來源:https://nigesecurityguy.wordpress.com/2013/11/12/apt-detection-framework/

在過去的十年中，有大量關(guān)于使用智能數(shù)據(jù)分析的入侵檢測(cè)研究，并有在商業(yè)產(chǎn)品中的實(shí)現(xiàn)，但仍然存在一些挑戰(zhàn)。有效性、準(zhǔn)確性和可伸縮性是IDS技術(shù)設(shè)計(jì)、實(shí)現(xiàn)和操作的關(guān)鍵考慮因素。

這個(gè)博客提出了一個(gè)APT檢測(cè)框架，它可以用于高級(jí)的多步驟威脅場(chǎng)景分析和檢測(cè)系統(tǒng)設(shè)計(jì)——根據(jù)新的威脅和/或危害的指標(biāo)來確定一個(gè)組織的差距，并進(jìn)行迭代改進(jìn)。

一、APT難題

對(duì)組織的高級(jí)威脅和隱蔽的定向目標(biāo)攻擊正在增加復(fù)雜性和持久性。這些更復(fù)雜的攻擊旨在滲透網(wǎng)絡(luò)獲取關(guān)鍵的知識(shí)產(chǎn)權(quán)和/或敏感數(shù)據(jù)，以用于財(cái)務(wù)或競爭收益。與幾年前的網(wǎng)絡(luò)攻擊不同的是，攻擊者需要更多的時(shí)間和精力來保持未被發(fā)現(xiàn)。

常見的入侵檢測(cè)方法缺乏檢測(cè)此類復(fù)雜攻擊的能力。他們不把個(gè)別可疑事件與發(fā)現(xiàn)這些高級(jí)攻擊聯(lián)系起來。因此，需要一種新的檢測(cè)方法來考慮這些高級(jí)持續(xù)威脅的多步特性。

二、智能數(shù)據(jù)分析

為了開始理解并能夠抵御定向目標(biāo)攻擊，我們需要一個(gè)檢測(cè)矩陣來進(jìn)行可視化和分析，以確保所有的威脅場(chǎng)景都被認(rèn)為沒有漏洞。該矩陣可作為一種工具，將攻擊特征與分析方法和業(yè)務(wù)標(biāo)準(zhǔn)聯(lián)系起來。

傳統(tǒng)的基于關(guān)聯(lián)引擎的檢測(cè)算法仍然是需要的，但是攻擊者的高級(jí)方法需要使用額外的智能數(shù)據(jù)，例如，在安全信息和事件管理(SIEM)系統(tǒng)中可以關(guān)聯(lián)的指標(biāo)或觸發(fā)器。

[我們?cè)贏PT策略系列的下一個(gè)博客將討論感染指標(biāo)(IOCs)以及更詳細(xì)的APT檢測(cè)用例，以便更充分地利用SIEM成熟度模型中的SIEM。]

提出的檢測(cè)矩陣被用來作為設(shè)計(jì)和發(fā)展一個(gè)能夠檢測(cè)高級(jí)持續(xù)性威脅的整體安全系統(tǒng)的路線圖。使用來自威脅場(chǎng)景開發(fā)的用例來評(píng)估結(jié)果系統(tǒng)設(shè)計(jì)的差距和弱點(diǎn)。這些APT威脅場(chǎng)景用例說明，并非所有攻擊者的活動(dòng)都將僅由當(dāng)前的技術(shù)來檢測(cè)，而且人類對(duì)系統(tǒng)所產(chǎn)生的指標(biāo)的分析仍然是必要的。建議的框架能夠分析和考慮關(guān)鍵問題，例如：

高級(jí)持續(xù)性威脅的結(jié)構(gòu)是什么?

哪些指標(biāo)可用于檢測(cè)APTs?

什么業(yè)務(wù)需求、政策、資產(chǎn)影響檢測(cè)系統(tǒng)的設(shè)計(jì)?

什么設(shè)計(jì)選擇導(dǎo)致檢測(cè)系統(tǒng)可以檢測(cè)APTs?

系統(tǒng)設(shè)計(jì)能在多大程度上檢測(cè)APTs?

三、APT檢測(cè)框架

提出的APT檢測(cè)框架將多步攻擊和低水平攻擊方法的高層攻擊結(jié)構(gòu)映射到檢測(cè)系統(tǒng)的設(shè)計(jì)，既包括自動(dòng)化技術(shù)，也包括額外的工具和技術(shù)。所提議的框架構(gòu)建為一個(gè)矩陣，其中的行用于表示不同的攻擊步驟，而列表示與攻擊和檢測(cè)相關(guān)的不同組件。

建議的框架如下所示。

APT Detection Framework Overview

第一列，攻擊步驟包含了一個(gè)可以識(shí)別的APT的不同階段，同時(shí)也顯示了這些步驟的重疊部分，這些活動(dòng)在本質(zhì)上是不同的，但是同時(shí)執(zhí)行的。例如，命令和控制實(shí)際上包括步驟2到7(在左邊看到垂直的藍(lán)線)，還有一些其他的步驟與其他步驟并行執(zhí)行，而不是嚴(yán)格按照APT簽名執(zhí)行。這個(gè)框架有八個(gè)步驟，但是每個(gè)具體的攻擊簽名可能會(huì)有所不同，或者隨著時(shí)間的推移會(huì)發(fā)生變化。

攻擊方法列出了在步驟中使用的各種方法。攻擊特性更詳細(xì)，它被用來識(shí)別和描述可檢測(cè)的指示器或觸發(fā)器。在第四列中列出了這些攻擊和方面可以被檢測(cè)和/或控制點(diǎn)所包含的檢測(cè)位置。

下一列，分析方法將以前的列鏈接到常用的檢測(cè)方法。該列包含了前面列中檢測(cè)方法所使用的分析方法的描述。

最后兩列包含的類別不是攻擊本身的一部分，而是影響對(duì)它們的防御的選擇。業(yè)務(wù)方面受到APT的可能影響或其步驟的發(fā)生的影響。一個(gè)APT發(fā)生的代價(jià)應(yīng)該被看作是一個(gè)指導(dǎo)方針，并且如果這是一個(gè)組織應(yīng)該建立和操作的能力，它應(yīng)該是由一個(gè)合作伙伴或者外包的管理服務(wù)來進(jìn)行的。

從業(yè)務(wù)的角度來看，檢測(cè)系統(tǒng)的準(zhǔn)確性是最重要的方面。帶有太多假陽性的噪聲系統(tǒng)具有較高的操作成本，但是一個(gè)系統(tǒng)如果沒有攻擊，就不能防止損失。成本/收益分析表明，使用多種方法的系統(tǒng)從成本角度來看比較好。

四、使用檢測(cè)框架

APT檢測(cè)框架可以以不同的方式使用。它可以用于分析攻擊場(chǎng)景，從詳細(xì)分析到一般分析。下面的圖說明了兩個(gè)過于簡化的步驟，例如在一個(gè)高級(jí)別的模型中使用案例攻擊。

APT Detection Framework Example

在APT檢測(cè)框架-第2部分中，我們將為讀者提供更詳細(xì)的示例集，并在每個(gè)APT檢測(cè)框架矩陣單元格上提供更多的描述。

五、APT檢測(cè)系統(tǒng)設(shè)計(jì)

使用該框架的另一種方法是將其作為開發(fā)更全面和不斷發(fā)展的檢測(cè)系統(tǒng)的路線圖。攻擊分析是系統(tǒng)設(shè)計(jì)選擇的輸入，也是分析方法的最終選擇。這可以用來識(shí)別指示器和/或觸發(fā)組合，然后將它們組合在一個(gè)SIEM中，以關(guān)聯(lián)和警報(bào)組合，以進(jìn)一步調(diào)查潛在的可疑活動(dòng)。

APT Detection System Design

第一個(gè)列給出攻擊步驟，并使用APT的結(jié)構(gòu)。第二列的攻擊方法顯示了實(shí)際的方法，如拒絕服務(wù)攻擊或與僵尸網(wǎng)絡(luò)相關(guān)的惡意軟件。攻擊端口或控制消息之類的組件是這些攻擊的一般方面，可以用于檢測(cè)。這些特征可以用來檢測(cè)。location列構(gòu)成了攻擊和檢測(cè)方法之間的鏈接。位置的選擇限制了可用的攻擊特征來檢測(cè)。檢測(cè)方法列包含檢測(cè)技術(shù)，如病毒掃描器、防火墻、蜜罐和交通捕捉設(shè)備，目前正在用于檢測(cè)。

六、結(jié)論

APTs是一個(gè)復(fù)雜的攻擊場(chǎng)景，使用不同的低級(jí)別攻擊方法來實(shí)現(xiàn)預(yù)定目標(biāo)的多步驟方法。它們的執(zhí)行比普通攻擊更隱蔽。這通常是通過專門定點(diǎn)員工或利用零日業(yè)績來實(shí)現(xiàn)的。這種隱形的方法使得檢測(cè)APTs的難度加大，比如防火墻和病毒掃描器。一種檢測(cè)APTs的方法應(yīng)該針對(duì)不同的攻擊場(chǎng)景元素。本博客所提供的框架可以幫助分析APT威脅場(chǎng)景，目的是創(chuàng)建一種APTs的檢測(cè)手段。

有效性、準(zhǔn)確性和可伸縮性是IDS的技術(shù)設(shè)計(jì)、實(shí)現(xiàn)和操作的關(guān)鍵考慮因素。該檢測(cè)矩陣的應(yīng)用為攻擊分析和檢測(cè)設(shè)計(jì)提供了很好的方法。智能數(shù)據(jù)分析方法被證明可以在APT防御深入的工具包中作為另一層來改進(jìn)檢測(cè)，但它仍然不能替代諸如簽名和異常檢測(cè)等其他技術(shù)。