Lockheed Martin 公司的《Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains》^[1]闷供，除了大家耳聞能詳?shù)臍㈡溎Ｐ停嘣诮榻B如何利用殺鏈進(jìn)行安全分析和情報(bào)能力建設(shè)。這部分內(nèi)容之前介紹不多壁畸，于是根據(jù)自己的理解形成一則讀書筆記在此分享絮吵。

背景

文章發(fā)表于2011年，時(shí)值 APT 興起淘邻。文中認(rèn)為似将，傳統(tǒng)“以漏洞為中心”的防御機(jī)制失效。同時(shí)傳統(tǒng)的事件響應(yīng)方法也并不適用末秃，原因在于傳統(tǒng)方法有兩個(gè)錯(cuò)誤的前提假設(shè)：響應(yīng)只會(huì)發(fā)生在失陷之后（對(duì)應(yīng)殺鏈模型概页，需要在入侵前期進(jìn)行響應(yīng)），且失陷由可修補(bǔ)的缺陷導(dǎo)致（對(duì)應(yīng)APT中采用0-day）练慕。因此惰匙，針對(duì) APT 入侵的事件響應(yīng)，需要在分析方法铃将、流程以及技術(shù)上的演進(jìn)项鬼。甚而希望基于對(duì)威脅的理解，能預(yù)計(jì)到并能緩解未來的入侵風(fēng)險(xiǎn)劲阎。

在此背景下绘盟，三位作者提出了以殺鏈為分析框架，并進(jìn)一步闡述如何分析攻擊對(duì)手悯仙，如何生成和應(yīng)用情報(bào)龄毡，如何進(jìn)行動(dòng)態(tài)檢測、防御和響應(yīng)锡垄，建立“情報(bào)驅(qū)動(dòng)的網(wǎng)絡(luò)防御（Intelligence-driven Computer Network Defense 或 Intelligence Driven Defense）”沦零。

所謂情報(bào)驅(qū)動(dòng)防御，文中認(rèn)為是一種以威脅為中心的風(fēng)險(xiǎn)管理戰(zhàn)略货岭，核心是針對(duì)對(duì)手的分析路操，包括了解對(duì)方的能力、目標(biāo)千贯、原則以及局限性屯仗，幫助防守方獲得彈性的安全態(tài)勢（resilient security posture），并有效指導(dǎo)安全投資的優(yōu)先級(jí)（比如針對(duì)某個(gè)戰(zhàn)役識(shí)別到的風(fēng)險(xiǎn)采取措施搔谴，或者高度聚焦于某個(gè)攻擊對(duì)手或技術(shù)的安全措施）魁袜。情報(bào)驅(qū)動(dòng)防御必然是一個(gè)持續(xù)、迭代的過程敦第，通過分析慌核、協(xié)同發(fā)現(xiàn)指標(biāo)，利用“指標(biāo)”去檢測新的攻擊活動(dòng)申尼，在調(diào)查過程又獲得更豐富的指標(biāo)垮卓。所謂彈性，是指從完整殺鏈看待入侵的檢測师幕、防御和響應(yīng)粟按，可以通過前面某個(gè)階段的已知指標(biāo)遏制鏈條后續(xù)的未知攻擊诬滩；針對(duì)攻擊方技戰(zhàn)術(shù)重復(fù)性的特點(diǎn)，只要防守方能識(shí)別到灭将、并快于對(duì)手利用這一特點(diǎn)疼鸟，必然會(huì)增加對(duì)手的攻擊成本。

下面先簡要介紹殺鏈在整個(gè)情報(bào)驅(qū)動(dòng)防御模型中的作用庙曙，然后重點(diǎn)介紹情報(bào)驅(qū)動(dòng)的安全分析以及情報(bào)能力的建設(shè)空镜。

殺鏈（Intrusion/Cyber Kill Chain）

作者認(rèn)為，在APT 場景下需要對(duì)入侵有一個(gè)全新的理解捌朴，也即入侵是攻擊者分階段的進(jìn)展而不局限于單次事件吴攒。于是他們將美國軍方的 Kill Chain 概念（F2T2EA模型）應(yīng)用到信息安全領(lǐng)域，用七個(gè)階段結(jié)構(gòu)化整個(gè)入侵過程：踩點(diǎn) （Reconnaissance）砂蔽、組裝（Weaponization）洼怔、投送（Delivery）、攻擊（Exploitation）左驾、植入（Installation）镣隶、控制（C2）、收割（Actions on Objectives）诡右。對(duì)應(yīng)入侵每一階段安岂，防守方通過對(duì)入侵信息的了解，分析提煉出描述入侵信息的指標(biāo)（Indicator）形成情報(bào)帆吻，并映射為相應(yīng)的行動(dòng)步驟（courses of action掖棉，CoA ）餐塘，起到檢測蝶糯、緩解以及響應(yīng)的作用叮趴。

除了階段性的解構(gòu)样眠，殺鏈模型有如下兩個(gè)重要價(jià)值友瘤，在動(dòng)態(tài)攻防對(duì)抗中，使防守方可能具備優(yōu)勢檐束。

• “chain”的概念辫秧，意味著攻擊方需要完成上述七個(gè)階段的步驟才能達(dá)成目標(biāo)，而防御方在某個(gè)階段采取相應(yīng)措施后就可能破壞整個(gè)鏈條被丧、挫敗對(duì)手盟戏。
• APT攻擊的特點(diǎn)，對(duì)手會(huì)反復(fù)多次進(jìn)行入侵甥桂，并根據(jù)需要在每次入侵中進(jìn)行技戰(zhàn)術(shù)調(diào)整柿究。考慮經(jīng)濟(jì)性黄选，多次入侵中技戰(zhàn)術(shù)必然有重復(fù)性和連續(xù)性蝇摸。只要防守方能識(shí)別并快于攻擊方利用好這一特點(diǎn)婶肩，必然迫使對(duì)手進(jìn)行調(diào)整、從而增加其攻擊成本貌夕。

情報(bào)驅(qū)動(dòng)的安全分析

關(guān)于情報(bào)驅(qū)動(dòng)的安全分析律歼，文中介紹了兩類重要的方法：入侵重構(gòu)（Intrusion Reconstruction ）和戰(zhàn)役分析（Campaign Analysis ）。

入侵重構(gòu)（Intrusion Reconstruction ）

殺鏈分析用于指導(dǎo)分析師完整地理解入侵過程啡专。在這種新的分析模型下险毁，分析師需要盡可能多地發(fā)現(xiàn)每階段的屬性，而不局限于單點(diǎn)信息们童。文中介紹了兩種入侵重構(gòu)的分析場景例子畔况。一種是檢測到入侵后期的活動(dòng)，分析師需要完成針對(duì)之前所有階段的分析病附。第二種檢測發(fā)生在入侵前期问窃，則需要對(duì)后續(xù)階段做分析。

第一種情況完沪，如下圖所示域庇，在C2控制階段檢測到某次入侵。分析師必須認(rèn)為攻擊者在之前所有階段都已成功覆积，并需要對(duì)此進(jìn)行還原分析听皿。舉例來說，如不能復(fù)現(xiàn)入侵的投送階段宽档，那么就不可能在同一對(duì)手下次入侵的投送階段采取有效的行動(dòng)尉姨。而攻擊方考慮經(jīng)濟(jì)性，一定會(huì)重用工具和架構(gòu)吗冤，防守方在殺鏈中應(yīng)用這類情報(bào)又厉，將迫使對(duì)手在后續(xù)入侵中進(jìn)行調(diào)整。

入侵后期檢測分析.png

第二種情況椎瘟，則是指針對(duì)失敗入侵的分析也同樣重要覆致。文中提出了一種叫合成分析（Synthesis）的方法，如下圖所示肺蔚。防守方需要對(duì)已檢測和防御到的入侵活動(dòng)煌妈、盡可能全面地收集和分析數(shù)據(jù)，合成出未來入侵中可能繞過當(dāng)前有效防御機(jī)制宣羊、在后續(xù)階段采用的技戰(zhàn)術(shù)璧诵。文中舉例說明，基于已知指標(biāo)仇冯，阻斷掉了一次定向惡意郵件之宿。通過殺鏈分析，發(fā)現(xiàn)在后續(xù)階段會(huì)用到新的exploit或者后門苛坚。防守方針對(duì)該分析結(jié)果澈缺，比攻擊方更快采取措施坪创，則可繼續(xù)保持戰(zhàn)術(shù)優(yōu)勢。

入侵早期檢測分析.png

文章第四節(jié)有一個(gè)實(shí)際案例分析姐赡，針對(duì)第一次入侵莱预，應(yīng)用情報(bào)防御了一個(gè)已知 0-day。通過每一次入侵的完整分析项滑，獲得更多指標(biāo)依沮。最后針對(duì)第三次入侵，通過投送階段的已知指標(biāo)（downstream IP地址：216.abc.xyz.76）遏制住了本次入侵后續(xù)階段的未知0-day攻擊枪狂。

實(shí)際案例.png

戰(zhàn)役分析（Campaign Analysis ）

上面入侵重構(gòu)主要基于殺鏈的完整分析危喉，而基于多次入侵的橫向關(guān)聯(lián)分析則可以識(shí)別彼此共性和重疊指標(biāo)。上升到戰(zhàn)略級(jí)別州疾，防守方可以識(shí)別或定義戰(zhàn)役（Campaigns ）辜限，將多年的活動(dòng)與特定的持續(xù)威脅聯(lián)系起來。通過戰(zhàn)役分析严蓖，可以確定入侵者的模式與行為薄嫡、技戰(zhàn)術(shù)以及過程（TTP），旨在檢測他們是“如何”操縱的颗胡、而不僅僅是他們做了“什么”毫深。對(duì)于防守方的價(jià)值在于，基于逐個(gè)戰(zhàn)役評(píng)估自身的安全能力毒姨，并基于單個(gè)戰(zhàn)役的風(fēng)險(xiǎn)評(píng)估哑蔫，制定戰(zhàn)略行動(dòng)路線彌補(bǔ)差距。戰(zhàn)役分析的另一核心目標(biāo)在于理解對(duì)手的攻擊意圖和目標(biāo)弧呐，從而可能高度聚焦于針對(duì)某個(gè)攻擊對(duì)手或技術(shù)的安全措施闸迷。

文中抽象出了兩種戰(zhàn)役分析方法。下圖中左邊的兩次入侵俘枫，在殺鏈各階段具有高度相關(guān)性腥沽，通過里面共性指標(biāo)（白色）可以確認(rèn)它們同屬一個(gè)戰(zhàn)役。右邊的三次入侵崩哩，則具有不同程度的關(guān)聯(lián)性。其中相對(duì)穩(wěn)定言沐、保持一致性的白色拐點(diǎn)指標(biāo)邓嘹，可被識(shí)別為關(guān)鍵指標(biāo)，也即很大程度在同一戰(zhàn)役的后續(xù)入侵中會(huì)被重復(fù)使用到的指標(biāo)险胰。這于防守方而言是可利用的有利條件汹押。

戰(zhàn)役分析.png

源：^[5]

介紹了這篇文章中核心的情報(bào)驅(qū)動(dòng)分析方法，勢必會(huì)提出對(duì)情報(bào)能力的要求起便。情報(bào)能力建設(shè)本身是一個(gè)比較大的話題棚贾，下面僅介紹文中作者提出的理論窖维。

情報(bào)能力的建設(shè)

文中定義指標(biāo)（Indicator）為“情報(bào)”的基本要素，用于客觀描述入侵的信息妙痹，具體分為三類：

• 原子指標(biāo)（Atomic）：為保持其在入侵語境下的意義铸史、不能再做分拆的指標(biāo)，如IP地址怯伊、email地址以及漏洞編號(hào)琳轿。
• 計(jì)算指標(biāo)（Computed）：從事件中所涉及數(shù)據(jù)派生出的指標(biāo)。 常用計(jì)算指標(biāo)包括Hash值和正則表達(dá)式耿芹。
• 行為指標(biāo)（Behavioral）：計(jì)算和原子指標(biāo)的集合崭篡，通常受到指標(biāo)數(shù)量和可能組合邏輯的限制。 舉例來說吧秕，可能是一段類似這樣的描述琉闪，“入侵者最初使用后門，匹配“正則表達(dá)式”以某“頻率”訪問某個(gè)“IP地址”砸彬，一旦訪問建立颠毙，就會(huì)用另一后門（MD5 hash值）進(jìn)行替換∧妹梗”

如前所述吟秩，情報(bào)驅(qū)動(dòng)防御必然是一個(gè)持續(xù)、迭代過程绽淘，分析師通過分析涵防、協(xié)同發(fā)現(xiàn)指標(biāo)，將其應(yīng)用到工具中做進(jìn)一步完善沪铭，再將這些指標(biāo)用于檢測新的入侵活動(dòng)壮池。在針對(duì)這項(xiàng)活動(dòng)的調(diào)查過程中，分析師通常又會(huì)獲得更多的指標(biāo)杀怠，而這些指標(biāo)將受到同一套活動(dòng)和指標(biāo)狀態(tài)的約束椰憋。這一行動(dòng)周期和相應(yīng)的指標(biāo)狀態(tài)形成了下圖所示的指標(biāo)生命周期。

指標(biāo)生命周期和狀態(tài)遷移.png

源：^[6]

關(guān)于指標(biāo)的有效性赔退，需要考慮如下幾種可能：

• 通過某些IOC識(shí)別到攻擊團(tuán)伙橙依，回到殺鏈的其他階段做進(jìn)一步分析，可能提取到更多關(guān)于對(duì)手新的IOC硕旗。
• 隨著某個(gè)攻擊團(tuán)伙使用的技戰(zhàn)術(shù)或工具被曝光以后窗骑，可能為他人所用，那么這類IOC在分析時(shí)就不再具備唯一性和排他性漆枚。
• 應(yīng)用自身的變化可能導(dǎo)致IOC的失效创译，比如原來用的都是標(biāo)準(zhǔn)端口，但可能后面會(huì)變化墙基、使用一些非標(biāo)端口软族。

小結(jié)

綜上刷喜，這篇文章最主要闡述了三個(gè)主題：

• 安全形勢變化下安全觀念的轉(zhuǎn)變，催生了情報(bào)驅(qū)動(dòng)防御模型立砸。
• 殺鏈提供了一個(gè)攻擊對(duì)手視角的分析框架掖疮。在殺傷鏈模型中存在防守方可利用的兩個(gè)有利條件。
• 在殺鏈分析框架下仰禽，只有情報(bào)和安全分析能力作為基石氮墨，防守方可利用的有利條件才可能轉(zhuǎn)化為防守優(yōu)勢，形成彈性防御吐葵。

最后想說规揪，其實(shí)這篇文章不但是威脅情報(bào)領(lǐng)域的經(jīng)典，也更深地闡述了彈性防御這種較主動(dòng)防御更高階的防御方式温峭。

1. Eric M. Hutchins, Michael J. Cloppert, Rohan M. Amin, "Intelligence-driven Computer Network Defense Informed by Adversary Campaigns and Intrusion Kill Chains", Lockheed Martin Corporation, URL: https://www.lockheedmartin.com/content/dam/lockheed/data/corporate/documents/LM-White-Paper-Intel-Driven-Defense.pdf
2. 同上
3. 同上
4. 同上
5. 同上
6. 同上