安天分析美方网空攻击活动成果摘编之四丨敌情想定、防御与威胁猎杀篇
时间 : 2022年10月08日
安天分析美方网空攻击活动成果摘编
编者说明:
2022年9月5日,国家计算机病毒应急处理中心和网络安全厂商发布相关分析报告,曝光源自美国国家安全局(NSA)“特定入侵行动办公室”(TAO)针对西北工业大学的网络攻击活动。
安天从2010年起持续分析美方情报机构相关攻击活动,并在攻击组织能力评价标准中将其划定为超高能力网空威胁行为体,提出用A2PT(即“高级的”高级持续性威胁)攻击来界定称其攻击活动。过去12年来,安天针对A2PT攻击活动的持续跟踪、捕获、关联、分析工作,累计发布了数十篇分析报告、论文和其他研究文献。
为了更全面的让公众了解A2PT攻击活动能力,我们对2010年以来部分已经公开的历史分析成果进行了聚合梳理,将其整合摘编为多个系列,其中样本分析篇,组织体系和能力分析篇,核心机理分析、关联溯源和过程复盘篇已经陆续发布,本期我们带来敌情想定、防御与威胁猎杀篇。
一、概述
2015年开始,为进一步了解敌情、分析敌情、决战敌情,有效开展网络安全工作,安天发布了《NSA系列外泄军火级漏洞应对手册》报告,提出应对网空军火泄露风险的应对策略和解决方案,同时深刻思考应对超高能力网空威胁行为体的具有实战意义的指导性理论思想和工作方法,先后提出了“敌情想定”等方面的观点作为开展网络安全防护工作的指导思想之一、引入了“威胁猎杀”的概念作为网络安全应急响应和排查处置工作的实战落地工作方法。
以下是安天面向A2PT的敌情想定、防御与威胁猎杀工作的部分已公开报告清单。(文中所有报告均可点击标题或扫描二维码阅读全文)
• 2017年
• 2019年
《实战化威胁猎杀,让威胁无处遁形—— “美向俄电网植入恶意代码”等有关报道带来的启示》
• 2020年
• 2021年
二、敌情想定、防御与威胁猎杀篇
1. NSA系列外泄军火级漏洞应对手册
2017年5月12日20时左右,全球爆发大规模“Wannacry”勒索软件感染事件,我国各地的计算机也受到不同程度的影响。该勒索软件迅速传播的原因是利用了基于445端口传播扩散的SMB漏洞——MS17-010。该漏洞原本是美国NSA下属的Equation Group(方程式组织)使用的“网络军火”,在2017年4月14日的被黑客组织Shadow Brokers(影子经纪人)曝光,而该勒索软件的攻击者或攻击组织在借鉴了该“网络军火”后进行了此次全球性的大规模攻击事件。
根据安天应急响应中心紧急研判结果,确认本次的“Wannacry”勒索软件事件是一起严重的因“网络军火”扩散导致的大规模网络安全事件。美方无节制发展网络军备,但又不能妥善履行保管义务,已经严重影响互联网的安全基础和信任。从此次事件也可以看出,高能力的网络军火一旦失控泄露,将快速转化为普遍性的攻击能力,从而可以引发雪崩式的社会风险。
在面对彼时的安全风险时,安天提出了多种场景下应对此次风险的策略和解决方案。提醒用户除了通过有效的安全设计和使用安全产品形成防御能力之外,还必须要做好合理的补丁策略、端口和应用的管理策略、边界的安全条件等基础安全工作。针对部分网络节点规模及数量较大的内网用户或部分对业务系统的稳定性及安全性要求较高的用户,有可能不能实施全面的、系统的补丁策略,同时实时获取补丁的方法在一定程度上受到网络隔离的相应影响或限制,可能需要采用对严重漏洞进行单点补丁的策略方法。
图1 泄露的NSA网络军火装备与相关漏洞、系统版本关系图(简图)
扫描二维码或点击标题阅读报告全文
2. 实战化威胁猎杀,让威胁无处遁形——“美向俄电网植入恶意代码”等有关报道带来的启示
安天在2019年7月发布报告《实战化威胁猎杀,让威胁无处遁形——“美向俄电网植入恶意代码”等有关报道带来的启示》,针对当时引发广泛关注的电力系统安全事件,安天提出威胁猎杀的整体运行方法,希望以此指导开展实战化的安全运行,提高我国关键信息基础设施安全防护水平。
威胁猎杀是一种主动和迭代的威胁检测方法,旨在主动搜寻潜伏在网络环境中恶意软件或攻击者行为。按照网络安全叠加演进模型进行分类,防火墙、入侵检测系统等传统安全防御措施多数归类于被动防御层面,威胁猎杀与传统网络安全防护不同,其被归类于积极防御层面。所以威胁猎杀不仅需要借助工具,而且需要受过独特训练的威胁猎杀分析师,他们需要具备足够的耐心、批判的思维、丰富的想象力、敏锐的洞察力,这样的威胁猎杀分析师才可能发现潜在/未知威胁。
威胁猎杀是一种协同配合的工作方法,基于工作性质、工作重点部位与参与人员组织。安天将威胁猎杀划分为威胁猎杀分析、现场协同与后台支撑服务、现场排查三个层面。这三个层面相应人员在负责各自工作的同时,也会根据其他层次的输入信息进行工作,并生成相应的输出信息给予不同的层面,实现三个层次相互之间的协同联动进而展开威胁猎杀工作。下图是基于威胁猎杀概览视图对三个层次的工作进行简单的描述。
图2 安天威胁猎杀流程框架
扫描二维码或点击标题阅读报告全文
3. 金融行业要立足应对高级威胁构建综合防御体系
2020年9月21日,安天在《金融科技时代》杂志发表题为《金融行业要立足应对高级威胁构建综合防御体系》的文章,指出金融关键信息基础设施的安全状况关系到国家安全和广大人民群众的切实利益,因此成为网空威胁活动尤其是"超高能力网空威胁行为体"的主要攻击目标。面对高度复杂的攻击活动,金融机构要建立起能够有效防御高级网空威胁行为体的动态的、综合的网络安全防御体系。
安天在文章中分析“方程式组织”攻击SWIFT机构的整个攻击活动,发现攻击活动跨越完整杀伤链的全程,这符合超高能力网空威胁行为体的活动特点,也为构筑防御体系提供了极为关键的敌情想定基础。同时,安天还使用威胁框架图谱对攻击组织和攻击画像进行映射,并提出了安天防御框架。
图3 “方程式组织”攻击SWIFT服务商事件攻击动作TCTF威胁框架映射图
扫描二维码或点击标题阅读报告全文
4. 敌情想定理念在网络空间安全工作中的应用
2021年12月安天在《中国电子科学研究院学报》刊发标题为《想定理念在网络空间安全工作中的应用》的文章,文章内容是相关研究从2017年将“敌情想定”理念引入网络安全领域后的第一阶段(2017-2019)工作总结。文中阐述了网络空间安全中敌情想定的基本概念与内涵。着重从构建敌情想定的整体背景、基础想定、展开场景、具象刻画、底线思维、多手预案、杀伤链分析、全生命周期视角以及排除无效想定和坚持总体国家安全观十个方面,剖析了敌情想定的工作维度、分析要素、主要结论与安全价值。强调指出客观敌情想定是做好网络安全防御工作的必要前提,只有达成对网络对抗中敌情的真实掌握、深度理解与准确研判,才能为防御能力的发展厘清方向、为防御体系的构建筑牢根基。
安天针对实际威胁行为体能力具象构建了不同威胁行为体的能力对比表,从作业资源、支撑力量和能力水平对威胁行为体进行了不同层次的划分,列举了每个层次下的典型攻击组织,该层次所具有的整体能力,以及我方所能形成的反制。
表 不同威胁行为体的能力差异
扫描二维码或点击标题阅读报告全文