从Google内部安全架构设计看威胁情报与威胁狩猎的应用场景

0x00 前言

这两天由于人手严重紧缺的原因，被迫运维转开发，今天跟Java的Lambda表达式PK了整整一天才把问题解决了一半，于是晚上决定换换脑子。由于最近手头工作有了一些变化，让自己更专注于基础安全的技术落地和运营，所以便开始刷AMG（Amazon、Microsoft、Google）三家的专利和Paper，尝试找到一些威胁狩猎方法和模型来完善现在的检测能力。正好Google最近写了一本关于架构设计的书，本着copy就要copy最先进的东西的原则，我们就先看看Google内部的威胁狩猎和情报是如何实施与应用的。

由于书中的内容不涉及到基础设施安全以外的东西，所以这篇文章的威胁情报仅限于基础安全层面的威胁情报，而对于业务安全的，等下篇文章再讨论相关的东西。

0x01 Google认为的威胁

（1）动机与目的

Google在其安全架构的设计上可以明显的看出是威胁驱动的，在Google看来，威胁类型和威胁来源是可以完整刻画攻击者会出于什么样的目的来进行何种程度的破坏。在Google看来绝大多数威胁无外乎政治目的（Political Method）、经济目的（Economic Method）和声望（Reputation Method），针对不同的目的按照内外部所面临的威胁和攻击者画像，可以刻画出”谁在什么时间出于什么目的干什么事儿“。

在梳理动机和目的的过程中，可以很明显的感觉到Google有意无意的利用”钻石模型“在刻画攻击者，用来了解攻击者的目的。

（2）外部威胁vs内部威胁

Google通过对攻击者目的和行为以及技战术熟练度对攻击者进行画像，按照画像的类型分为了以下几类

a. 外部威胁：

b. 内部威胁：

Google按照能够接触到敏感数据和核心代码的程度将内部攻击者划分成了三种不同的类型。

（3）Google应对威胁的哲学

对于外部威胁而言，不同类型的威胁和攻击者往往有着不同的防御思路，但核心逻辑其实只有四个：健壮性、转嫁矛盾、提高攻击成本、安全迭代自动化。

譬如针对骇客团伙而言，需要考虑一下业务或项目是否涉及可能引起活动人士注意的争议性话题网站安全架构，并且可能需要考虑非常健壮的、分层的安全访问控制机制，以确保系统安全补丁可以抵御DoS攻击的漏洞，同时确保备份可以快速恢复系统及其数据。在设计对网络犯罪团伙具有纵深防御的系统时需要记住这些家伙们往往倾向于用最少的前期成本和努力实现其目标的最简单方法。如果你能让你的系统有足够的弹性，他们可能会把注意力转移到另一个受害者身上。因此，考虑他们可能针对哪些系统，以及如何使提高他们的攻击成本。针对AI和自动化类型的攻击团队而言，开发人员需要在默认的情况下考虑弹性纵深防御系统的设计，并能够自动迭代其系统的安全状态。

对于内部威胁而言，Google利用角色、动机、行为和目标对行为进行审计和分析，将这四种分类进行排列组合可以分析出完整的动机，划分的方式如下：

将以上几类信息进行排列组合，我们可以得到一些非常有意思的例子：

需要注意以上的建模方法可能会存在一定的错误，不能够100%满足实际的生产需求，所以需要结合具体的日志和操作进行审计。

Google在设计系统时，必须考虑到有权访问系统或其数据的人可能是来自内部的任何类型的攻击者。 所以核心的逻辑是检测+缓解，为了检测和缓解来自内部的威胁，Google采取了以下的设计哲学来减少内部威胁带来的损害：

0x02 威胁情报与威胁狩猎（攻击溯源）

Google内部关于威胁情报的讨论范围主要聚焦在两部分：攻击路线确定（俗称溯源）和入侵检测，这节内容将会讨论Google在溯源层面上的应用。

Google内部的溯源体系由三部分组成：威胁情报数据、Cyber Kill-Chain、TTPs

（1）威胁情报数据

Google内部的威胁情报数据主要是有三类：

从上面的内容和分类不难看出Google内部的威胁情报数据呈现出两个特点：非结构化占比大于结构化、内部贡献大于外部贡献。Google对非结构化威胁情报投入了很大精力（分析报告类的文本情报），结合Google内部的专利来看，Google已经具备了利用机器学习算法来实现对于关键指标的分析和自动化解读（笔者最近也在尝试同样的方向，但是精力有限只能慢慢来。）。

Google对于威胁情报使用的建议是从信誉良好的安全公司（最好是有客户参考的公司）那里获取威胁情报，可以更好地了解攻击者所进行的恶意活动，并且建议从业务的角度出发，关注业务上常用组件的脆弱性利用以及数据层面的攻击。

（2）Cyber Kill-Chain

Google在应用Cyber Kill-Chain的时候会尝试枚举从原因到结果之间所有的路线并且为路线分配不同的rank，按照rank对不同层次上的Kill-Chain单独构建不同的防御模型，最后生成一个知识图谱用来做攻击者画像和归集。举个例子：

（3）TTPs

Google所谓的TTPs实际上也就是所谓的MITRE ATT&CK框架，但是Google对此的描述是：ATT&CK框架”可能“是一种不错的选择（说明内部有别的东西？）。

Google应用ATT&CK的思路是业务威胁建模 -> 技战术拆解-> 检测模型设计和运营 -> 技战术归集 -> 攻击者画像。而ATT&CK使用的阶段是在技战术拆解与归集阶段和画像阶段。

在应用这些模型的时候，Google给出了一些注意事项：

0x03 威胁情报与入侵检测

Google认为攻击者和防御者都可以评估目标的弱点。 攻击者对目标进行侦察，发现弱点，然后发起攻击行为。 而防御者应尽其所能，以限制侦察过程中向攻击者披露有效信息。 但是，由于防御者无法完全阻止这种侦查行为，因此这些行为必须检测到并发送告警，而记录这些陌生的访问请求就等于收集有关威胁情报，这也就Google内部威胁情报的三个来源之一 —— 告警巡检。

在监测过程中，Google认为应该采取以下手段：

Google认为组建以研究和被动监视对基础架构已知和可能的威胁的活动的威胁情报团队在长远看来可能会凸显出很高的性价比。 但是Google不建议小公司以这种方式投资资源，建议还是买买买。另外Google内部也已经在主机安全Agent和EDR上部署了端点化的威胁情报来检测威胁。

作为防守方，我们会有一个完整的资产列表，所我们的评估结果可能比攻击者的侦察到的数据更为详尽。 这是关键点：如果能够了解自身系统的弱点，就可以更有效地防御它们。 而且，我们对攻击者当前正在使用或能够利用的方法的了解越多，则后期在对抗中的收益就越高。

0x04 Summary

Google在构建自己的威胁狩猎体系和纵深防御系统的时候出发点始终围绕“所有的安全事件都可以追溯到一个活跃的人”。所以Google在部署防御的时候会优先从攻击意图和原因出发，寻找和枚举攻击者的技战术组合和测绘信息，最后追溯到“活跃的人”。从整段介绍中不难发现Google在整个体系设计的时候首要考虑的点是性价比（cost-effective），在追求缓解攻击影响和被攻击之间找到一个性价比平衡点，同时也会对于复杂的攻击路线和不起眼的攻击行为进行着重观察。在分析的过程中，引入了钻石模型、TTPs、Kill-Chain模型来对攻击者进行画像，找到其目的再做出应对策略，从字里行间中也能看到Google内部做了若干次Case Study才得出了从威胁本身出发进行威胁建模，拒绝外挂式安全。有一个小插曲，Google也是间接承认“应急要靠朋友圈”的操作。

当然以上内容会有描述的不全或者不准确的情况，如有兴趣欢迎交流。

（编辑：源码网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!