在威脅檢測公司endgame的dna深處,根植着一對孿生觀念:隐形和攻擊。這與常見的資訊安全觀點恰好相反。後者常常把自己打扮成可視的、防護性的。然而,endgame相信,防護者應該正視現代化對手的攻擊手段(隐形攻擊),并應按需調整防禦措施。
據其官網資料顯示,endgame是一個網絡操作平台,該平台能夠在企業關鍵基礎設定中自動尋找威脅。基于我們在威脅工具、技術及戰術的方面的積累,確定您能夠在killchain的早期做出反應并遏制入侵。
現代化對手會查找防禦措施的蛛絲馬迹,然後改變其惡意行為,以規避防禦措施或使其失效。此類例子包括所有這樣的惡意軟體:查找虛拟化征兆,然後嘗試規避沙箱,或者直接撒腿就跑避免被分析。另外一個例子是caspar。caspar會查windows 10系統的防毒軟體wmi class,進而得知主機上安裝的防毒軟體,然後采取措施繞過或者規避該防毒軟體。endgame建議,隻有防禦性的隐身,才能阻止對手發現檢測措施并通過躲藏在類似的安全盲點來規避檢測。
endgame的攻擊特性更為常見。傳統的防禦措施不再能阻止有針對性、隐形的進階攻擊。防護者應該承認這一點,并主動地查找或搜尋網絡入侵的細微征兆。這樣做是為了盡量縮短對手的駐留時間(又叫檢測需時)。根據fireeye公司的mandiant所說,目前這一時間為146天。要發現這些征兆,需要進行大資料異常檢測。這是一項高勞動密集型的任務。實際上,這一任務在現實中可以通過機器學習(machine learning)技術來達成,使得電腦自身就可以發現這些異常,并将其關聯起來。
簡而言之,威脅檢測應該納入機器學習能力,以主動而隐蔽地搜尋對手。但是,這裡的隐蔽不是指功能,而是指過程。除了發動攻擊之外,攻擊者還會持續地偵察和探測防禦措施,以尋找防禦弱點。為了擊敗攻擊者,防護者需要趕在攻擊者發現并利用這些弱點之前找到并修複它們。問題就是如何做到這一點。
在這周的bsides las vegas聚會上,endgame的主管資料科學家海侖.安德森(hyrum anderson)在演講中提出了一種新方案。演講題為“用于檢測(和生成)惡意的深度對抗性架構”,或者說,也可以加上這樣一個副标題“醫生,自療吧!”。
雖然這個方案的數學方法很複雜,但方案的原理很簡單。如果機器學習能夠教會電腦如何檢測細微的進階威脅,那麼你同樣也能通過機器學習來測試和探索你的防禦措施。安德森描述了機器學習紅隊(用來攻擊藍隊,也就是你的内部威脅檢測系統)的開發和使用。
在演講中,安德森解釋了如何“在紅藍對抗中使用深度學習來對付深度學習,使紅藍雙方都得到提高。紅隊學會了如何産生惡意樣本,而藍隊學會了如何區分惡意事件和良性事件。”
這一過程中,需要教會紅隊去了解藍隊的運作方式。了解之後,紅隊開始攻擊藍隊。如果攻擊成功,攻擊經驗就會被融入到藍隊的防護算法,清除了一個漏洞或者安全盲點。如果攻擊失敗,攻擊經驗就會被融入到紅隊的攻擊算法。然後再重複整個過程。
“一系列攻防回合之後,紅隊模型生成了惡意樣本,用于查找藍隊檢測模型中的盲點。反過來,藍隊檢測模型學會了修複紅隊模型發現的盲點。随着兩個模型的競争,紅隊生成器改善了自己的生成能力,能更好地生成繞過防禦措施的對抗性樣本。同樣的,藍隊檢測器也增強了防禦能力,能更好地防禦紅隊生成器模拟出來的對抗性攻擊。”簡而言之,改進機器學習威脅檢測的最好方式,就是機器學習模拟攻擊。
昨天,accenture和endgame分别宣布,将合作提供“威脅檢測即服務”(threat detection as a service)。這項服務将包括accenture經驗豐富的威脅捕捉器和endgame的技術。accentrue公司的維克拉姆.德賽(vikram desai)說:“相對于建立一個更高的防護牆,我們給了客戶主動出擊的能力——在對手攻擊之前就阻止他們。”
endgame的ceo内特.菲克(nate fick)補充說:“我們需要在企業架構大力搜捕并在惡意行為鬧出亂子之前終止它們,進而縮短對手的駐留時間。endgame和accenture的合作将會提供一個一直運作的、端到端的獵捕方案,比傳統的入侵征兆和基于簽名的工具更聰明。”
endgame曆史上一直出名于向政府客戶銷售攻擊性的工具和0day漏洞,在最近幾年開始将焦點轉到向企業使用者銷售軍事級的安全情報和分析平台。
原文釋出時間:2017年3月24日
本文由:securityweek 釋出,版權歸屬于原作者
原文連結:http://toutiao.secjia.com/red-vs-blue-self-learning-mode-response-to-apt-attacks
本文來自雲栖社群合作夥伴安全加,了解相關資訊可以關注安全加網站