上了EDR仍无法溯源终端威胁?且看腾讯 iOA 如何解决行业痛点

APT攻击溯源的背景

近年来,APT(高级持续性威胁)攻击愈发猖獗,为了更好的对抗APT攻击,往往需要多种安全能力组合防守,在这其中威胁溯源是必不可少的一环。高质量的威胁溯源可以揭示攻击者在网络中的行动路径,快速定位到攻击源头,有助于从全局视角看清威胁入侵途径和影响范围,为企业安全团队提供足够的信息,制定更加精准、高效的应对策略。

然而在现实中,高质量的威胁溯源析往往只有经验老到、熟悉各类攻击技巧的安全分析师才能胜任,而且还需要花费大量精力,从海量数据中一步步调查取证,才能完成最终的溯源分析工作。因此威胁溯源对大部分企业来说门槛较高,也是国内外EDR产品重点攻坚的业界壁垒之一。

APT攻击溯源的挑战

通俗来讲,威胁溯源即是对APT攻击入侵及产生威胁过程的还原,如何完整地还原整个攻击过程,且确保攻击过程纯净无干扰,是衡量威胁溯源能力的核心指标,二者缺一不可。

完整度指标高,但纯净度指标低,虽然能够还原攻击过程,但会杂糅大量非攻击行为,安全运营人员还需要花费大量时间进一步分析和提取核心攻击路径。

反之若纯净度指标很高,但完整度低,虽然呈现了真实的攻击行为,但由于信息不完整,无法串联起整个攻击链条,也就无法溯源到攻击源头,同样也是一次失败的威胁溯源。

因此只有当完整度和纯净度都达到100%以后,才可以称之为一次完美的威胁溯源,这也是当前EDR产品追求的终极溯源能力,就好比一个完美的人工智能机器人,可以精确的从海量的行为中提取出 APT团队的所有犯罪行为,且不会夹杂其他非威胁行为,如同抽丝剥茧一样完美的还原犯罪现场。

腾讯iOA如何解决?

为了提供高完整度和高纯净度的威胁溯源能力,腾讯iOA-EDR自研了下一代全链路精准溯源系统,大幅度降低了威胁溯源的难度,提升了企业安全运营团队分析和处置的工作效率。

✓全面的数据采集是基础

数据采集是威胁溯源的第一步,它为威胁溯源提供了基础数据和分析依据,腾讯iOA-EDR围绕ATT&CK攻击链自研了一整套数据采集引擎,包含了超过200种数据采集探针。

除了用户态事件采集以外,iOA-EDR还提供了高稳定性的内核级探针,可全方位监控系统级别的操作,捕获更详细和更准确的系统行为数据,实现对文件、进程、注册表、网络等核心数据的采集,最大程度避免数据漏采的情况发生。

由于内核级探针直接运行在操作系统内核层,虽然数据采集更加全面精准且难以绕过,但也需要与不同版本和不同类型的操作系统实现兼容,为了保障终端的兼容性和稳定性,这就需要EDR厂商有强大的终端安全底蕴,依托腾讯安全数十年来服务海量用户的经验积淀,iOA-EDR在数据采集全面的同时,也实现了终端兼容性和稳定性的平衡。

同时,iOA-EDR还提供了API注入探针,当入侵进程调用可疑的API时,API注入探针会首先捕获该调用信息,并记录相关的参数和上下文信息,实现“沙盒式”采集入侵进程。

1719467884067.jpg

✓如何对抗断链是关键

全面的数据采集是精准溯源的前提,iOA-EDR已经凭借全面的数据采集探针构建了强大的数据基石。但想要保证完整的攻击链路还原,还需要攻克另一大难关,即“断链攻击”。

在实战攻防中,APT攻击往往会使用各式各样的断链隐藏技术进行攻击,包括无文件攻击,隐藏脚本攻击、借用系统服务命令启动等等,以此来绕过常规EDR的安全检测,在这些高级攻击手段的伪装下下,一般的EDR产品往往无法发现APT攻击的真实行踪,误以为是系统服务或常用软件的合法行为,从而放任风险行为发生。

为了检出断链攻击行为,iOA-EDR自研了完整的断链修复引擎,可以修复前述各类隐藏断链的攻击方式,通过增强的注入探针,细粒度记录特殊行为,结合时序、文件、进程等综合特征信息对可疑行为进行多步骤关联,精准发现恶意行为,让攻击威胁无所遁形。形成一套体系化的攻击行为可见能力。

1719467907255.jpg

iOA-EDR结合强大的自研采集引擎和创新性的断链修复技术,成功攻克了数据完整性的难题,接下来就是精准还原攻击链路。

✓精准的路径还原是目标

实际上高纯净度还原攻击链路,比采集完整数据的难度更高,还原攻击链路需要对攻击行为和其他行为做精准区分,这就好比有一个盗窃团队潜伏在火车站里,把火车站全部封了容易,但是想要从正常人中找到盗窃团伙,这就需要一双“火眼金睛”来发现盗窃团队的蛛丝马迹了。

为了从海量信息中抽丝剥茧,提取出“盗窃团伙”的攻击全链路,腾讯iOA团队自研了一套基于大数据的上下文智能染色图谱引擎,参考了防疫时期全面检测、精准防控的防护思路,通过层层过滤和筛选实现了精准的攻击链路还原。

1. 从攻击链路末尾开始,也就是从最容易识别的威胁破坏行为入手,类似疫情中有明显感染症状的人群,采用多色标记感染图谱模型。将高可疑的攻击节点染成红色,红色节点又能通过图谱关联其行为链路,将其他可疑感染节点染为红色。

2. 考虑到攻击者在攻击时,经常使用暗度陈仓的战法,通过借壳合法的系统服务、常用软件来隐藏自身攻击的行为,这类节点会被图谱引擎暂时标记为黄色风险节点。

3. 在检测过程中,若判定目标节点的上下文信息均为安全信息,则默认为无需关注,对于不用关注的干扰节点则标记为灰色节点。

基于完整的攻击图谱,沿着攻击链路末尾不断搜索和关联相关节点,通过不同节点之间的关联关系来标记出不同的颜色,最终自动化的构建出一套精确完整的APT攻击链路图,直达威胁产生源头,为下一步安全决策提供有效依据。

在实战攻防过程中,有数据显示,通过传统的人工查询和分析方式进行溯源通常需要花费1天时间,且需要高级安全工程师介入。而使用iOA-EDR实现精准溯源,可将溯源时间降低至10分钟以内,且只需有基础安全运营经验的分析师就可以胜任。腾讯iOA-EDR的精准溯源能力让威胁溯源的门槛大大降低,大幅度提升了企业的溯源效率。

1719467958893.jpg

(免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。 )