安全知識圖譜|構建APT組織圖譜,打破資訊孤島效應

綠盟科技發表於2021-11-29

安全知識圖譜作為安全領域的專用知識圖譜,是實現網路安全認知智慧的關鍵,亦是應對網路空間高階、持續、複雜威脅與風險不可或缺的技術基礎。綠盟科技於近日推出安全知識圖譜技術白皮書《踐行安全知識圖譜,攜手邁進認知智慧》,旨在對安全知識圖譜概念內涵、核心框架、關鍵技術和應用實踐進行全面總結與介紹,期望為讀者帶來全新的技術思考,助力網路安全智慧化邁入認知智慧階段。

本文為安全知識圖譜白皮書精華解讀第一篇,介紹高階持續性威脅(Advanced Persistence Threat,簡稱 APT)組織圖譜構建相關技術,助力APT組織追蹤。

一、資訊孤島效應

APT攻擊往往具有明確的攻擊意圖,且攻擊手段具備極高的隱蔽性和潛伏性,對政府和企業的重要資產構成重大威脅。由於在APT威脅分析和溯源中涉及的資訊資料雜亂,自成體系,難以有效組織,導致在事件分析過程中耗費大量人力,無法對相關的專家知識進行儲存形成可複用的知識庫。而知識圖譜技術透過定義領域知識,用語義網將散亂的知識以邏輯方式進行關聯,能夠有效解決資訊保安知識不成體系、難以將專家知識轉換成機器語言的問題。所以,網路安全研究者逐漸開始利用知識圖譜分析威脅情報。

綠盟科技安全知識圖譜以威脅元語模型為核心,透過分析已經發布的APT分析報告等資料,提取APT組織的描述資訊和分析邏輯關係,自頂向下構建知識圖譜,為結合知識圖譜的本體結構對APT組織進行追蹤和畫像奠定基礎。

二、APT組織圖譜構建

APT組織知識圖譜以攻擊組織(APT、惡意程式碼家族等)為核心,透過分析組織技術水平(攻擊工具、攻擊手段、掌握的漏洞利用、惡意軟體)、網路基礎設施(IP、域名、電子郵箱)及歷史戰役、攻擊目標特徵、危害意圖等知識,實現對APT組織的綜合畫像。

其中,網路威脅情報領域及相關安全要素已有大量相對成熟的標準體系,針對攻擊組織涉及的各類安全實體可參考安全領域相關規範,實體關係的設計則主要參考STIX2.0描述語言等。威脅元語體系的構建涵蓋4個層次和11個主要實體型別,並融合了百萬級別的知識節點。構建的本體如下圖所示。

安全知識圖譜|構建APT組織圖譜,打破資訊孤島效應

攻擊組織本體設計

以NSA網路武器庫中的永恆之藍漏洞為例,該示例中威脅主體為NSA,攻擊工具是Metasploit,攻擊模式是永恆之藍漏洞攻擊,脆弱為CVE-2017-0143,防護手段包括埠關閉和流量丟棄,攻擊目標為Windows 7作業系統。在實際業務場景中,分析者只要檢測該知識圖譜中的某一威脅實體,如SMB遠端執行程式碼漏洞(CVE-2017-0143),透過建立知識圖譜語義關係(weakness_of和defensed_by)和分析實際業務場景下的資訊資產關係(伺服器、防火牆、路由器),輸出受到影響的資產列表(伺服器),並可推薦出風險處置建議(關閉445埠、流量丟棄),不僅能獲取態勢資訊,更能進一步推理出其影響範圍和可採取的防禦措施。關聯關係如圖所示。

 安全知識圖譜|構建APT組織圖譜,打破資訊孤島效應

永恆之藍漏洞攻擊示例

此外,爬取網際網路上各類APT分析報告等資訊,需要耗費大量人力,且程式碼可擴充套件性差,同時,由於缺乏對非結構化文字的主題區分,影響提取情報的準確度。

綠盟科技透過設計攻擊組織知識圖譜本體,確定情報採集型別、屬性及相關字典規範定義,結合爬蟲和自然語言處理技術構建可快速擴充套件抽取情報運營體系,實現APT、惡意程式碼家族情報半自動化採集。

三、總結

目前大多研究建立APT組織知識圖譜採用自上而下的方式,透過資訊抽取對齊等技術從資料中提取APT組織相關的實體、屬性及關係等特徵,根據本體中定義的知識屬性等進行消歧融合補充。要想更精準地實現對不同APT組織的刻畫,關鍵在於建立一套統一的語言來描述不同APT組織的行為和特徵,隨之構建關於APT組織的知識庫,並對知識庫進行擴充和使用。未來,綠盟科技將不斷探索APT組織圖譜構建相關技術。

相關文章