基于ATT&CK的欺骗性防御系统、构建方法及全链路防御实现方法
阅读:827发布:2020-05-15
专利汇可以提供基于ATT&CK的欺骗性防御系统、构建方法及全链路防御实现方法专利检索,专利查询,专利分析的服务。并且本 申请 涉及基于ATT&CK的欺骗性防御系统、构建方法及全链路防御实现方法,研究ATT&CK 框架 中每项战术下的每个技术点的攻击技术;在所述初始 数据库 中从战术、技术两个层面给出每一个攻击技术所对应的欺骗防御技术,将所有欺骗防御技术根据网络欺骗技术的不同作用点进行层次划分,从战术、技术、作用点三个维度构建初始数据库,结合当前环境中的网络资产情况,针对攻击方在入侵期间每个阶段的行为,在战术、技术、作用点三个维度上从初始数据库中选择欺骗防御技术与当前网络资产情况进行融合,构建全方位的欺骗性防御系统。本 发明 从将欺骗技术贯穿攻击链路的整个生命周期,对攻击者的TTP进行检测、防御和响应,从攻击者的视 角 进行主动诱捕。,下面是基于ATT&CK的欺骗性防御系统、构建方法及全链路防御实现方法专利的具体信息内容。
1.基于ATT&CK框架的欺骗性防御系统,其特征在于:所述防御系统包括初始数据库和防御蜜阵;
ATT&CK框架是一个反映各个攻击生命周期的攻击行为的模型和知识库,其提供了全攻击生命周期中每一个战术下攻击者能够采用的一个以上的攻击技术;
所述初始数据库被配置为:研究ATT&CK框架中每项战术下的每个技术点的攻击技术;
在所述初始数据库中从战术、技术两个层面给出每一个攻击技术所对应的欺骗防御技术,将所有欺骗防御技术根据网络欺骗技术的不同作用点进行层次划分,从战术、技术、作用点三个维度构建初始数据库;
所述防御蜜阵被配置为:结合当前环境中的网络资产情况,针对攻击方在入侵期间每个阶段的行为,在战术、技术、作用点三个维度上从初始数据库中选择欺骗防御技术与当前网络资产情况进行融合,构建全方位的欺骗性防御系统。
2.根据权利要求1所述的基于ATT&CK框架的欺骗性防御系统,其特征在于:在所述防御蜜阵部署过程中,
根据网络欺骗技术的不同作用点进行层次划分成四个欺骗层,分别为设备欺骗层、网络欺骗层、数据欺骗层和应用欺骗层;
从初始数据库中选取适当的欺骗防御技术,结合该领域的网络情况,在设备欺骗层、网络欺骗层、数据欺骗层以及应用欺骗层的每一个维度上将选取的防御技术与当前环境中网络资产情况进行融合。
3.根据权利要求1所述的基于ATT&CK框架的欺骗性防御系统,其特征在于:还包括网络资产识别单元,用于获取当前环境中的网络资产情况,获取关键资产步骤,结合当前网络环境中的资产状况,从关键步骤中分析出当前环境中的需要重点保护设备。
4.根据权利要求3所述基于ATT&CK框架的欺骗性防御系统,其特征在于:所述防御蜜阵被配置过程中,根据攻击者能够采取的关键步骤中的战术、技术,综合考虑需要保护设备的特点情况,包括操作系统问题、网络环境、所提供的服务从初始数据库选择合适的欺骗防御技术。
5.根据权利要求1至4任一项所述的基于ATT&CK框架的欺骗性防御系统,其特征在于:
还包括统一管理平台,所述统一管理平台收集防御蜜阵中获取的攻击者行为数据,将其上报给管理员并对其进行关联分析;将分析结果自动化映射至ATT&CK框架中,将攻击路线可视化展示,同时结合蜜阵中每个组件记录的数据,记录攻击者的整个攻击生命周期。
6.基于ATT&CK框架的欺骗性防御系统构建方法,其特征在于:该构建方法用于构建权利要求1至5任一项所述的欺骗性防御系统,包括如下步骤:
基于ATT&CK框架构建包含有防御技术的初始数据库;
根据当前环境中的网络资产情况,针对攻击方在入侵期间每个阶段的行为,在战术、技术、作用点三个维度上从初始数据库中选取与当前网络资产情况相适配的欺骗防御技术构造整个防御系统,从攻击者的视角规划防御蜜阵。
7.根据权利要求6所述的基于ATT&CK框架的欺骗性防御系统构建方法,其特征在于:所述步骤基于ATT&CK框架构建包含有防御技术的初始数据库中,其初始数据库的构建方法如下:
研究ATT&CK框架中每项战术下的每个技术点的攻击技术;
在所述初始数据库中从战术、技术两个层面给出每一个攻击技术所对应的欺骗防御技术;
将所有欺骗防御技术根据网络欺骗技术的不同作用点进行层次划分,从战术、技术、作用点三个维度构建初始数据库。
8.根据权利要求7所述的基于ATT&CK框架的欺骗性防御系统构建方法,其特征在于:根据网络欺骗技术的不同作用点进行层次划分为四个欺骗层,分别为设备欺骗层、网络欺骗层、数据欺骗层和应用欺骗层;
从初始数据库中选取适当的欺骗防御技术,结合该领域的网络情况,在设备欺骗层、网络欺骗层、数据欺骗层以及应用欺骗层每一个维度上将选取的防御技术与当前环境中网络资产情况进行融合。
9.根据权利要求8所述的基于ATT&CK框架的欺骗性防御系统构建方法,其特征在于:所述初始数据库中,针对攻击行为,从战术、技术和作用点三个维度构建初始数据库;
使用X轴、Y轴和Z轴分别代表战术、技术、作用点三个维度,其中,
X轴代表初始数据库中,攻击生命周期中各阶段使用的战术,攻击阶段的战术至少包括初始访问、执行、常驻、提权、防御规避、凭证访问、发现、横向运动、收集、命令与控制、渗透和碰撞的一种或者两种以上的组合;
Y轴是初始数据库中,每一个阶段战术下对应的攻击者使用的攻击技术;
Z轴是初始数据库中,根据攻击者攻击行为作用点的不同将攻击划分到四个欺骗层,分别为设备欺骗层、网络欺骗层、数据欺骗层和应用欺骗层;
X、Y、Z三维交叉点即为对应每个攻击战术、技术、每个欺骗层面下对应的防御性欺骗技术。
10.根据权利要求6所述的基于ATT&CK框架的欺骗性防御系统构建方法,其特征在于:
利用网络资产识别单元获取当前环境中的网络资产情况,结合当前网络环境中的资产状况,从关键步骤中分析出当前环境中的需要重点保护设备。
11.根据权利要求10所述的基于ATT&CK框架的欺骗性防御系统构建方法,其特征在于:
从初始数据库中选取相适配的欺骗防御技术,结合该领域的网络情况,在设备欺骗层、网络欺骗层、数据欺骗层以及应用欺骗层每一个维度上将选取的防御技术与当前环境中网络资产情况进行融合,构建全方位的欺骗性防御系统。
12.根据权利要求11所述的基于ATT&CK框架的欺骗性防御系统构建方法,其特征在于:
所述防御蜜阵被配置过程中,根据攻击者能够采取的关键步骤中的战术、技术,综合考虑需要保护设备的特点情况,包括操作系统问题、网络环境、所提供的服务从初始数据库选择合适的欺骗防御技术。
13.基于ATT&CK的全链路欺骗性防御实现方法,其特征在于:该实现方法采用权利要求
1至5任一项所述的欺骗性防御系统;包括,
将选取的防御技术与当前环境中网络资产情况进行融合,生成对应的蜜阵配置文件;
利用蜜阵配置文件在环境中构建防御蜜阵;
将防御蜜阵部署在当前环境的网络系统中,利用构建的防御蜜阵将欺骗技术贯穿攻击链路的整个生命周期,对攻击者的战术、技术和过程进行检测、防御和响应,从攻击者的视角进行主动诱捕实现全链路欺骗性防御部署。
14.根据权利要求13所述基于ATT&CK的全链路欺骗性防御实现方法,其特征在于:适配当前网络的防御蜜阵是覆盖攻击者全链路上战术和技术的全方位的欺骗性防御系统,从攻击者的视角规划蜜阵,将欺骗防御技术贯穿攻击链路的整个生命周期,对攻击者的TTP即战术、技术和过程进行检测、防御和响应。
15.根据权利要求14所述基于ATT&CK的全链路欺骗性防御实现方法,其特征在于:统一管理平台收集防御蜜阵中获取的攻击者行为数据,将其上报给管理员并对其进行关联分析;将分析结果自动化映射至ATT&CK框架中,将攻击路线可视化展示,同时结合蜜阵中每个组件记录的数据,查缺补漏,判断该欺骗性防御系统是否全链路地记录攻击者的整个攻击生命周期。
16.根据权利要求15所述基于ATT&CK的全链路欺骗性防御实现方法,其特征在于:若欺骗性防御系统全链路地记录攻击者的整个攻击生命周期,则记录该攻击者的ATT&CK的攻击框架;
若欺骗性防御系统未全链路地记录攻击者的整个攻击生命周期,则结合样本分析、威胁情报分析总结出攻击者使用的攻击技术,若该攻击技术在初始数据库中有相对应的防御技术,则从初始数据库中选择相对应的防御技术完善到防御蜜阵中。
17.根据权利要求16所述基于ATT&CK的全链路欺骗防御实现方法,其特征在于:统一管理平台捕获未知攻击,对攻击者的攻击行为进行分析,其中,
分析攻击者使用的攻击技术,若该攻击技术在初始数据库中没有相对应的防御技术;
即捕获到未知攻击,将蜜阵捕获的新的攻击技术反馈给ATT&CK,并完善初始数据库;
同时,分析攻击者行为,预测攻击者的意图,评估攻击者下一步将采取的技术方式,完善到防御蜜阵中。
18.根据权利要求17所述基于ATT&CK的全链路欺骗防御实现方法,其特征在于:若防御系统在其中一种欺骗层记录了攻击者的攻击行为,但在其他三个欺骗层中的某一层面未记录攻击者的攻击行为,则防御系统结合ATT&CK对攻击方在X轴上对全战术攻击行为分析,对比现有防御系统中的蜜阵组件,从初始数据库中选取该战术行为下的相关防御技术补充至防御蜜阵中相对的欺骗层中。
19.根据权利要13至18任一项所述基于ATT&CK的全链路欺骗性防御实现方法,其特征在于:将选取的防御技术与当前环境中网络资产情况进行融合,生成对应的蜜阵配置文件的步骤中,有三种选取方式:
方式一:全选
按照上述,整个初始数据库是按照ATT&CK进行全链路设计,在部署的时候,全部选择所有的欺骗防御技术构建成防御蜜阵,做到全覆盖;
方式二:初选
根据网络资产情况,四个欺骗层中,每一个欺骗层中至少配置有一个蜜罐,每一个蜜罐中至少配置有一种战术,每个战术中都至少配置一个欺骗防御技术,即从初选上保障战术和四个欺骗层的覆盖;
方式三:优选
结合ATT&CK中各APT组织利用率最高的战术和技术,重点选择10-12个技术作为选择欺骗防御技术的依据,覆盖常见攻击技术;
生成对应的蜜阵配置文件采用上述三种方式中的任意一种。
基于ATT&CK的欺骗性防御系统、构建方法及全链路防御实现
方法
技术领域
背景技术
[0002] 网络安全问题已成为信息时代人类共同面临的挑战,国内的网络安全问题也日益突出。具体表现为:计算机系统受病毒感染和破坏的情况相当严重;电脑黑客活动已形成重要威胁;信息基础设施面临网络安全的挑战;信息系统在预测、反应、防范和恢复能力方面存在许多薄弱环节。
[0003] 在应对攻击者的过程中,往往是被动僵硬的等待攻击者触碰网络安全设备并报警,难以持续有效的应对攻击者在攻击过程中的变化。当前,需要能够实时动态分析攻击者的行为特征,并作出动态联合防御的技术方法,以达到能够有针对性的应对攻击者的目的。
[0005] 然而,现有的欺骗技术无法覆盖攻击者的全链路攻击行为,难以实现对攻击者高性能的诱捕。
发明内容
[0006] 网络攻防不对称是当前网络安全面临的核心问题。基于欺骗的防御技术是防御方为改变这种不对称格局而引入的一种新思路,其核心思想是通过干扰攻击者的认知以促使攻击者采取有利于防御方的行动从而记录攻击者的活动与方法、增加其实施攻击的代价、降低其攻击成功的概率。
[0007] 为至少在一定程度上克服相关技术中存在的问题,申请人提供了一种全新的防御体系,通过ATT&CK模型,以剖析攻击面为关键,旨在攻击全链路上进行欺骗性防御部署,提高欺骗性防御的全面性和有效性。
[0009] 为此,为能够实现全攻击链路上进行欺骗性防御部署,提高欺骗性防御的全面性和有效性,申请人提出基于ATT&CK模型选取适当的欺骗性技术进行蜜阵的构建,将入侵期间可能发生的情况做出更细的划分,从攻击者的视角进行主动诱捕,打破现有的攻防不对称的局面,实现更精准、更高效的诱捕预警。
[0012] ATT&CK框架是一个反映各个攻击生命周期的攻击行为的模型和知识库,其提供了全攻击生命周期中每一个战术下攻击者能够采用的一个以上的攻击技术;
[0013] 所述初始数据库被配置为:研究ATT&CK框架中每项战术下的每个技术点的攻击技术;在所述初始数据库中从战术、技术两个层面给出每一个攻击技术所对应的欺骗防御技术,将所有欺骗防御技术根据网络欺骗技术的不同作用点进行层次划分,从战术、技术、作用点三个维度构建初始数据库;
[0014] 所述防御蜜阵被配置为:结合当前环境中的网络资产情况,针对攻击方在入侵期间每个阶段的行为,在战术、技术、作用点三个维度上从初始数据库中选择欺骗防御技术与当前网络资产情况进行融合,构建全方位的欺骗性防御系统。
[0015] 进一步的,在所述防御蜜阵部署过程中,根据网络欺骗技术的不同作用点进行层次划分成四个欺骗层,分别为设备欺骗层、网络欺骗层、数据欺骗层和应用欺骗层;从初始数据库中选取适当的欺骗防御技术,结合该领域的网络情况,在设备欺骗层、网络欺骗层、数据欺骗层以及应用欺骗层的每一个维度上将选取的防御技术与当前环境中网络资产情况进行融合。
[0016] 进一步的,还包括网络资产识别单元,用于获取当前环境中的网络资产情况,获取关键资产步骤,结合当前网络环境中的资产状况,从关键步骤中匹配出当前环境中的需要重点保护设备。
[0017] 进一步的,所述防御蜜阵被配置过程中,根据攻击者能够采取的关键步骤中的战术、技术,综合考虑需要保护设备的特点情况,包括操作系统问题、网络环境、所提供的服务从初始数据库选择合适的欺骗防御技术。
[0018] 进一步的,还包括统一管理平台,所述统一管理平台收集防御蜜阵中获取的攻击者行为数据,将其上报给管理员并对其进行关联分析;将分析结果自动化映射至ATT&CK框架中,将攻击路线可视化展示,同时结合蜜阵中每个组件记录的数据,记录攻击者的整个攻击生命周期。
[0019] 根据本申请实施例的第二方面,提供一种基于ATT&CK框架的欺骗性防御系统的构建方法,包括如下步骤:
[0020] 基于ATT&CK框架构建包含有防御技术的初始数据库;
[0021] 根据当前环境中的网络资产情况,针对攻击方在入侵期间每个阶段的行为,在战术、技术、作用点三个维度上从初始数据库中选取与当前网络资产情况相适配的欺骗防御技术构造整个防御系统,从攻击者的视角规划防御蜜阵。
[0022] 进一步的,所述步骤基于ATT&CK框架构建包含有防御技术的初始数据库中,其初始数据库的构建方法如下:研究ATT&CK框架中每项战术下的每个技术点的攻击技术;在所述初始数据库中从战术、技术两个层面给出每一个攻击技术所对应的欺骗防御技术;将所有欺骗防御技术根据网络欺骗技术的不同作用点进行层次划分,从战术、技术、作用点三个维度构建初始数据库。
[0023] 进一步的,根据网络欺骗技术的不同作用点进行层次划分为四个欺骗层,分别为设备欺骗层、网络欺骗层、数据欺骗层和应用欺骗层;从初始数据库中选取适当的欺骗防御技术,结合该领域的网络情况,在设备欺骗层、网络欺骗层、数据欺骗层以及应用欺骗层每一个维度上将选取的防御技术与当前环境中网络资产情况进行融合。
[0024] 进一步的,所述初始数据库中,针对攻击行为,从战术、技术和作用点三个维度构建初始数据库;
[0025] 使用X轴、Y轴和Z轴分别代表战术、技术、作用点三个维度,其中,
[0026] X轴代表初始数据库中,攻击生命周期中各阶段使用的战术,攻击阶段的战术至少包括初始访问、执行、常驻、提权、防御规避、凭证访问、发现、横向运动、收集、命令与控制、渗透和碰撞中的一种或者两种以上的组合;
[0027] Y轴是初始数据库中,每一个阶段下对应的攻击者使用的攻击技术;
[0028] Z轴是初始数据库中,根据攻击者攻击行为作用点的不同将攻击划分到四个欺骗层,分别为设备欺骗层、网络欺骗层、数据欺骗层和应用欺骗层;
[0029] X、Y、Z三维交叉点即为对应每个攻击战术、技术、每个欺骗层面下对应的防御性欺骗技术。
[0030] 进一步的,利用网络资产识别单元获取当前环境中的网络资产情况,结合当前网络环境中的资产状况,从关键步骤中分析出当前环境中的需要重点保护设备。
[0031] 进一步的,从初始数据库中选取相适配的欺骗防御技术,结合该领域的网络情况,在设备欺骗层、网络欺骗层、数据欺骗层以及应用欺骗层每一个维度上将选取的防御技术与当前环境中网络资产情况进行融合,构建全方位的欺骗性防御系统。
[0032] 进一步的,所述防御蜜阵被配置过程中,根据攻击者能够采取的关键步骤中的战术、技术,综合考虑需要保护设备的特点情况,包括操作系统问题、网络环境、所提供的服务从初始数据库选择合适的欺骗防御技术。
[0033] 根据本申请实施例的第三方面,提供一种基于ATT&CK的全链路欺骗性防御实现方法,包括:
[0034] 将选取的防御技术与当前环境中网络资产情况进行融合,生成对应的蜜阵配置文件;
[0035] 利用蜜阵配置文件在环境中构建防御蜜阵;
[0036] 将防御蜜阵部署在当前环境的网络系统中,利用构建的防御蜜阵将欺骗技术贯穿攻击链路的整个生命周期,对攻击者的战术、技术和过程进行检测、防御和响应,从攻击者的视角进行主动诱捕实现全链路欺骗性防御部署。
[0037] 进一步的,适配当前网络的防御蜜阵是覆盖攻击者全链路上战术和技术的全方位的欺骗性防御系统,从攻击者的视角规划蜜阵,将欺骗防御技术贯穿攻击链路的整个生命周期,对攻击者的TTP即战术、技术和过程进行检测、防御和响应。
[0038] 进一步的,统一管理平台收集防御蜜阵中获取的攻击者行为数据,将其上报给管理员并对其进行关联分析;将分析结果自动化映射至ATT&CK框架中,将攻击路线可视化展示,同时结合蜜阵中每个组件记录的数据,查缺补漏,发现该欺骗性防御系统是否全链路地记录攻击者的整个攻击生命周期。
[0039] 进一步的,若欺骗性防御系统全链路地记录攻击者的整个攻击生命周期,则记录该攻击者的ATT&CK的攻击框架;
[0040] 若欺骗性防御系统未全链路地记录攻击者的整个攻击生命周期,则根据防御系统已记录的攻击行为分析攻击者使用的攻击技术,从初始数据中选取相适配的防御技术补充至该防御蜜阵中。
[0041] 进一步的,统一管理平台捕获位未知攻击,对攻击者的攻击行为进行分析,其中,[0042] 分析攻击者使用的攻击技术,若该攻击技术在初始数据库中没有相对应的防御技术;即捕获到未知攻击,将蜜阵捕获的新的攻击技术反馈给ATT&CK,并完善初始数据库;
[0043] 同时,分析攻击者行为,预测攻击者的意图,评估攻击者下一步将采取的技术方式,完善到防御蜜阵中。
[0044] 进一步的,若防御系统在其中一种欺骗层记录了攻击者的攻击行为,但在其他三个欺骗层中的某一层面未记录攻击者的攻击行为,则防御系统结合ATT&CK对攻击方在X轴上对全战术攻击行为分析,对比现有防御系统中的蜜阵组件,从初始数据库中选取该战术行为下的相关防御技术补充至防御蜜阵中相对的欺骗层中。
[0045] 进一步的,将选取的防御技术与当前环境中网络资产情况进行融合,生成对应的蜜阵配置文件的步骤中,有三种选取方式:
[0046] 方式一:全选
[0047] 按照上述,整个初始数据库是按照ATT&CK进行全链路设计,在部署的时候,全部选择所有的欺骗防御技术构建成防御蜜阵,做到全覆盖;
[0048] 方式二:初选
[0049] 根据网络资产情况,四个欺骗层中,每一个欺骗层中至少配置有一个蜜罐,每一个蜜罐中至少配置有一种战术,每个战术中都至少配置一个欺骗防御技术,即从初选上保障战术和四个欺骗层的覆盖;
[0050] 方式三:优选
[0051] 结合ATT&CK中各APT组织利用率最高的战术和技术,重点选择10-12个技术作为选择欺骗防御技术的依据,覆盖常见攻击技术;
[0052] 生成对应的蜜阵配置文件采用上述三种方式中的任意一种。
[0053] 本申请的实施例提供的技术方案可以包括以下有益效果:
[0054] 第一、现有的欺骗技术无法覆盖攻击者的全链路攻击行为,难以实现对攻击者高性能的诱捕。本发明引入ATT&CK模型来使用相关欺骗技术以构造整个防御系统,从攻击者的视角规划蜜罐、蜜网和蜜阵,将欺骗技术贯穿攻击链路的整个生命周期,对攻击者的TTP(tactics,techniques and procedure-TTP战术、技术和过程)进行检测、防御和响应,从攻击者的视角进行主动诱捕,打破现有的攻防不对称的局面,实现更精准、更高效的诱捕预警。再则,采用自动化语言和框架,将欺骗防御技术模块化,让企业安全人员根据自身业务逻辑来完成相关插件的配置,自动化定制业务场景,更加贴合用户资产状况。
[0055] 第二、基于欺骗的防御技术可通过干扰攻击者的认知以促使攻击者采取有利于防御方的行动,从而记录攻击者的活动与方法、增加其实施攻击的代价。结合ATT&CK的每个阶段针对性的部署安全控制措施,度量控制措施的相对有效性,帮助明晰安全投入的方向和演进路线。
[0056] 同时,通过ATT&CK知识库,可以快速描述出攻击者如何准备、发起和执行攻击,进而有针对性地给出防御方案并构建欺骗性防御系统。本发明主要是基于ATT&CK知识库进行蜜阵的构建,从攻击者的视角进行主动防御,利用更深层次的粒度描述入侵期间可能发生的事情,在不同攻击阶段进行欺骗性防御,针对不同攻击手法采用不同欺骗手段,最终实现更精准、更高效的诱捕预警。
[0057] 第三、ATT&CK中包括攻击者用于进行决策、扩大接入,以及实施执行目标的TTP。它从一个足够抽象的高度描绘了攻击步骤,从而可适用于不同的平台。与此同时,又保留了足够多的技术性细节来用于网络空间防御与研究。
[0061] 图1是ATT&CK矩阵中部分中文翻译示意图;
[0062] 图2是本发明欺骗性防御系统示意图;
[0063] 图3是本发明欺骗性防御系统构建方法流程图;
[0064] 图4是本发明防御蜜阵的框架图;
[0065] 图5是本发明欺骗性防御系统中三个维度构建初始数据库示意图;
[0066] 图6是本发明全链路欺骗性防御实现方法流程图;
[0067] 图7是本发明基于攻击者行为分析的威胁防御示意图;
[0068] 图8是本发明威胁防御流程示意图;
[0070] 图10是本发明针对图8中的攻击技术所呈现的欺骗防御技术示意图;
[0071] 图11本发明另一实施例中企业web渗透案例实施例示意图。
具体实施方式
[0072] 这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
[0073] 名称解释:ATT&CK(Adversarial Tactics,Techniques,and Common Knowledge)是一个反映各个攻击生命周期的攻击行为的模型和知识库。ATT&CK有助于理解已知的攻击者行为,技术、战术,准备检测措施,验证防御基础设施和分析策略的有效性。在本发明中引入ATT&CK模型来使用相关欺骗技术以构造整个防御系统,从攻击者的视角规划蜜罐和蜜网,将欺骗技术贯穿攻击链路的整个生命周期,对攻击者的TTP(tactics,techniques and procedure-TTP战术、技术和过程)进行检测、防御和响应。
[0074] 为至少在一定程度上克服相关技术中存在的问题,申请人提供了一种全新的防御体系,通过ATT&CK模型,以剖析攻击面为关键,旨在全攻击链路上进行欺骗性防御部署,提高欺骗性防御的高诱骗性、全面性和有效性。
[0075] 如图1所示,是ATT&CK矩阵中部分中文翻译示意图,图1仅作示意说明,方式一:本领域技术人员可在如下地址查到全部内容的ATT&CK矩阵示意图:https://attack.mitre.org/matrices/enterprise/
[0076] 方式二:在百度搜索页面中输入:MITRE ATT&CK,点击条目:MITRE ATT&CK即可查到全部内容的ATT&CK矩阵示意图。
[0077] 另外ATT&CK矩阵示意图中的内容是不定期更新的,附图1中的内容为2019年7月1日更新部分中文翻译示意图。需要说明的是,为了方便本领域技术人员查看,本实施例中将上述网址查询到的ATT&CK矩阵示意图全部引用在此,作为本实施例内容的一部分。
[0078] ATT&CK是网络攻击行为的策划知识库和模型,反一个反映各个攻击生命周期的攻击行为的模型和知识库,于2015年发布。ATT&CK的基础是一组单独的技术,这些技术代表了对手可以执行的实现目标的操作。这些目标由技术所属于的战术类别来表示。这种相对简单的表达方式在技术层面的足够的技术细节和战术层面行动的上下文之间取得了有效的平衡。ATT&CK对于理解针对已知攻击行为的安全风险,规划安全改进以及验证防御措施是否按预期工作很有用。战术与技术的关系在图一的ATT&CK矩阵中可视化展示。
[0079] 为此,为能够实现攻击全链路上进行欺骗性防御部署,提高欺骗性防御的高诱骗性,提升部署的全面性和有效性,本发明提出了一种将不同欺骗防御技术进行组合,解决了现有的应对攻击阶段性对攻击行为难以发现的问题。ATT&CK模型提供了统一且结构化的方式,去描述攻击者的手法和行为,实现对网络安全事件全貌的快速检视。申请人提出基于ATT&CK模型选取适当的欺骗性技术进行蜜阵的构建,将入侵期间可能发生的情况做出更细的划分,从攻击者的视角进行主动诱捕,打破现有的攻防不对称的局面,实现更精准、更高效的诱捕预警。
[0080] 如图2所示,根据本申请实施例的第一方面,本实施例提供一种基于ATT&CK框架进行欺骗性技术组合实现蜜阵诱捕的欺骗性防御系统,包括初始数据库和防御蜜阵;
[0081] 通过图1、网址链接提供的ATT&CK矩阵(ATT&CK矩阵能够实时更新)以及相对应的文字说明,可以明确的了解到:ATT&CK框架是一个反映各个攻击生命周期的攻击行为的模型和知识库,其提供了全攻击生命周期中每一个战术下攻击者能够采用的一个以上的攻击技术;
[0083] 主要的思想需要明确:全攻击链路上进行欺骗性防御部署需要构建一个全新的防御蜜阵,防御蜜阵要适配不同的网络情况,这就需要防御蜜阵中的欺骗防御技术是要能够组合才能解决了现有的应对攻击阶段性对攻击行为难以发现的问题,这就需要构建一个样本库(本实施例中称之为初始数据库)以从中选取不同的欺骗防御技术进行组合,初始数据库中的欺骗防御技术是通过ATT&CK模型剖析每一个相对应的攻击技术得来的。
[0084] 为此本实施例中将初始数据库和防御蜜阵做如下配置说明:
[0085] 所述初始数据库被配置为:研究ATT&CK框架中每项战术下的每个技术点的攻击技术,具体为研究网址链接提供的全部内容的ATT&CK框架中每项战术下的每个技术点的攻击技术。
[0086] 在所述初始数据库中从战术、技术两个层面给出每一个攻击技术所对应的欺骗防御技术,将所有欺骗防御技术根据网络欺骗技术的不同作用点进行层次划分,从战术、技术、作用点三个维度构建初始数据库;
[0087] 所述防御蜜阵被配置为:结合当前环境中的网络资产情况,针对攻击方在入侵期间每个阶段的行为,在战术、技术、作用点三个维度上从初始数据库中选择欺骗防御技术与当前网络资产情况进行融合,构建全方位的欺骗性防御系统。全方位可以理解(但不限定)为将欺骗防御技术贯穿攻击链路的整个生命周期。
[0088] 所述防御蜜阵被配置过程中,根据攻击者能够采取的关键步骤中的战术、技术,综合考虑需要保护设备的特点情况,包括操作系统问题、网络环境和所提供的服务等,从初始数据库选择合适的欺骗防御技术。
[0089] 作为一种优选的实施方式,本实施例中在所述防御蜜阵部署过程中,根据网络欺骗技术的不同作用点进行层次划分成四个欺骗层,分别为设备欺骗层、网络欺骗层、数据欺骗层和应用欺骗层;从初始数据库中选取适当的欺骗防御技术,结合该领域的网络情况,在设备欺骗层、网络欺骗层、数据欺骗层以及应用欺骗层的每一维度上将选取的防御技术与当前环境中网络资产情况进行融合。
[0090] 在此需要补充说明的是:ATT&CK框架中每项战术下的每个技术点的攻击技术,可参阅图1,为一张二维平面图;
[0091] 在所述初始数据库中从战术、技术两个层面给出每一个攻击技术所对应的欺骗防御技术,可以理解为在初始数据库从战术、技术两个维度形成一张对于应攻击技术的欺骗防御技术二维平面图,然后根据作用点的不用划分为四个欺骗层,可以理解为将二维平面图中的欺骗防御技术根据据网络欺骗技术的不同作用点在划分到不同的层面上从战术、技术、作用点三个维度构建初始数据库。
[0092] 本实施例提供的欺骗性防御系统还包括网络资产识别单元,用于获取当前环境中的网络资产情况,获取关键资产步骤,结合当前网络环境中的资产状况,从关键步骤中匹配出当前环境中的需要重点保护设备。
[0093] 关键资产步骤可以理解为攻击者在攻击过程中可能采用的主要攻击步骤中的关键步骤。当然也可以对当前环境的网络资产情况进行检测,得到威胁情报,从威胁情报中获取攻击事件中的资产要素。
[0094] 还包括统一管理平台,所述统一管理平台收集防御蜜阵中获取的攻击者行为数据,将其上报给管理员并对其进行关联分析;将分析结果自动化映射至ATT&CK框架中,将攻击路线可视化展示,同时结合蜜阵中每个组件记录的数据,记录攻击者的整个攻击生命周期。
[0095] 本实施例提供的ATT&CK模型来使用相关欺骗技术以构造整个防御系统,从攻击者的视角规划蜜罐、蜜网和蜜阵,将欺骗技术贯穿攻击链路的整个生命周期,对攻击者的TTP进行检测、防御和响应,从攻击者的视角进行主动诱捕,打破现有的攻防不对称的局面,实现更精准、更高效的诱捕预警。再则,采用自动化语言和框架,将欺骗防御技术模块化,提供开放插件平台,让更加理解业务的企业安全人员根据自身业务逻辑来完成相关插件的配置,自动化定制业务场景,更加贴合用户资产状况。
[0096] 根据本申请实施例的第二方面,提供一种基于ATT&CK框架的欺骗性防御系统构建方法,如图3所述,包括如下步骤:
[0097] 基于ATT&CK框架构建包含有防御技术的初始数据库;
[0098] 根据当前环境中的网络资产情况,针对攻击方在入侵期间每个阶段的行为,在战术、技术、作用点三个维度上从初始数据库中选取与当前网络资产情况相适配的欺骗防御技术构造整个防御系统,从攻击者的视角规划防御蜜阵。如图4所示,图4中仅仅示意出一部分的欺骗防御技术,完整的数据库中含有对应ATT&CK矩阵示意图的全部欺骗防御技术。
[0099] 关于防御蜜阵的构建需要补充说明的是:从当前的资产管理系统获取当前网络中的资产情况。根据这些资产情况及分析结果,在初始数据库中选取适当的欺骗防御技术。结合该领域的网络情况,在设备欺骗层、网络欺骗层、数据欺骗层和应用欺骗层每一个维度上将选取的防御技术与该单位网络资产情况进行融合,生成对应的防御蜜阵配置文件。如图4所示,示意出了12个战术下,每一个欺骗层中可能使用到的欺骗防御技术,比如初始访问战术下应用欺骗层中对应虚假应用、虚假状态采用的欺骗防御技术为snare&tanner、在设备欺骗层对应OS混淆采用的欺骗防御技术为conpot;收集战术下数据欺骗层中对应诱饵文档和诱饵活动采用的欺骗防御技术为蜜饵文档,等等。至于欺骗战术下对相应的期盼层中使用的欺骗防御技术可以参见图4,但需要补充说明的是但凡ATT&CK中已有的攻击技术,那么在初始数据可中就有一个与之相对应的欺骗防御技术,只是初始数据库中将不同战术下所采用欺骗防御技术根据作用点的不同划分到了不同欺骗层而言,图4仅仅给出了部分的示意说明。根据该防御蜜阵配置文件即可在环境中构建防御蜜阵。
[0100] 本实施例中所述步骤基于ATT&CK框架构建包含有防御技术的初始数据库中,其初始数据库的构建方法如下:研究ATT&CK框架中每项战术下的每个技术点的攻击技术;在所述初始数据库中从战术、技术两个层面给出每一个攻击技术所对应的欺骗防御技术;将所有欺骗防御技术根据网络欺骗技术的不同作用点进行层次划分,从战术、技术、作用点三个维度构建初始数据库。
[0101] 根据网络欺骗技术的不同作用点进行层次划分为四个欺骗层,分别为设备欺骗层、网络欺骗层、数据欺骗层和应用欺骗层;从初始数据库中选取适当的欺骗防御技术,结合该领域的网络情况,在设备欺骗层、网络欺骗层、数据欺骗层以及应用欺骗层一维度将选取的防御技术与当前环境中网络资产情况进行融合。
[0102] 从初始数据库中选取相适配的欺骗防御技术,结合该领域的网络情况,在设备欺骗层、网络欺骗层、数据欺骗层以及应用欺骗层每一个维度上将选取的防御技术与当前环境中网络资产情况进行融合,构建全方位的欺骗性防御系统。
[0103] 请结合图4和图5阅读下文,图4为平面示意,图5为了表述构建过程采用三维示意图,图4和图5是相对应的。图5中给出了初始数据库具体的构建方式。如图5所所示,所述初始数据库中,针对攻击行为,从战术、技术和作用点三个维度构建初始数据库;
[0104] 1)x轴是ATT&CK框架中,将入侵期间可能发生的情况,做出更细的划分,区隔出的12个策略阶段,即ATT&CK框架中的战术。
[0105] 2)z轴是ATT&CK框架中每一个战术下对应的攻击者可能使用的技术,即ATT&CK框架中的技术。
[0106] 3)y轴是欺骗性技术的层次化模型,按作用点的不同分为设备欺骗层、网络欺骗层、数据欺骗层、应用欺骗层。
[0107] 具体就是使用X轴、Y轴和Z轴分别代表战术、技术、作用点三个维度,其中,[0108] X轴代表初始数据库中,攻击生命周期中各阶段使用的战术,攻击阶段的战术至少包括初始访问、执行、常驻、提权、防御规避、凭证访问、发现、横向运动、收集、命令与控制、渗透和碰撞中的一种或者两种以上的组合;
[0109] Y轴是初始数据库中,每一个阶段下对应的攻击者使用的攻击技术;
[0110] Z轴是初始数据库中,根据攻击者攻击行为作用点的不同将攻击划分到四个欺骗层,分别为设备欺骗层、网络欺骗层、数据欺骗层和应用欺骗层;
[0111] X、Y、Z三维交叉点即为对应每个攻击战术、技术、每个欺骗层面下对应的防御性欺骗技术。
[0112] 通过连接查到全部内容的ATT&CK矩阵示意图如针对第七个战术“发现Discovery”下的技术“网络服务扫描Network Service Scanning”,该技术是:攻击者会尝试获取在远程主机上运行的服务列表,包括那些可能容易受到远程软件攻击的服务,使用相关工具进行端口扫描和漏洞扫描。那么针对该技术对端口扫描的特征,选取dionaea蜜罐来对其此行为进行诱捕发现,捕获利用提供给网络的服务所暴露的漏洞的恶意软件。
[0113] 作为一种优选的实施方式,利用网络资产识别单元获取当前环境中的网络资产情况,获取关键资产步骤,结合当前网络环境中的资产状况,从关键步骤中分析出当前环境中的需要重点保护设备。作为一种考量方式,可以从ATT&CK攻击链中模拟攻击中获取关键步骤。所述防御蜜阵被配置过程中,根据攻击者能够采取的关键步骤中的战术、技术,综合考虑需要保护设备的特点情况。
[0114] 相关欺骗性防御技术选取:综合考虑需要保护设备的特点情况,比如根据资产所提供的服务(数据库服务、业务服务)、根据资产的系统平台、根据该资产曾曝光的相关漏洞、根据资产在网络中所处位置节点、操作系统问题、网络环境、等从初始数据库选择合适的欺骗防御技术。
[0115] 如图6所示,根据本申请实施例的第三方面,提供一种基于ATT&CK的全链路欺骗性防御实现方法,包括:
[0116] 将选取的防御技术与当前环境中网络资产情况进行融合,生成对应的蜜阵配置文件;
[0117] 利用蜜阵配置文件在环境中构建防御蜜阵;
[0118] 将防御蜜阵部署在当前环境的网络系统中,利用构建的防御蜜阵将欺骗技术贯穿攻击链路的整个生命周期,对攻击者的战术、技术和过程进行检测、防御和响应,从攻击者的视角进行主动诱捕。
[0119] 如图7所示,作为一种优选的实施方式,适配当前网络的防御蜜阵是覆盖攻击者全链路上战术和技术的全方位的欺骗性防御系统,从攻击者的视角规划蜜阵,将欺骗防御技术贯穿攻击链路的整个生命周期,对攻击者的TTP即战术、技术和过程进行检测、防御和响应。
[0120] 若欺骗性防御系统全链路地记录攻击者的整个攻击生命周期,则记录该攻击者的ATT&CK的攻击框架;若欺骗性防御系统未全链路地记录攻击者的整个攻击生命周期,则根据防御系统已记录的攻击行为分析攻击者使用的攻击技术,从初始数据中选取相适配的防御技术补充至该防御蜜阵中。
[0121] 统一管理平台捕获位未知攻击,对攻击者的攻击行为进行分析,其中,[0122] 分析攻击者使用的攻击技术,若该攻击技术在初始数据库中没有相对应的防御技术;即捕获到未知攻击,将蜜阵捕获的新的攻击技术反馈给ATT&CK,并完善初始数据库;
[0123] 同时,分析攻击者行为,预测攻击者的意图,评估攻击者下一步将采取的技术方式,完善到防御蜜阵中。若防御系统在其中一种欺骗层记录了攻击者的攻击行为,但在其他三个欺骗层中的某一层面未记录攻击者的攻击行为,则防御系统结合ATT&CK对攻击方在X轴上对全战术攻击行为分析,对比现有防御系统中的蜜阵组件,从初始数据库中选取该战术行为下的相关防御技术补充至防御蜜阵中相对的欺骗层中。
[0124] 需要补充说明的是,统一管理平台收集蜜阵中获取的攻击者行为数据,将其上报给管理员并对其进行关联分析。将分析结构自动化映射至ATT&CK框架中,将攻击路线可视化展示,同时结合蜜阵中每个组件记录的数据,查缺补漏,发现该欺骗性防御系统是否全线路地记录了攻击者的整个攻击生命周期。若是,则记录该攻击者的ATT&CK的攻击框架。若不是,则根据防御系统已记录的攻击行为分析攻击者还可能使用了的技术,在初始数据中选取适当的技术补充至该防御系统。如在某单位部署该欺骗性防御系统后,第一时间感知了攻击。但对攻击者行为分析时发现防御系统仅记录了攻击者在业务区使用了初始访问的战术并利用恶意软件控制了该业务区某台设备,在服务器区也控制了某台设备,然而系统并没有记录下攻击者是如何将恶意代码从业务区扩散到服务器区的,此时结合ATT&CK的对攻击方12个粒度行为的分析,对比现有的防御系统中的蜜阵组件,发现该防御系统并未记录下攻击者横向移动一战术行为,此时在初始数据库中选取该战术行为下的相关防御技术补充至该防御系统,不断健壮防御体系。检查自身的检测能力能否对关键技术进行覆盖,比如使用代理、终端杀毒软件、系统监视器的日志所能覆盖的技术范围是否满足自己的需求。该防御系统只是在原有防御系统(即原有的防火墙、IDS等防御技术)上进行补充,旨在发现攻击,感知APT攻击。
[0125] 作为一种优选的实施方式,本实施例中将选取的防御技术与当前环境中网络资产情况进行融合,生成对应的蜜阵配置文件的步骤中,有三种选取方式:
[0126] 方式一:全选
[0127] 按照上述,整个初始数据库是按照ATT&CK进行全链路设计,在部署的时候,全部选择所有的欺骗防御技术构建成防御蜜阵,做到全覆盖;
[0128] 方式二:初选
[0129] 根据网络资产情况,四个欺骗层中,每一个欺骗层中至少配置有一个蜜罐,每一个蜜罐中至少配置有一种战术,每个战术中都至少配置一个欺骗防御技术,即从初选上保障战术和四个欺骗层的覆盖;
[0130] 方式三:优选
[0131] 结合ATT&CK中各APT组织利用率最高的战术和技术,重点选择10-12个技术作为选择欺骗防御技术的依据,覆盖常见攻击技术;
[0132] 生成对应的蜜阵配置文件采用上述三种方式中的任意一种。
[0133] 本实施例至此已在上文对基于ATT&CK的欺骗性防御系统、该防御系统如何构建以及说明了使用构建的防御系统在全链路防御实现方法。
[0134] 在此用一个流程示意图来补充说明下,请参阅图8所示。
[0135] ATT&CK框架,基于欺骗性技术的作用点给出其每一个战术每一个技术下对应的防御技术,组建全覆盖的蜜阵框图。根据单位具体网络情况以及相关资产设备,选取蜜阵框图中合适的防御技术组成该单位的蜜阵。
[0136] 全覆盖蜜阵框图的构建:研究每项战术下的每个技术点的攻击手法,以欺骗性技术为核心给出每个技术相应的防御技术,结合作用点的不同,划分为应用层、数据层、网络层以及设备层防御技术,从战术、技术、作用点三个维度构建全覆盖的防御蜜阵。
[0137] 根据常见的几种领域(如学校、政府等),了解该领域的网络资产情况,以ATT&CK框架数据为对手资料参考源,对对手的战术、技术进行分析,选取对手对该领域设备资产可能使用的战术、技术对应的防御技术。同时结合该领域的网络情况,在应用层、数据层、网络层以及设备层每一个维度上将选取的防御技术与该单位网络资产情况进行融合,给出对应领域的具体蜜阵配置文件,确定该蜜阵的每个组件(即选取的欺骗防御技术)。
[0138] 根据单位所属领域或与某领域的网络资产情况的相关性,选取蜜阵配置文件。
[0139] 根据其配置文件,在环境中具体部署对应欺骗性技术。
[0140] 当蜜阵中组件发现攻击时立即上报。同时统一管理平台收集蜜阵中获取的攻击者行为数据,并对其进行分析,将分析结果映射至ATT&CK框架中,将攻击路线可视化。
[0141] 将攻击者行为与该防御系统进行对比,查缺补漏,发现防御系统是否全路线地记录了攻击者的整个攻击生命周期。若是,则记录该攻击者的ATT&CK的攻击框架。若不是,则根据防御系统已记录的攻击行为分析攻击者还可能使用了的技术,在全覆盖的蜜阵框架中选取适当的技术补充至该防御系统。
[0142] 上文记载到:相关欺骗性防御技术选取:综合考虑需要保护设备的特点情况,比如根据资产所提供的服务(数据库服务、业务服务)、根据资产的系统平台、根据该资产曾曝光的相关漏洞、根据资产在网络中所处位置节点、操作系统问题、网络环境等从初始数据库选择合适的欺骗防御技术。
[0143] 需要关注到两个方面:第一方面:了解该领域的网络资产情况,获取关键资产步骤,结合当前网络环境中的资产状况,从关键步骤中匹配出当前环境中的需要重点保护设备。第二方面:根据单位具体网络情况以及相关资产设备,从初始数据库中选取防御蜜阵中合适的防御技术组成该单位的防御蜜阵。
[0144] 比如在工业控制环境中部署本发明,主要针对一些工业恶意软件,可以如下几个方面考虑(仅作实例说明,并非为限定性说明),比如工业控制环境中的网络环境、操作系统问题、资产在网络中所处位置节点、资产所提供的数据库服务和业务服务、所处的系统平台等方面考虑等,其主要的目的就是为了能够优化一个即节省经济(并非所有的网络环境都需要使用全欺骗防御技术的覆盖)又能够相对提供全方位的防御蜜阵,为了是能够得到一个非常匹配现有资产的防御蜜阵,其重点体现在选取哪些欺骗防御技术组合形成蜜阵。
[0145] 除了上述几个方面的考虑因素之外,作为本领域的技术人员,还可以考虑该资产曾曝光的相关漏洞,这是一个需要重点防御的点。为了让阅读者能够明了,现对以往已发生的攻击行为进行分析,知过去才能明未来。但需要重点说明,其目的是为了得到资产曾曝光的相关漏洞,本领域技术人员可以采用这种思路方式进行分析而已。本专利即便在组建防御蜜阵时,未得到曾曝光的相关漏洞,而导致防御蜜阵中未含有相关的欺骗防御技术的这一情况,通过本专利技术也能实现自动防御,并将该漏洞作为新的攻击技术将其归纳至ATT&CK框架,并不断完善防御系统。另外ATT&CK框架是实时更新的,既然是曾曝光的相关攻击技术,ATT&CK框架就会有更新记录,初始数据库也随之更新,在此就不做过多赘述。再者,提供以往已发生的攻击行为进行分析,也为为了方便对后文防御方案有个比对,方便阅读者快速理解。
[0146] 现在列举一个应用实例,比如在工业控制中针对ICS环境的Triton网络攻击中,针对资产曾曝光的相关漏洞作为从初始数据库选择合适的欺骗防御技术的举例说明。
[0147] 以工业恶意软件Triton为例,Triton恶意软件能够重编程施耐德电气公司制造的Triconex安全仪表系统控制器。这些控制器是避免工业设施关键故障和潜在灾难的最后一道防线,只要超出安全运营参数便可自动关停设备和过程。
[0148] 如图9所示,Triton恶意软件在工业控制环境中已经曝光的使用的相关攻击技术。就其基于MITRE ATT&CK框架的分析流程大致说明如下:
[0149] 1、攻击者潜藏进入安全仪表系统(SIS)工程工作站,攻击者就可以扫描受感染网络来识别ICS设备包括操作员和工程师工作站、人机界面、Windows服务器或控制器(PLC,RTU或DCS控制器)——以识别攻击目标中的资产详情。
[0150] 2、Triton攻击者获得OT网络访问权,比如使用键盘记录器和截屏工具、浏览文件、渗漏大量信息等。他们使用的大多数攻击工具都落脚在网络侦察、横向移动和在目标环境中驻留上。
[0151] 3、用公开和定制后门、Web shell及凭证获取工具,规避杀软检测,保持隐秘驻留。
[0152] 4、用于控制和监视工业过程的可编程逻辑控制器(PLC)通常在专用工程工作站上通过其制造商提供的特殊软件来编程。编程Triconex安全控制器的软件名为TriStation,采用未公开私有协议编程PLC,但该私有协议被攻击者逆向工程后用来创建了Triton恶意软件,通过感染SIS可编程逻辑控制器(PLC)来获取通往最终目标的通道。
[0153] 5、防御规避:Triton组织在入侵时用到的一些技术包括重命名文件以模仿Windows更新包,使用RDP和PsExec等标准工具以藏身于典型管理行为中,通过混入合法文件在Outlook Exchange服务器上植入Web shell,使用加密SSH隧道,在使用后删除工具和日志以避免留下踪迹,修改文件时间戳,以及在非正常工作时间段操作以避免被发现等等。
[0155] 7、在最后一个阶段中,恶意软件会取代现有的逻辑,并将新的梯形逻辑(一种编程语言)上传到控制器(PLC,RTU或DCS控制器)中。由于这一逻辑决定了自动化流程的执行方式,因此使用恶意有效负载进行更改或替换会导致系统、环境和人员的各种操作中断甚至物理损坏。
[0156] 如图10所示是图9相对应的欺骗防御技术,这些欺骗防御技术存储在初始数据库中,在防御蜜阵的构建中就需要从初始数据库中选择如图9所示的欺骗防御技术,当然这只是从一个角度分析防御蜜阵中需要含有的防御技术,还需要如上文所述的其他角度尽量多的考虑,如此才能选择出一个相适配当前网络资产情况的还有多种有针对性防御欺骗技术组合的防御蜜阵。
[0157] 针对ICS环境的Triton网络攻击,本发明的防御方案如下:
[0158] 1、通过以上基于MITRE ATT&CK框架的分析,可将该框架的数据当做详细的对手资料参考源,看出对手以施耐德电气生产的Triconex安全仪表控制系统(SIS)为攻击目标,因此SIS系统中的相关IT、OT设备(如工程师站、PLC等)都极为重要。
[0159] 2、同时,了解当前ICS环境中的相关网络情况:当前环境共有多少个工程师站以及他们的通信情况如何,共有多少个PLC设备,与网络连接的设备共有多少等。根据1中的分析重点盘查SIS系统中的网络设备情况。
[0160] 3、针对2中获取的网络设备情况,在上文提到的蜜阵矩阵中选取一定量且合适的相关欺骗性技术进行组合,给出对应的配置文件。如一个子站点部署一个PLC仿真设备(conpot:上文提到的蜜阵矩阵中的一个欺骗性技术),迷惑攻击者的同时也能获取攻击者的恶意样本,提前发现Triton的隐藏情况。在相关工程师站设备上部署文件监控(文件监控:上文提到的蜜阵矩阵中的一个技术),当Triton组织通过混入合法文件而植入webshell时就能及时感知。在SIS系统相关节点旁路部署opencanary、dionaea(opencanary、dionaea:上文提到的蜜阵矩阵中的一个欺骗性技术),将蜜罐与SIS系统融合,获取攻击者在网络中建立初始立足点后的行为信息,发现攻击者的执行、常驻、横向移动等行为数据。同时结合随机地址跳变和随机指纹等技术(随机地址跳变、随机指纹等技术均为欺骗性技术的一种)限制攻击者扫描、发现、识别和定位网络目标。
[0161] 4、利用配置文件写出对应的安装脚本,通过安装脚本在环境中实际部署相关组件。
[0162] 5、统一管理平台收集各组件的数据,发现攻击行为后立即上报并通知相关人员。同时,将行为数据基于MITRE ATT&CK框架分析,分析攻击者的TTP,对比现有的防御系统与攻击者的攻击行为,若发现了新的攻击技术和工具,则将其归纳至ATT&CK框架,并不断完善防御系统。若无新的攻击技术和工具,则对比其攻击路线对现有的防御系统进行查缺补漏。
[0163] 另外一个实施例子,以常见的企业web渗透为例,如图11所示,
[0164] 1、从当前的资产管理系统获取当前网络中的资产情况,如图11(该网络中重要资产有服务器、用户PC及网络设备(路由、交换机等)。
[0165] 2、获取关键步骤,并从关键步骤中分析中当前环境中的需要重点保护设备。如该环境下攻击者可能会从web服务器入手,进而获取到数据库服务器的权限,在隐蔽自身进行规避防御的情况下将恶意代码扩散,进而达到获取数据、破坏业务、牟取暴利的目的。
[0166] 3、因此根据这个关键步骤,结合ATT&CK框架进行分析,对手可能采用初始访问、执行、规避防御、横向移动四个关键战术,通过其下的相关技术进行攻击。此时根据对手所可能采取的关键步骤中的战术、技术,综合考虑需要保护设备的特点情况,如服务器操作系统问题、网络环境、所提供的服务(数据库服务、业务服务)等从初始数据库选择合适的欺骗防御技术。
[0167] 防御蜜阵中相关欺骗性防御技术选取:
[0168] 1、初始访问。攻击者首先需要进行信息收集,了解该企业内部相关网络情况及相关设备型号、应用版本等。在此阶段,选取Snare/Tanner、MysqlPot(Snare/Tanner、MysqlPot均为蜜阵框图中的技术)组网(即蜜网),在引诱攻击者的同时能够延缓攻击。同时,在交换机处使用随机地址跳变,迷惑攻击者,打破现有的静态网络环境的状况。
[0169] 2、执行。在服务器网段和用户网段部署opencanary,模拟多种应用和服务,当攻击者使用时记录其行为。
[0170] 3、防御规避。在邮件服务器、数据库服务器、文件服务器这些核心资产上使用文件监控、进程监控技术(文件监控、进程监控均为蜜阵框图中的技术),发现攻击者删除日志、隐藏恶意行为等规避情况。
[0171] 4、横向移动。在各个网段部署dionaea(蜜阵框图中的一个技术),捕获横向移动攻击恶意样本,第一时间发现上报,防止病毒扩散。
[0172] 5、部署完对应组件后,收集对应行为数据并进行联合分析。基于ATT&CK框架给出其可视化的攻击路线和手法,再通过其攻击手法不断完善该环境下的防御系统。
[0173] 攻击来临,首先当攻击者进行初始访问时,由于在攻击者进行信息收集时明显能探测到的位置部署了相关蜜罐,此时有极大的概率能够捕捉到攻击者的相关恶意行为。而在攻击者进入信息收集阶段的相关web蜜罐时,与之相交互的是另一个数据库诱饵,里面存放了相关的脱敏数据,层层引诱攻击者深入,获得攻击者进一步的攻击画像。一旦欺骗性防御系统获取了攻击数据,便会立即上报管理员,做好防御措施。若攻击者在初始访问一阶段并没有进入相关蜜罐,此时通过其他手段(如社工等技术手段)获取了该企业网络的入口,则在攻击者进一步执行,准备了解该企业的网络架构获得更多企业网络信息时,由于在交换机处使用了随机地址跳变,让攻击者无法有效识别目标节点。此时若攻击者仍想要扩大其攻击,只能随机或批量对企业网络中的设备进行攻击,此时蜜罐便能很大程度上地收集到攻击者的行为数据。若攻击者就此停止攻击,则已达到防御目的。若攻击者仍在不断尝试攻击,通过已捕获的攻击者行为数据对其进行发现溯源,同时将之前捕获到的攻击者行为数据在ATT&CK框架中进行映射,分析攻击者组织及攻击战术等,分析出其攻击目的后对相关资产设备进行加强保护。攻击结束后,再对所有捕获的数据进行关联分析,获得攻击者的全生命周期路线,不断健壮完善防御系统。
[0174] 随机地址跳变解释:随机化IP地址,网络身份不断随机变化,让攻击者无法有效识别目标节点,更不能锁定目标实施攻击,从根本上阻止网络攻击行为的发生。
[0175] 可以理解的是,上述各实施例中相同或相似部分可以相互参考,在一些实施例中未详细说明的内容可以参见其他实施例中相同或相似的内容。
[0176] 需要说明的是,在本申请的描述中,术语“第一”、“第二”等仅用于描述目的,而不能理解为指示或暗示相对重要性。此外,在本申请的描述中,除非另有说明,“多个”的含义是指至少两个。
[0177] 流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本申请的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本申请的实施例所属技术领域的技术人员所理解。
[0178] 应当理解,本申请的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
[0179] 本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
[0180] 此外,在本申请各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。
[0181] 上述提到的存储介质可以是只读存储器,磁盘或光盘等。
[0182] 在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本申请的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
[0183] 尽管上面已经示出和描述了本申请的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本申请的限制,本领域的普通技术人员在本申请的范围内可以对上述实施例进行变化、修改、替换和变型。
| 标题 | 发布/更新时间 | 阅读量 |
|---|---|---|
| 基于PRMATC算法的知识库补全方法 | 2020-05-08 | 93 |
| 面向海量非结构化文本的知识图谱自动构建方法及系统 | 2020-05-08 | 688 |
| 一种基于机器学习的HTTP流量特征识别与提取方法 | 2020-05-11 | 651 |
| 一种基于知识图谱的辅助诊疗系统 | 2020-05-15 | 233 |
| 一种功能评估与干预系统 | 2020-05-11 | 127 |
| 一种云数据临床医学教育培训过程的形成性评价优化系统 | 2020-05-14 | 959 |
| 一种基于大数据的教师培养系统 | 2020-05-15 | 375 |
| 一种基于物联区块链技术的LNG能源管理的方法 | 2020-05-11 | 979 |
| 一种用于大型赛事赛时运行管理的系统及方法 | 2020-05-15 | 830 |
| 一种消防员体能训练考核管理系统 | 2020-05-08 | 936 |
高效检索全球专利专利汇是专利免费检索,专利查询,专利分析-国家发明专利查询检索分析平台,是提供专利分析,专利查询,专利检索等数据服务功能的知识产权数据服务商。
我们的产品包含105个国家的1.26亿组数据,免费查、免费专利分析。
分析报告
专利汇分析报告产品可以对行业情报数据进行梳理分析,涉及维度包括行业专利基本状况分析、地域分析、技术分析、发明人分析、申请人分析、专利权人分析、失效分析、核心专利分析、法律分析、研发重点分析、企业专利处境分析、技术处境分析、专利寿命分析、企业定位分析、引证分析等超过60个分析角度,系统通过AI智能系统对图表进行解读,只需1分钟,一键生成行业专利分析报告。
QQ群二维码
意见反馈
意见反馈