攻击溯源过程

目录

• 基础流程
• 产生假设
• 数据调查
• 识别溯源
• 自动化分析

基础流程

为了提高攻击溯源效率，建立完整的攻击溯源过程非常重要。

Sqrrl安全公司开发了一个威胁狩猎典型模式

下图所示共包含产生假设、数据调查、识别溯源和自动化分析四个迭代循环的步骤。

迭代的效率越高，越能自动化新流程，尽早发现新的威胁。

产生假设

攻击溯源从某种活动假设开始，高层次上可以通过风险算法自动生成假设。

例如，风险评估算法可以得到基于APT生命周期的行为分析
(如建立立足点、升级特权、横向移动行为等)，并将其量化为风险评分，为溯源分析提供开端。

下图展示了安全公司Mandiant提出的APT攻击生命周期模型。

数据调查

当前的追踪溯源技术主要分为两种：被动和主动技术。

被动性技术包括针对潜在恶意行为警报进行取证调查和攻击假设测试。

主动溯源追踪技术依靠网络威胁情报产生攻击假设，主动搜索潜在的恶意行为。

在这两种情况下都可以使用安全信息及事件管理中存储的数据进行调查，
帮助安全分析师更好地调整假设用来发现正在进行的APT攻击。

不论采用哪种方式，都需要通过各种各样的工具和技术研究假设。

有效的工具将利用关联分析技术如可视化、统计分析或机器学习等融合不同的网络安全数据。

识别溯源

识别溯源的过程也是新的模式和TTP（Tactics, Techniques, and Procedures）发现的过程。

工具和技术揭示了新的恶意行为模式和对手的TTP，这是溯源周期的关键部分。

MITRE开发了如下图所示的ATT&CK框架 ，ATT&CK是一个基于现实世界的观察攻击者战术和技术的全球可访问的知识库，
包含11种战术，每一种又包含数十种技术，将攻击者行为转化为结构化列表进行表示。

ATT&CK框架

自动化分析

SANS认为自动化是发现威胁的关键。

传统上溯源分析是一个手动过程，安全分析师运用相关知识对各种来源的数据验证假设。

为了更加高效地进行攻击溯源分析，可以部分自动化或由机器辅助。

在这种情况下，分析师利用相关分析软件得知潜在风险，再对这些潜在风险分析调查，跟踪网络中的可疑行为。

因此攻击溯源是一个反复的过程，从假设开始以循环的形式连续进行。

笔记来源于： 浅谈网络攻击溯源技术（上篇_威胁 (sohu.com)