高级持续性威胁拥有着形式多变、持久化、对抗性与隐蔽性强等特点,是目前各大企业在威胁监测方面所面临的一项严峻挑战。而AI技术的赋能,能够使高级威胁检测技术的检测效率与准确性大幅提升。在不久前的【T·Talk】系列技术分享活动的第十期中,我们特别邀请到了金睛云华技术总监富吉祥为广大听众分享如何利用AI技术解决传统特征检测技术难以解决的安全问题。【T·Talk】也将本期分享的核心内容进行了整理,希望能为大家带来一些启发。
一、高级威胁检测技术挑战
高级持续性威胁通常指有组织的团队,针对特定目标,综合利用其所了解的信息,构造相应的武器和攻击手段,在长周期中对目标进行持续渗透的网络攻击活动。攻击链包括不同阶段,例如扫描探测、尝试攻击、漏洞利用、木马下载、远程控制、横向渗透、行动收割。整个攻击过程是复杂的,攻击手段、攻击武器与载荷是高明的。业内通常将这类威胁定义为高级持续性威胁。
在高级持续性威胁的攻击过程中,需要对攻击手段进行检测和发现,以便对其进行响应和处置。但目前传统的特征检测技术,并没有办法很好地应对其中的高级攻击。传统的攻防手段对抗过程,通常是在一个新的威胁产生后,防守方要想办法获得样本,再基于样本对其进行特征分析并识别威胁,最后更新到可以对威胁进行防御或检测的网络安全设备中,升级后具备检测能力。
但在升级安全防护或检测设备前,未知威胁存在防御真空期。此外,还有一些恶意代码的变种,例如目前互联网上有很多恶意样本、木马病毒。攻击者会赋予样本绕过防御手段或者检测手段的能力。在这个过程中,攻击者会改造样本,把能被杀软发现的特征隐藏或混淆,将样本进行变种。在此之后,杀软、文件哈希码或特征码就已经无法再对其进行有效检测了。
在整个攻击链条的过程中,有些行为是容易被检测引擎或不同手段发现的。但在过程中也会存在一些难以发现的隐藏部分,对攻击过程的判断同样是非常重要的。例如目前很多的网络攻击已经采用了加密手段,在整个网络流量中,我们只能看到一些握手交互和证书信息。仅通过这些信息并没有办法判断加密的流量载荷是否存在问题,以及是否潜藏木马与恶意攻击行为。
当攻击入侵成功之后,会与其命令控制服务器进行回联,以时刻保持通信的畅通,并接收攻击者下一步的攻击指令。防火墙是目前常见的网络安全设备,它通常不会对DNS、HTTP、ICMP等常用协议进行拦截或者深度检查。因此在上述的回连过程中,如果想去隐蔽的通信,使用标准的网络协议去进行命令与控制通信会是一种比较好的手段。