扯扯ATT&CK和机器学习

ATT&CK和机器学习,这两个都是热词。

ATT&CK和机器学习,这两个都是热词。这个标题起得本身就是有点标题党的意思。

ATT&CK

ATT&CK梳理了历史APT攻击的各种手法,包括打点方式,驻留方式,横向移动方式,上线方式等等。乙方们觉得这套体系没啥用,绝大部分甲方也纷纷点赞。

确实,对于绝大部分甲方公司而言,并不需要按ATT&CK去建设自身的策略体系。我也不会建议一开始就按这个去建设。

一方面在现实环境中,绝大部分甲方公司不会遇到这么多花样的牛逼的攻击方式。另一方面,如果直接对照建设,很可能画虎不成反类犬。因为ATT&CK里面的各种TTP,从检测维度来说,重要性并不一致。例如驻留方式。如果你基于驻留方式去做直接告警的检测规则,那每天办公网里面都是告警。毕竟现在这个年代,每个破软件都像一个纯情的小男生,希望能够跟你的电脑每时每刻都在一起。在你电脑启动的一瞬间,他也要一起。而我每次都像一个渣女,狠狠的拒绝他想写启动项的请求。

但对整体的策略建设而言,ATT&CK是一个非常重要的RoadMap。你如果去对照着建设,伴随你不断调整优先级,很可能能找到一条合适的,能够覆盖很多不那么复杂的攻击行为的策略系统

还有一些人认为,可以通过ATT&CK很好的区分攻击组织,进行关联分析。攻击组织的行为映射到ATT&CK没有问题,但是关联分析这个事情,靠ATT&CK很可能走到了一条歪路。对于抢银行的团伙,大家的路径很可能是差不多的。要去做区分和关联,重要的是细节。例如这两个团伙虽然抢劫的时候喊的口令顺序不一样,但他们用的锤子上都有一个缺口。要做关联分析,最重要的是提炼整个攻击中所有的细节。包括深入的样本分析先前我吐槽过某个事件大家都是在做样本分析,我在群里澄清过,并不是说样本分析没用,而是你要分析到点子上。例如那个事件赵晋龙remex他们写的样本分析就很赞。你要是发现它用的某种自定义算法,cipher很有特色,跟某个组织用的很类似,那这个是一个特别好的线索。你要是在这种时候从抽象成ATT&CK的角度去做关联,那就是扯淡了。

机器学习

那个机器学习呢,前几年很热,万物皆可机器学习,以至于我一度看到有人用机器学习去检测XSS,当时我整个人都不好了。悲观的人觉得这是安全人员的末日,过两年我们这些规则狗要纷纷失业了,渗透测试没前途了,以后机器学习发现一切未知攻击。

不过事情的发展好像逐渐跟大家的预想不大一样了。百度当时All in AI,后面又不承认了。腾讯的AI实验室主任离职,阿里达摩院并入阿里云。知乎上开始讨论机器学习行业的内卷了,不好刷offer了。而安全这个行业,随着HW的强力推进,销售想靠机器学习卖产品也卖不动了。甲方们也更实际了,别整一些虚的,就说这个能不能检测到吧,能检测的话告诉我多少误报吧。

机器学习这件事目前业内的共识是,写PPT的时候一定要写上。大家也一定要纷纷称赞这个事情的高妙之处,给我们带来了巨大的价值。你要是真问具体哪几个场景,解决了哪几个问题,误报漏报是啥情况,你投入了多少人力进行运营,就开始语焉不详。职业欠钱和瓜哥是我见过的少有的在公开场合说这玩意儿目前来说没啥卵子用的大佬。我只能默默为他们实事求是的态度给他们的朋友圈和知乎专栏点赞了

其实对于网络安全领域,目前来说,机器学习能用到的场景是非常有限的,能成功落地并投入运营的就更少了。就入侵检测而言,这个领域有其特殊性。

首先,对绝大部分公司而言,基础数据这块就有很大的问题。网络数据,主机数据都收集全了么?这些数据是稳定的采集没有漏么?隔三岔五可能就发现agent挂掉了,或者流量日志丢了,又或者日志服务器挂了。

其次,数据的维度是否足够。很多时候木马使用https上线都会很令人崩溃。因为能看到的数据太少了,定性都很难,就别提检测了。如何能够看到更多维度的数据,这就更难了。

再次,训练数据是否足够。对于入侵检测的领域,本身真实的事件数就很少。就算有,很多时候也是偏向蠕虫挖矿。只有少数的公司有足够的动力建立自己的红蓝对抗机制,例行进行红蓝对抗演练。但即使是这种演练,相对于其他业务安全的黑样本数目而言,也是少的可怜。如果直接使用异常挖掘的方式,又会发现各种各样的异常,还是不可解释的异常,而又与安全事件无关。

最后,发现安全事件给公司带来的价值大小。如果这个事情像广告推荐这种,又或者量化交易那样,能够带来足够看的清楚的钱,我相信还是会有天才少年来解决以上几个问题的。但现实情况是,即使你发现了安全事件,然鹅又怎么样呢?又有多少是非这个算法不可的呢

广告

我们目前成立了一个Hunting团队,探索一些基于算法维度来解决安全问题的方法。内部有足够的稳定的安全数据,也有红蓝演练来验证。目前对于安全算法这块,该用来解决哪些问题,我们有一些想法。我们不是找你来用深度学习挖掘XSS和SQL注入的。需要你具有足够的统计学知识,不需要任何深度学习和神经网络的知识(因为我们觉得这种炼丹术不适合我们这个领域),需要你足够了解时间序列方面的算法知识。你将获得一个严肃认真活泼的团队,一群愿意落地解决问题的人。有感兴趣的,请公众号联系

声明:本文来自落水轩,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。

版权归原作者所有,如若转载,请注明出处:https://www.ciocso.com/article/186.html

发表评论

登录后才能评论
跳至工具栏