代號:Cyber-Holmes
在政企機構網路服務普遍上雲的大背景下,攻擊者持續活躍,並採用多樣化的攻擊手法對目標發起攻擊,因此僅僅依賴PC時代的檢測引擎是不夠的。只有多種安全能力協作,梳理拼接攻擊碎片,才能完成對完整攻擊事件的分析研判。因此需要更加高效,覆蓋場景更廣,能夠檢測威脅事件全貌的安全方法論,騰訊安全威脅情報智慧分析引擎應運而生。
就像福爾摩斯探案一樣,安全研究人員首先面對的是不完整的事件告警片斷,騰訊安全部署在雲端的流量或行為探針、蜜罐系統每天獲取的各類威脅事件告警資訊數千萬條,可疑樣本檔案上百萬個。如此大的資料量,遠遠超出人工可處置的能力,同時對分析處置引擎的效能有極高的要求,否則迅猛增長的告警和可疑樣本檔案會迅速拖垮系統。
對企業安全運維人員來說,碎片化的事件告警,簡直不堪其擾:處理吧,告警不明不白無頭無尾,告警的嚴重程度也較難評估。不處理吧,會不會有嚴重威脅被放過呢,而告警數量又較多,該如何下手?企業安全運維團隊陷入選擇難題,在人手不足的情況下,問題放一放拖下去的可能性較大。
騰訊安全技術中心將每天數千萬條告警事件抽絲剝繭,整理出攻擊脈絡,對上百萬的可疑樣本檔案進行自動化的行為分析,找出攻擊者的作案規律,自動還原網路攻擊事件全過程,並對攻擊者行為進行畫像,其難度堪比福爾摩斯探案。將海量的安全告警資料化繁為簡、化未知為已知,是威脅情報智慧分析引擎的根本任務。
騰訊安全技術中心給這一整套智慧引擎內部代號取名為“Cyber-Holmes“,寓意“網路空間威脅神探”。“Cyber-Holmes“引擎,已成騰訊安全分析、關聯威脅事件的發動機。
Cyber-Holmes引擎總覽
騰訊安全Cyber-Holmes引擎基於騰訊雲端安全告警資料和騰訊安全知識圖譜,整合若干種威脅分析檢測引擎與事件自動化調查引擎的能力,提供威脅告警與可疑樣本智慧分析服務。
引擎底層為資料層,匯聚上報威脅事件告警和風險檔案;中間層為威脅檢測與威脅分析模組,提供多維度的告警檢測與自動化的事件分析能力。Cyber-Holmes引擎將威脅檢測與威脅分析能力輸出給騰訊安全全系列產品使用。
騰訊安全Cyber-Holmes引擎可應用於騰訊安全企業級、消費級安全產品的後端支援,目前已接入多個雲原生安全產品:接入騰訊主機安全(雲鏡)後,直接推動了雲原生預警系統的開發應用。接入騰訊雲安全運營中心(雲SOC),創造性的推出威脅調查功能,客戶透過登入騰訊雲SOC,可全面檢視威脅事件的時間線,並對威脅事件進行一鍵處置。
資料層
騰訊安全Cyber-Holmes引擎的資料層接入端包括騰訊安全在雲端部署的流量或行為探針、蜜罐系統;騰訊安全產品捕捉的安全告警事件、雲主機告警資料、可疑流量分析、可疑程式分析,以及第三方開源威脅情報資料,並使用騰訊安全自研的知識圖譜系統與可解釋知識庫合併參與實時分析計算。
引擎層
引擎層包含兩大模組:
1.威脅檢測模組
主要利用攻擊武器檢測技術、實時流分析檢測技術、未知威脅分析檢測技術覆蓋攻擊的三種型別,分別是已知攻擊、帶有特徵的攻擊、未知新型攻擊。具備多類已知威脅與未知威脅的檢測能力。
攻擊武器檢測技術是對已知攻擊者使用過的攻擊武器建立特徵,作為檢測未知威脅時的一種檢測方法。當前武器攻擊規則命中某個可疑事件時,就可判斷該事件疑似具備某種攻擊能力。結合其他檢測方法的結果,綜合評價某威脅告警或樣本檔案的最終性質。(例如:遠控等具有已知攻擊武器特徵的威脅檢測。)
實時流分析檢測技術是對可疑行為鏈進行實時預警與處置。透過在騰訊雲主機部署威脅流量和行為探針、蜜罐捕捉可疑威脅事件,威脅探針會捕捉可疑程式、程式鏈及高危命令。透過實時流分析檢測威脅事件或提取風險樣本做進一步檢測分析。(例如:利用confluence遠端程式碼執行漏洞發起的多起攻擊,均被騰訊安全捕獲,已實現實時檢測預警。)
未知威脅分析檢測技術是對未知威脅的覆盤檢測,透過週期性覆盤可疑行為特徵與檔案特徵的資料量變化趨勢,區分正常操作與攻擊者操作,實現攻擊爆發前提前感知新型攻擊。(例如:成功預警YAPI遠端程式碼執行-0DAY在野利用)
威脅檢測模組包含三種檢測技術
2.威脅分析模組
主要利用威脅情報與圖譜關聯定性技術、入侵路徑分析技術、入侵行為畫像技術覆蓋攻擊溯源的三個階段,分別是溯源遭遇何種攻擊被誰攻擊,攻擊者如何發起的攻擊,攻擊者實際造成那些影響,具備威脅自動化溯源分析能力。
威脅關聯定性分析基於威脅情報中運營的精準威脅家族與知識圖譜關聯的家族資料對攻擊行為進行分類定性,可實現攻擊自動化分類定性。
入侵路徑分析技術基於專家經驗制定的全域性溯源路徑,串聯可疑檔案與行為自動化生成可疑的入侵路徑與橫移路徑。
入侵行為畫像技術將威脅事件中各個行為歸類並自動對映到MITRE ATT&CK 中的攻擊者行為對映表,用以判斷攻擊者活動影響到哪些階段,各階段具體使用了什麼攻擊技巧。
威脅分析模組包含三種分析技術
騰訊安全Cyber-Holmes引擎7×24小時不間斷無人值守執行,Cyber-Holmes引擎已申請相關專利十餘項,分析歸因活躍病毒黑產家族1922個,該引擎已是構成騰訊安全中臺能力的基石引擎。其能力目前已接入騰訊主機安全(雲鏡)、騰訊雲安全運營中心(雲SOC),功能體現為雲原生預警系統和威脅事件調查能力,Cyber-Holmes引擎將持續接入騰訊更多企業級、消費級安全產品,服務於全體客戶。
重磅推薦
騰訊主機安全旗艦版釋出會將於2022年1月初召開,更多應用例項和技術解讀,敬請關注騰訊安全威脅情報中心公眾號更新!