基础设施相关的重大安全事件:震网攻击的成功是建立在火焰、毒曲恶意代码网络的长期运营、信息采集的基础上;在发动网络攻击导致乌克兰电网大规模停电之前,攻击方也同样对乌方机场、电视台等基础设施实现了恶意代码植入;今年6月,相关媒体曝光美方从2012年开始就已经向俄方电网植入了恶意代码。这些浮出水面的事件说明全球大量关键信息基础设施已被高级网空威胁行为体长期潜伏。

        面对严峻的大国博弈和复杂的地缘安全形势,我国信息基础设施需以“敌已在内”作为整个防御工作的基本敌情设定,亟待全面建设动态综合防御体系,并展开“威胁猎杀”行动,从而做到将潜伏威胁“找出来”和“赶出去”。

威胁猎杀的概念和要素

        威胁猎杀是深入的、以“人”为主导的调查过程,是积极防御层面一种主动和迭代的威胁检测方法,旨在发现关键信息资产中潜伏的威胁。威胁猎杀团队、威胁猎杀工具、数据与知识是支撑威胁猎杀的关键要素,三个要素之间相互协同配合。其中,高水平的威胁猎杀团队是威胁猎杀工作的灵魂。威胁猎杀团队需要自动化威胁猎杀工具的支撑,而猎杀工具的有效性取决于猎杀团队的水平;威胁猎杀工具以数据为采集和处理对象,实现知识与情报驱动的自动化关联分析;猎杀团队分析数据产生知识,数据与知识又能够为猎杀团队提供威胁线索。。

威胁猎杀的支撑三要素

安天威胁猎杀服务的整体运行流程

        威胁猎杀是一种协同配合的工作方法,基于工作性质、工作重点部位与参与人员组织,安天将威胁猎杀划分为威胁猎杀分析、现场协同与后台支撑服务、现场排查三个层面。这三个层面相应人员在负责各自工作的同时,也会根据其他层次的输入信息进行工作,并生成相应的输出信息给予不同的层面,实现三个层次相互之间的协同联动进而展开威胁猎杀工作。

        威胁猎杀分析层面

        由威胁猎杀分析师完成此部分工作。威胁猎杀初期,准备信息采集需求和部署方案,并向现场下发观测信息采集节点部署需求。威胁猎杀分析师对观测信息库、报告库中的信息进行观测调查,并结合威胁知识,产生初步的异常,汇总调查观测信息形成威胁线索。对威胁线索进行综合分析并结合威胁知识提出/更新假设,确定调查观测方向,进而开展定向观测调查,汇总定向调查观测信息形成新威胁线索,进行下一个周期。为了保证信息量充足,需定期启动对全量信息的观测调查。

威胁猎杀分析

        现场协同与后台支撑服务层面

        现场工程师协同客户系统管理员、控制工程师、安全管理员完成现场协同,逆向分析工程师为现场协同提供后台支撑服务。具体来说,现场相关人员根据下发的增补清单增补部署观测信息采集点,基于现场取证节点清单进行取证调查,并向后台提交样本和相关信息。逆向分析工程师在后台对样本进行一系列分析之后,为现场输出样本分析报告,并提供专查工具和特征包。现场相关人员基于专查工具和特征包指导现场排查工作,并基于现场排查上报的感染清单,协同配合完成处置工作。同时,现场相关人员会向报告库提交取证、样本与感染报告。

现场协同与后台支撑

        现场排查层面

        基于下发的特征包及其加载指南、专查工具及其使用手册,指挥协调员协同客户系统管理员、安全管理员、控制工程师以及厂商维护工程师完成现场排查工作。根据网络信息系统中不同业务场景,现场排查可分为自动化和手工排查两种。对于包含EDR/NDR等安全防御措施的业务场景,基于特征包及其加载指南进行自动化排查;对于无法进行自动化排查的业务场景,则基于专查工具及其使用手册开展手工排查。

现场排查

实战化威胁猎杀

        安天从2010年起,将整个威胁响应分析工作的重心切换到应对高级网空威胁当中,协助主管部门和客户,对“方程式”、“白象”、“海莲花”、“绿斑”等几十个高级网空威胁行为体及其攻击行动,进行持续监测和深度解析。但回看此前的工作,依然有比较浓重的以发现和深度分析恶意样本为导向的色彩。在不断总结经验教训的过程中,逐步理解了威胁猎杀工作的重要意义,开始不断完善相关流程和支撑能力。报告复盘了安天以异常加密通讯为线索,发现、分析、处置APT-TOCS(海莲花)组织活动,和以威胁情报驱动对方程式组织活动进行深入分析的相关工作。分别从APT-TOCS的威胁猎杀分析、现场工作、后端支撑、情报拓线分析、全网追溯等角度,以及方程式组织的外部情报和后端分析、定制提取和比对

       发和环境模拟、现场分析和排查处置、全网追溯等角度,总结了这些工作中的经验教训,对比了安天传统工作模式与威胁猎杀的流程体系的差距。

通过安天威胁情报综合分析平台 对APT-TOCS(海莲花)攻击的情报拓线

       安天威胁情报综合分析平台依托于安天海量威胁动静态分析数据、黑客组织信息库、知识库和情报数据,将零散线索通过拓线分析、关联分析、同源分析、协同人工分析输出更为丰富连贯的信息,可全面了解攻击者的攻击技术,同时可以生产用于防御威胁和攻击者追踪溯源的向量级威胁情报。安天为战略客户提供私有化的威胁情报分析中心建设方案。

安天产品通过高级威胁追溯包服务协助客户完成全网追溯

       安天高级威胁追溯包服务针对高级威胁行为体,建立包括通讯、文件、注册表、内存等的复合规则和检测脚本,安天智甲(EDR类产品)探海(NDR类产品)追影拓痕等产品和工具,均可更新或导入追溯包。客户订阅后,即可对高级威胁进行全网追溯。专业客户可以根据自身掌控的线索,定制“私有化”的追溯包。

       报告最后强调威胁猎杀是针对重要信息资产场景的一种高投入服务。做好基础结构安全和纵深防御层面的工作,全面增强网络的可管理性,并进一步改善可防御性将为威胁猎杀工作形成良好的基础支撑条件,全面降低威胁猎杀的成本。通过战术型态势感知平台指挥控制威胁猎杀的积极防御层面的安全工作,可以进一步形成一个高效的围绕网空防御人员的闭环体系。依托态势感知与积极防御体系支撑威胁猎杀工作,并通过常态化威胁猎杀驱动网空安全防御体系持续完善和优化。




       民航业是我国经济社会发展重要的战略产业,为我国改革开放和社会主义现代化建设作出了突出贡献。在信息化高新技术广泛应用于各个行业的大形势下,民航业发展越来越多的依赖于信息化的发展。世界各国民航业都把加快信息化建设作为民航发展的重要战略。在民航领域,一旦出现信息系统被攻击、无线电通信系统受到干扰、重要飞行信息被泄露、信息系统出现各种故障等情况,会使飞行安全受到严重威胁,轻者会造成航班正常运作中断,重者会危及飞行安全甚至国家安全。

       安天近年来承建民航网络与信息安全管理平台,多方面保障民航安全,及时提供应急服务支撑。在中国C919大飞机首飞、中国商飞、北京市交通委网络安全管理体系建设等重大项目中安天承担了重要角色,并获得了客户的一致好评。为保障首都机场各系统网络安全运行,安天提供了网络安全综合保障服务。在中航信各产品线的威胁建模中,安天提出并运用了改进型的STRIDE模型,突破了传统STRIDE模型所具有的局限性。安天的探海流量威胁检测系统和追影高级威胁分析系统,基于安天下一代威胁检测引擎,为交通运输网络安全评估及监测预警信息平台感知真实态势提供了有效的数据支撑。当前我国民航业仍面临着基础保障能力不足、资源环境约束增大、发展不平衡等问题。面对新时代的新形势、新要求、新挑战,通过参与此次民航网络安全年会,安天期待与更多的民航业客户进行深入探讨交流,以新时代民航强国建设为指引,凭借自身成立19年来不断积累的网络安全实战能力,为民航业的网络安全能力体系建设作出贡献。