近年来,随着加密技术在网络攻击中的普及,加密威胁已成为传统安全防护体系的重要挑战。在这种情况下,加强加密视角下的威胁情报能力至关重要,这不仅是对抗加密威胁的手段,也是更全面地了解攻击者行为的基础。
传统威胁情报在面对加密流量威胁时,往往集中于指标检测,而忽视了加密通信的特征。为了解决这一问题,可以从加密资产信息、加密要素信息等方面入手,构建加密威胁情报能力,有效对抗加密流量威胁。观成科技研究指出,在攻防演练中,加密威胁情报能力的建设和提升应包括四个方面:识别风险加密资产、建立限定域指纹、关联同源加密威胁以及主动探测攻击设施。
风险加密资产识别
资产盘点与暴露面收敛是大多数攻防演练活动启动阶段和备战阶段需要重点关注的事项,对加密资产进行盘点及风险收敛同样重要。识别风险加密资产时,可以从加密要素的三个方面进行评估:
1. 加密协议层面:
- 审查组织使用的加密协议,包括 TLS/SSL、IPsec 等。
- 评估协议的安全性和强度,是否存在已知的漏洞或弱点。
- 分析加密协议的配置和实现,是否符合最佳实践,是否容易受到中间人攻击等威胁。
2. 数字证书层面:
- 分析组织使用的数字证书,包括 TLS/SSL 证书、代码签名证书等。
- 检查证书的有效期、颁发机构、密钥长度等信息。
- 评估证书的真实性和可信度,是否容易受到证书伪造或篡改等攻击。
3. 加密数据层面:
- 研究组织中的加密数据,包括加密存储、加密通信、加密文件等。
- 评估数据的加密算法和密钥管理方式,是否足够安全。
- 分析数据传输和存储过程中可能存在的风险,如数据泄露、加密弱点等。
通过对这三个方面的综合评估,可以全面了解组织中的风险加密资产,并识别可能存在的安全风险。进一步采取相应的措施,加强对加密资产的保护和管理,确保组织的信息安全。
限定域指纹构造
常见的针对加密资产的指纹,如JA3、JA3S和JARM等,可以有效识别目标加密资产。然而,它们也存在指纹碰撞的问题,这可能导致误报。为了提高指纹的准确性,可以基于加密要素信息构建更精确的限定域指纹库。
限定域指纹可以分别针对客户端和服务端展开,主要根据TLS版本、加密套件、扩展信息等计算得到。在某些情况下,结合客户端和服务端信息可以进一步提高准确性,从而构建完全限定域指纹,以应用于威胁检测。
同源加密威胁关联
同类别的网络资产通常具有相似性,而加密资产也不例外。通过网络空间资产测绘技术,结合攻击者使用的攻击武器和从攻击资源中提取的加密要素信息,可以针对攻防演练场景下的黑客工具、热门商业木马以及恶意家族等进行精细化的威胁关联,快速发现同源加密威胁,实现提前预防的效果。
举例来说,对于使用HTTPS协议的网络资产,分析师可以从响应头、响应体以及证书等多个维度提取相似性特征,然后利用这些特征进行进一步的关联和挖掘。通过这种方法,可以扩展已知的攻击设施,并形成同源加密威胁资产列表,用于加密威胁感知。
攻击设施主动探测
在攻防演练中,反向C&C通道是常用的通信手段,而识别和发现C&C通道是加密威胁情报能力的重要体现。在准备阶段,跟踪分析黑客工具、热门商业木马以及恶意家族是必要的。可以基于通信样本的行为特征、通信信息和加密要素信息提取加密特征,构造上线包、心跳包和指令响应包,从而进行主动探测获取C&C信息,提前了解攻击设施。
在保障阶段,需要及时应对变种攻击。针对固定特征的攻击,一部分可以通过同源加密威胁关联发现,另一部分则需要在主动探测中获取。对于变化特征,应及时构造探测特征并进行实时探测,获取相关配置C&C信息,实现实时感知并掌握攻击方的攻击设施资源。
