這篇文章將為大家詳細(xì)講解有關(guān)如何進(jìn)行基于知識(shí)圖譜的APT組織追蹤治理，文章內(nèi)容質(zhì)量較高，因此小編分享給大家做個(gè)參考，希望大家閱讀完這篇文章后對相關(guān)知識(shí)有一定的了解。

企業(yè)建站必須是能夠以充分展現(xiàn)企業(yè)形象為主要目的，是企業(yè)文化與產(chǎn)品對外擴(kuò)展宣傳的重要窗口，一個(gè)合格的網(wǎng)站不僅僅能為公司帶來巨大的互聯(lián)網(wǎng)上的收集和信息發(fā)布平臺(tái)，成都創(chuàng)新互聯(lián)公司面向各種領(lǐng)域：水處理設(shè)備等成都網(wǎng)站設(shè)計(jì)公司、成都全網(wǎng)營銷解決方案、網(wǎng)站設(shè)計(jì)等建站排名服務(wù)。

高級持續(xù)性威脅（APT）正日益成為針對政府和企業(yè)重要資產(chǎn)的不可忽視的網(wǎng)絡(luò)空間重大威脅。由于APT攻擊往往具有明確的攻擊意圖，并且其攻擊手段具備極高的隱蔽性和潛伏性，傳統(tǒng)的網(wǎng)絡(luò)檢測手段通常無法有效對其進(jìn)行檢測。近年來，APT攻擊的檢測和防御技術(shù)逐漸引起各國政府和網(wǎng)絡(luò)安全研究者的關(guān)注。

一、發(fā)達(dá)國家APT組織治理相關(guān)研究

1.1  戰(zhàn)略層面，美國強(qiáng)調(diào)“美國優(yōu)先”和“以實(shí)力促和平”

特朗普政府先后發(fā)布《國家安全戰(zhàn)略報(bào)告》、《國防部網(wǎng)絡(luò)戰(zhàn)略》和《國家網(wǎng)絡(luò)戰(zhàn)略》，詮釋了特朗普的“美國優(yōu)先”的戰(zhàn)略，強(qiáng)調(diào)“網(wǎng)絡(luò)威懾”和“以實(shí)力促和平”，突出強(qiáng)調(diào)網(wǎng)絡(luò)戰(zhàn)的重要性，將“軍事和武力”作用置于外交和國務(wù)之前，強(qiáng)調(diào)保護(hù)美國基礎(chǔ)設(shè)施來保證美國的持續(xù)繁榮。同時(shí)強(qiáng)調(diào)人工智能（AI）對于經(jīng)濟(jì)增長重要性。

1.2 法規(guī)層面，美國立法進(jìn)行APT組織跟蹤

2018年9月5日，美國眾議院投票通過《2018網(wǎng)絡(luò)威懾與響應(yīng)法案》，旨在阻止和制裁未來國家支持的針對美國的網(wǎng)絡(luò)攻擊，以保護(hù)美國的政治、經(jīng)濟(jì)和關(guān)鍵基礎(chǔ)設(shè)施免受侵害。該法案要求美國總統(tǒng)確認(rèn)高級持續(xù)威脅（APT）組織名單，并在《聯(lián)邦公報(bào)》（Federal Register）中公布并定期更新。

1.3 攻擊層面，美軍研發(fā)基于知識(shí)圖譜的先進(jìn)網(wǎng)絡(luò)戰(zhàn)工具

2010年9月，《*****》披露，五角大樓力求在網(wǎng)絡(luò)戰(zhàn)爭中先發(fā)制人，并達(dá)到欺騙、拒止、分離、降級、毀壞的“5D”效果。網(wǎng)絡(luò)戰(zhàn)攻擊層面的研究是美國政府以及下屬的研究機(jī)構(gòu)一直以來的重點(diǎn)，根據(jù)美國近年來圍繞網(wǎng)絡(luò)戰(zhàn)構(gòu)建的模型來看，以多層次知識(shí)圖譜映射戰(zhàn)場網(wǎng)絡(luò)，結(jié)合靶場演練進(jìn)行模型驗(yàn)證是一個(gè)重要研究的方向。

1.3.1 DARPA的Plan X用知識(shí)圖譜描繪戰(zhàn)場地圖支撐VR作戰(zhàn)

PLAN X是DARPA在2012年公布的一個(gè)項(xiàng)目，主要目標(biāo)是開發(fā)革命性的技術(shù)，在實(shí)時(shí)、大規(guī)模和動(dòng)態(tài)的網(wǎng)絡(luò)環(huán)境中理解、規(guī)劃和管理網(wǎng)絡(luò)戰(zhàn)?；谝粋€(gè)建立好的通用地圖，幫助軍方網(wǎng)絡(luò)操作人員利用可視化的方式在戰(zhàn)場中執(zhí)行網(wǎng)絡(luò)入侵的任務(wù)。PLAN X利用自動(dòng)化構(gòu)建戰(zhàn)場網(wǎng)絡(luò)圖譜的技術(shù)，將戰(zhàn)場中網(wǎng)絡(luò)地圖、作戰(zhàn)單元、能力集轉(zhuǎn)化為圖譜中節(jié)點(diǎn)和邊的**，基于作戰(zhàn)人員預(yù)先設(shè)定的戰(zhàn)術(shù)目標(biāo)，進(jìn)行自動(dòng)化圖譜搜索，找到最佳入侵路徑和入侵方案，提供給作戰(zhàn)人員。

1.3.2 MITRE公司的CyGraph原型支撐網(wǎng)絡(luò)作戰(zhàn)

CyGraph是MITRE在圖模型研究方面的原型系統(tǒng)。CyGraph使用了層級的圖結(jié)構(gòu)，包括網(wǎng)絡(luò)架構(gòu)（Network Infrastructure）、安全狀態(tài)（Security Posture）、網(wǎng)絡(luò)威脅（Cyber Threats）、任務(wù)依賴（Mission Dependencies）四個(gè)層次的圖數(shù)據(jù)，用于支持針對關(guān)鍵資產(chǎn)保護(hù)的攻擊面識(shí)別和攻擊態(tài)勢理解等任務(wù)。

 

圖1.1  CyGraph的多層圖譜結(jié)構(gòu)

1.4 防御層面，研發(fā)基于ATT&CK的新一代APT描述語言模型

ATT&CK是一個(gè)反映各個(gè)攻擊生命周期的攻擊行為的模型和知識(shí)庫。ATT&CK采用知識(shí)庫分析對手攻擊方法，評估現(xiàn)有防護(hù)體系，同時(shí)可以和靶場結(jié)合，進(jìn)行攻擊仿真測試和自動(dòng)化驗(yàn)證，同時(shí)多家國外安全廠商利用其檢測追蹤APT組織的實(shí)際效果。

 

圖1.2  ATT&CK 針對lazarus和APT15的TTP能力對比分析

二、基于知識(shí)圖譜的APT組織追蹤實(shí)踐

基于知識(shí)圖譜的APT追蹤實(shí)踐是以威脅元語模型為核心，采用自頂向下的方式構(gòu)建APT知識(shí)圖譜。

2.1 基于威脅元語模型的實(shí)體類構(gòu)建

APT知識(shí)類型定義參考各類現(xiàn)行的安全標(biāo)準(zhǔn)規(guī)范，如攻擊機(jī)制的通用攻擊模式枚舉和分類（CAPEC），惡意軟件屬性枚舉和特征（MAEC）以及公共漏洞和暴露（CVE）等，設(shè)計(jì)了十二個(gè)知識(shí)類型：攻擊模式、戰(zhàn)役、防御措施、身份、威脅指示器、入侵集、惡意代碼、可觀察實(shí)體、報(bào)告、攻擊者、工具、漏洞。

2.2 APT知識(shí)圖譜本體結(jié)構(gòu)

知識(shí)類型定義只將描述APT組織特征的相關(guān)信息形成孤立的知識(shí)結(jié)點(diǎn)，知識(shí)節(jié)點(diǎn)之間并無語義關(guān)系。語義設(shè)計(jì)一方面提取美國國家漏洞庫（NVD）中包含的漏洞、脆弱性、資產(chǎn)、攻擊機(jī)制相關(guān)的專家知識(shí)，其次參照STIX定義的七類關(guān)系，STIX2.0對象關(guān)系總覽如下圖2.1所示。

 

圖 2.1  STIX2.0結(jié)構(gòu)圖

匯總歸納APT報(bào)告中涉及的多類語義關(guān)系，包括“指示”、“利用”、“屬于”等語義關(guān)系，構(gòu)建如圖2.2所示本體結(jié)構(gòu)。

 

圖 2.2  APT知識(shí)圖譜本體結(jié)構(gòu)

2.3 APT攻擊組織知識(shí)庫構(gòu)建

本文以自上而下的方式建立APT知識(shí)庫，首先進(jìn)行信息抽取對齊的操作，以APT知識(shí)圖譜本體為基礎(chǔ)，從海量數(shù)據(jù)中提取APT組織相關(guān)的知識(shí)實(shí)體、屬性及知識(shí)關(guān)系。之后根據(jù)APT知識(shí)本體中定義的知識(shí)屬性進(jìn)行屬性消歧融合補(bǔ)充，輸出APT知識(shí)庫。

APT組織相關(guān)信息來源有結(jié)構(gòu)化的數(shù)據(jù)（結(jié)構(gòu)化的情報(bào)數(shù)據(jù)庫、STIX情報(bào)）、半結(jié)構(gòu)化數(shù)據(jù)（Alienvault等開源情報(bào)社區(qū)網(wǎng)站、IBM x-force情報(bào)社區(qū)網(wǎng)站、MISP、ATT&CK）、非結(jié)構(gòu)化數(shù)據(jù)（Talos安全博客、Github APT報(bào)告）。

2.4 實(shí)驗(yàn)及應(yīng)用

本文構(gòu)建的APT主題知識(shí)圖譜目前收錄APT組織257個(gè)，如圖2.3所示。

 

圖2.3  APT組織總覽

結(jié)合構(gòu)建的知識(shí)圖譜本體結(jié)構(gòu)，通過語義搜索的方式針對APT32攻擊組織進(jìn)行了畫像，如圖2.4、2.5所示。

 

圖2.4  APT32 鉆石模型

 

圖 2.5 APT 32畫像

畫像信息包括APT32組織控制的基礎(chǔ)設(shè)施、技術(shù)手段以及攻擊工具。結(jié)合APT畫像知識(shí)，通過APT組織特征的實(shí)時(shí)監(jiān)控比對，標(biāo)注事件的組織關(guān)聯(lián)性，實(shí)現(xiàn)APT組織活躍情況的實(shí)時(shí)監(jiān)測統(tǒng)計(jì)。

基于在某環(huán)境下IDS和沙箱探針設(shè)備，4臺(tái)服務(wù)器組成的大數(shù)據(jù)分析集群實(shí)驗(yàn)環(huán)境，結(jié)合知識(shí)圖譜提供的APT組織畫像特征，在2019年6月2日至6月9日時(shí)間段上共發(fā)現(xiàn)5個(gè)APT組織的活躍情況，結(jié)果如圖2.6所示。

 

圖2.6  APT組織追蹤

三、對策建議

1、完善針對APT攻擊相關(guān)的政策法規(guī)的制定。目前我國政府尚未專門針對APT攻擊出臺(tái)響應(yīng)的政策與法規(guī)，這對于促進(jìn)、規(guī)范和指導(dǎo)國內(nèi)APT攻擊的分析與檢測工作非常不利。

2、推薦共建、共研共享的研究生態(tài)。我國政府和企業(yè)的合作還需要進(jìn)一步深化，構(gòu)建能夠在行業(yè)和國家層面通行的技術(shù)方案和模型標(biāo)準(zhǔn)。

3、構(gòu)建統(tǒng)一的情報(bào)共享格式，加強(qiáng)情報(bào)的共享。GB/T 36643-2018《信息安全技術(shù) 網(wǎng)絡(luò)安全威脅信息格式規(guī)范》自推行以來，依然沒有很好地在國內(nèi)政企當(dāng)中得到廣泛的應(yīng)用。

4、加強(qiáng)通用威脅元語模型的構(gòu)建。我國目前尚未完整構(gòu)建起一整套通用威脅元語，用于支撐統(tǒng)一的威脅情報(bào)表達(dá)格式和APT相關(guān)威脅情報(bào)及知識(shí)的共享。

關(guān)于如何進(jìn)行基于知識(shí)圖譜的APT組織追蹤治理就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，可以學(xué)到更多知識(shí)。如果覺得文章不錯(cuò)，可以把它分享出去讓更多的人看到。

網(wǎng)頁名稱：如何進(jìn)行基于知識(shí)圖譜的APT組織追蹤治理
路徑分享：http://jinyejixie.com/article12/ijjegc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供標(biāo)簽優(yōu)化、微信公眾號、建站公司、網(wǎng)站營銷、App設(shè)計(jì)、網(wǎng)站設(shè)計(jì)公司

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)