騰訊主機安全(雲鏡)兵器庫:威脅分析的福爾摩斯-Cyber Holmes引擎
代號:Cyber-Holmes
在政企機構網路服務普遍上雲的大背景下,攻擊者持續活躍,並採用多樣化的攻擊手法對目標發起攻擊,因此僅僅依賴PC時代的檢測引擎是不夠的。只有多種安全能力協作,梳理拼接攻擊碎片,才能完成對完整攻擊事件的分析研判。因此需要更加高效,覆蓋場景更廣,能夠檢測威脅事件全貌的安全方法論,騰訊安全威脅情報智慧分析引擎應運而生。
就像福爾摩斯探案一樣,安全研究人員首先面對的是不完整的事件告警片斷,騰訊安全部署在雲端的流量或行為探針、蜜罐系統每天獲取的各類威脅事件告警資訊數千萬條,可疑樣本檔案上百萬個。如此大的資料量,遠遠超出人工可處置的能力,同時對分析處置引擎的效能有極高的要求,否則迅猛增長的告警和可疑樣本檔案會迅速拖垮系統。
對企業安全運維人員來說,碎片化的事件告警,簡直不堪其擾:處理吧,告警不明不白無頭無尾,告警的嚴重程度也較難評估。不處理吧,會不會有嚴重威脅被放過呢,而告警數量又較多,該如何下手?企業安全運維團隊陷入選擇難題,在人手不足的情況下,問題放一放拖下去的可能性較大。
騰訊安全技術中心將每天數千萬條告警事件抽絲剝繭,整理出攻擊脈絡,對上百萬的可疑樣本檔案進行自動化的行為分析,找出攻擊者的作案規律,自動還原網路攻擊事件全過程,並對攻擊者行為進行畫像,其難度堪比福爾摩斯探案。將海量的安全告警資料化繁為簡、化未知為已知,是威脅情報智慧分析引擎的根本任務。
騰訊安全技術中心給這一整套智慧引擎內部代號取名為“Cyber-Holmes“,寓意“網路空間威脅神探”。“Cyber-Holmes“引擎,已成騰訊安全分析、關聯威脅事件的發動機。
Cyber-Holmes引擎總覽
騰訊安全Cyber-Holmes引擎基於騰訊雲端安全告警資料和騰訊安全知識圖譜,整合若干種威脅分析檢測引擎與事件自動化調查引擎的能力,提供威脅告警與可疑樣本智慧分析服務。
引擎底層為資料層,匯聚上報威脅事件告警和風險檔案;中間層為威脅檢測與威脅分析模組,提供多維度的告警檢測與自動化的事件分析能力。Cyber-Holmes引擎將威脅檢測與威脅分析能力輸出給騰訊安全全系列產品使用。
騰訊安全Cyber-Holmes引擎可應用於騰訊安全企業級、消費級安全產品的後端支援,目前已接入多個雲原生安全產品:接入騰訊主機安全(雲鏡)後,直接推動了雲原生預警系統的開發應用。接入騰訊雲安全運營中心(雲SOC),創造性的推出威脅調查功能,客戶透過登入騰訊雲SOC,可全面檢視威脅事件的時間線,並對威脅事件進行一鍵處置。
資料層
騰訊安全Cyber-Holmes引擎的資料層接入端包括騰訊安全在雲端部署的流量或行為探針、蜜罐系統;騰訊安全產品捕捉的安全告警事件、雲主機告警資料、可疑流量分析、可疑程式分析,以及第三方開源威脅情報資料,並使用騰訊安全自研的知識圖譜系統與可解釋知識庫合併參與實時分析計算。
引擎層
引擎層包含兩大模組:
1.威脅檢測模組
主要利用攻擊武器檢測技術、實時流分析檢測技術、未知威脅分析檢測技術覆蓋攻擊的三種型別,分別是已知攻擊、帶有特徵的攻擊、未知新型攻擊。具備多類已知威脅與未知威脅的檢測能力。
攻擊武器檢測技術是對已知攻擊者使用過的攻擊武器建立特徵,作為檢測未知威脅時的一種檢測方法。當前武器攻擊規則命中某個可疑事件時,就可判斷該事件疑似具備某種攻擊能力。結合其他檢測方法的結果,綜合評價某威脅告警或樣本檔案的最終性質。(例如:遠控等具有已知攻擊武器特徵的威脅檢測。)
實時流分析檢測技術是對可疑行為鏈進行實時預警與處置。透過在騰訊雲主機部署威脅流量和行為探針、蜜罐捕捉可疑威脅事件,威脅探針會捕捉可疑程式、程式鏈及高危命令。透過實時流分析檢測威脅事件或提取風險樣本做進一步檢測分析。(例如:利用confluence遠端程式碼執行漏洞發起的多起攻擊,均被騰訊安全捕獲,已實現實時檢測預警。)
未知威脅分析檢測技術是對未知威脅的覆盤檢測,透過週期性覆盤可疑行為特徵與檔案特徵的資料量變化趨勢,區分正常操作與攻擊者操作,實現攻擊爆發前提前感知新型攻擊。(例如:成功預警YAPI遠端程式碼執行-0DAY在野利用)
威脅檢測模組包含三種檢測技術
2.威脅分析模組
主要利用威脅情報與圖譜關聯定性技術、入侵路徑分析技術、入侵行為畫像技術覆蓋攻擊溯源的三個階段,分別是溯源遭遇何種攻擊被誰攻擊,攻擊者如何發起的攻擊,攻擊者實際造成那些影響,具備威脅自動化溯源分析能力。
威脅關聯定性分析基於威脅情報中運營的精準威脅家族與知識圖譜關聯的家族資料對攻擊行為進行分類定性,可實現攻擊自動化分類定性。
入侵路徑分析技術基於專家經驗制定的全域性溯源路徑,串聯可疑檔案與行為自動化生成可疑的入侵路徑與橫移路徑。
入侵行為畫像技術將威脅事件中各個行為歸類並自動對映到MITRE ATT&CK 中的攻擊者行為對映表,用以判斷攻擊者活動影響到哪些階段,各階段具體使用了什麼攻擊技巧。
威脅分析模組包含三種分析技術
騰訊安全Cyber-Holmes引擎7×24小時不間斷無人值守執行,Cyber-Holmes引擎已申請相關專利十餘項,分析歸因活躍病毒黑產家族1922個,該引擎已是構成騰訊安全中臺能力的基石引擎。其能力目前已接入騰訊主機安全(雲鏡)、騰訊雲安全運營中心(雲SOC),功能體現為雲原生預警系統和威脅事件調查能力,Cyber-Holmes引擎將持續接入騰訊更多企業級、消費級安全產品,服務於全體客戶。
重磅推薦
騰訊主機安全旗艦版釋出會將於2022年1月初召開,更多應用例項和技術解讀,敬請關注騰訊安全威脅情報中心公眾號更新!
相關文章
- 騰訊主機安全(雲鏡)兵器庫:WebShell剋星-TAV引擎Webshell
- 騰訊主機安全(雲鏡)兵器庫:斬殺挖礦木馬的利劍-BinaryAI引擎AI
- 騰訊主機安全(雲鏡)兵器庫:透視安全事件的千里眼-雲原生預警系統事件
- 《雲安全原理與實踐》——3.2 主機虛擬化的主要安全威脅
- RSA 2019觀察:機器學習演算法分析引擎 助力安全威脅推理分析機器學習演算法
- 【STRIDE】【1】安全威脅分析設計IDE
- 騰訊安全威脅情報釋出會解讀:數字化時代,為何威脅情報如此重要?
- 郵件安全威脅
- 騰訊安全月報 | AI安全最新成果、物聯網安全標準立項、雲安全威脅報告發布……AI
- 網路安全需求分析,傳統威脅有增無減新型威脅層出不窮
- 機器學習:安全還是威脅?機器學習
- 網路安全威脅國家安全
- 什麼是網路安全威脅?常見威脅有哪些?
- 首次公開雲上攻擊路徑全景,騰訊安全聯合GeekPwn釋出《2019雲安全威脅報告》
- 新基建下的威脅狩獵|看綠盟綜合威脅分析系統
- 騰訊安全釋出《2021年全球DDoS威脅報告》:DDoS威脅成犯罪團伙首選勒索手段
- 組織沒有準備好面對雲安全威脅
- 網路安全威脅的新變化
- ClickHouse與威脅日誌分析
- 威脅分析矩陣(轉載)矩陣
- 2020年新威脅,無人機可能成為主要的網路安全威脅無人機
- 新引擎、新能力、新體驗,騰訊主機安全旗艦版重磅釋出
- 安全要素與 STRIDE 威脅IDE
- 網站容易受到哪些安全威脅網站
- 歐盟智慧交通面臨安全威脅
- 常見的網路安全威脅詳解!
- Linux 新的安全威脅-外星 hacker(轉)Linux
- HackPwn2015:IoT智慧硬體安全威脅分析
- 騰訊安全:2018年高階持續性威脅(APT)研究報告APT
- 喜報!騰訊雲主機安全入選Gartner CWPP全球市場指南
- IBM推出雲原生SIEM,助力安全團隊高效應對威脅IBM
- 企業上雲安全實踐——公有云業務系統安全威脅與防護
- 潛藏在手機中的新威脅:免安裝應用安全指北
- 如何有效區分網路安全威脅?
- RansomWeb:一種新興的web安全威脅Web
- 物理隔離內網面臨的安全威脅內網
- 網路安全中*具威脅的攻擊方式!
- 當今世介面臨的九大安全威脅